BCPの策定や見直しの動きが活発化
東日本大震災は、企業にとって事業継続(BC : Business Continuity)がいかに重要な課題であるかをあらためて認識させた。企業の間では、これをきっかけに、BCP(事業継続計画)の策定に新たに取り組んだり、既存の計画を見直したりする動きが活発化している。
実際に、地震や津波によってITシステムが深刻な被害を受け、事業継続が困難になった企業や組織も少なくなかった。とりわけ、停電の影響は大きかったと言える。本格的な発電機を備えている企業は多くなく、備えていても発電能力が不十分で、システムが停止してしまったケースも見られたからだ。
また、福島第一原発の事故による電力供給の逼迫は、BCPの策定にあたって、節電への対応も不可欠な要素になることを明らかにした。
最近では、国会や総務省、防衛産業などをターゲットとした標的型のサイバー攻撃が相次いで発生するなど、高度化し凶悪化した新世代のコンピュータ・ウイルスの脅威が拡大する兆しを見せており、これもBCPの見直しが進められる要因の1つになっている。
BCPの策定や見直しにあたっては、このほかにも、テロや新型インフルエンザ、システムの故障や操作ミス、ハードウェアのサポート期限切れなど、さまざまなリスクを想定し、業務継続のための対策を検討する必要がある。
そもそも、企業がBCPを策定するメリットは何なのだろう。
1つは、事業継続を実現することによって、企業の競争優位性を確保できること。もう1つは、事業継続の計画を立案しリスクを分析することを通じて経営戦略の見直しができること。そして、計画を公表することによって、さまざまな利害関係者への説明責任を果たせることも、大きなメリットの1つと言える。
策定や見直しにいかに取り組むべきか
では、BCPの策定や見直しに企業はどのように取り組めばよいのだろうか。
一口にBCPと言っても、企業の規模や業種、業務の違いなどによって、その内容は異なってくる。
例えば、ITサービスの提供を中核的な事業とする金融機関やeコマース企業、ITホスティング企業などでは、ITシステムの停止は、業務の継続を困難にする致命的なリスクとなり、甚大な損害を被る危険性がある。
こうした企業や組織では、IT事業継続を最優先の課題と位置づけ、遠隔地のディザスタ・リカバリ(DR)サイトの構築や、システムの二重化、仮想化技術による可用性の確保、統合的な情報セキュリティ対策、リモート管理の実現など、あらゆるリスクを想定した万全の対応を必要とする。
一方、主にITを業務支援に利用する一般の企業の場合は、BCPの実現のためにコストを無制限に費やすことができないため、コストと効果のバランスを十分に考慮しながら、事業の継続に重要な役割を担う業務やシステムを適切に切り分け、優先順位の高いものからBCPに組み込んでいくといった対応が必要になる。
当然、人命や社会活動に影響を与える業務やシステムは最優先で組み込むべきであり、ミッションクリティカルな業務やシステムも優先する必要がある。また、業務の重要度に応じて事業継続のレベル(目標復旧時間や目標復旧ポイントなど)も適切に設定しなければならない。
BCPの策定にあたっては、まず事業を中断させるリスクは何か、そのリスクに対して実際にどのような対策を講じているのかを分析し、事業の中断による影響を特定する必要がある。さらに、対策の妥当性を検討し、必要であれば追加の対策を検討し、その有効性を考慮したうえで追加対策の優先度を明確にすることも重要だ。
そのうえで、実際に事業が中断した場合に、どのような業務を、どのようなタイミングで、どのような手順で、どのようなレベルまで復旧するのかを、BCPとして綿密に立案し、着実に実行できる体制を整えることが、企業にとって重要な取り組みとなる。
BCP策定にあたっては、事業中断リスクやその対策などを分析し、復旧手順や復旧レベルなどを検討する必要がある。 |
コストを考慮した現実的な対策を
BCPの策定に取り組む企業の現場では、実際には新旧のさまざまなシステムが稼働している。すべてのシステムをスクラップ・アンド・ビルドでリプレースして二重化や仮想化などの対策を同時に施すのなら話は簡単であるが、それには膨大なコストが必要となり、現実的とは言えない。
BCPの策定とシステムの構築をITベンダーまかせにしてしまうと、実際にそうした全面リプレースの提案が行われることも多く、高価なシステムになりがちである。
現実には、既存のシステムで基幹業務が安定的に稼働していることも多く、すぐにスクラップ・アンド・ビルドでリプレースすることが現実的でないケースもある。むしろ、性急なリプレースによってシステムが不安定になるリスクを抱える危険性さえある。システムの安定稼働もBCPの重要な要素である。
目的がシステムの二重化であるのなら、ハードウェアのリユースによって当面の対策を行う という選択肢もある。そうしておいて、事業にとって最適なタイミングで、あらためてリプレースを検討することが現実的な場合もある。
このように、企業には、さまざまな役割を担うシステムが稼働しており、BCPの策定に当たっては、それぞれのシステムの役割や重要度に応じて、柔軟に対策を施すことが現実的な解と言えるだろう。