本記事は、BCP(事業継続計画)や災害対策をテーマにしたシリーズの第2回目です。前回の記事では、BCPの基本概念や重要性について解説しました。今回は、企業のIT基盤を支える情報システム部門にフォーカスし、情報システム部門がBCP/BCMにどのように対応していけばよいのか、実務の視点から解説していきます。
情報システム部門がBCP/BCMで果たすべき役割は、大きく分けて2つあります。
情報システム部門は、業務を支えるシステムが止まらないようにすること、また、万が一止まった場合に速やかに復旧できる仕組みを作ることが求められます。システム環境の設計においては、業務のRTO(目標復旧時間)とRPO(目標復旧時点)を明確にし、それに基づいた環境を提供することが不可欠です。これは災害だけでなく、システム障害についても同様です。
システムの冗長化を検討し、システム、回線、データセンターの二重化を行うことで、障害時の影響を最小限に抑えることができます。また、障害や災害時に迅速に対応できるよう、復旧手順を整備し、具体的な対応マニュアルを作成しておくことも重要です。これらは、BCPとして情報システム部で良く検討される項目です。
さらに、データは何事があっても消失することの無いような対策を施しておくことがとても重要です。バックアップデータの疎開(隔地保管)やデータの二重保管(障害用、災害用)などがこれにあたります。サーバーなどの機器は万が一壊れてしまっても、時間をかければ復旧できますが、データの復旧は困難です。
非常/被災時には、正確な情報を迅速に集め、必要な人に伝達することが重要です。リスクコミュニケーション(非常時の情報伝達手段)の確立が不可欠であり、非常時の情報伝達手段としては、電話やメールのほか、安否確認システムや伝言板の活用が考えられます。また、BYOD(Bring Your Own Device)の活用やモバイル環境の整備などもこれにあたります。
さらに、非常時には社内外に正確な情報を迅速に発信することが求められます。特に、社内の従業員だけでなく、取引先や顧客にも適切な情報を届けることが重要です。そのための手段として、緊急時専用のWebページやSNSを活用することで、迅速かつ広範囲に情報を届けることが可能になります。
また、リスクコミュニケーションの強化には、総務部門や人事部門との連携も不可欠です。各部門と協力しながら、適切な情報発信体制を整えることが、非常時の混乱を最小限に抑える鍵となります。
これらの中で最も重要で最低限必ずやらないといけないことは、データの保全です。昨今、電子商取引が進み、紙でデータが残っていないので、場合によってはデータが復旧できない状態=システムが復旧できないことになる可能性もあります。
事業を継続するためのインフラを維持・提供するにあたり、情報システム部門は以下のような課題を抱えがちです。
方策を検討する際、会社全体として策定されたBCPや経営層から降りてくるトップダウンアプローチと情報システム部門独自で検討するボトムアップアプローチがあります。
トップダウンアプローチは経営層の支持を受けやすく、予算を確保しやすいですが、ボトムアップアプローチの場合は予算が付きにくく、方策を推進するためには経営層への十分な説明が必要になります。現行情報システム資源のリスクとリスクが顕在化した場合の損害規模を大まかに想定し、全社による事業継続計画に対する提言活動が必要となります。
情報システム部門としての事業継続のための方策として次のようなものが挙げられます。
まずは現状把握を徹底しましょう。
業務と情報システムの整理・重要度の明確化は、事業継続の第一歩です。ここから始まるといっても過言ではありません。頭で理解するだけでおわらずに、情報システム部門でこれらをしっかりと文書として明文化し経営層に報告しておくことで事業継続のために必要な対策の訴求がしやすくなります。
システムの統制を取り、シンプルな構成にすることが重要です。
システムがシンプルであるほど、対策の実施も容易になります。システム全体を見直して最適化してきましょう。
すべてを一度に実施するのは困難なため、中長期的なロードマップを作成しましょう。
事業継続や災害対策に割り当てられるIT予算は、全体の約1/10程度といわれており、一度に大規模な対策を講じるのは難しいのが現実です。段階的にアプローチすることで、少しずつ予算を割り当てて実施していくことも成功のカギになります。そのために中長期計画を立てて、主要なサーバーの更改タイミングでバックアップ機を構築していくのも良いでしょう。
災害に強いデータセンターやクラウドを活用し、システムの消失を防ぎます。
システムの要塞化は、災害に強いデータセンターやクラウドを利用することで地震や火災などの被災でシステムが停止する確率を下げることができます。あえて本社機能や情報システム部門から離れた場所で稼働させることで、人とIT資源の同時被災を避けることもできます。こうした取り組みを積み重ねることで、事業継続性を高め、万が一の事態にも備えた強固なシステムを構築することができます。
非常時/被災時には正しい情報収集と情報発信が大切です。情報システム部門として非常時/被災時に円滑な情報収集/伝達が出来るような仕組みを提供することも必要になってきます。緊急事態の状況下では正しい情報の整理が重要です。そのための体制や準備をしておきましょう。災害発生直後の情報収集/整理能力が重要で、徐々に情報発信が重要になってきます。
正しい状況判断や行動のために、被害状況(安否/損害/環境など)情報が必要
・発生した事象
・被災/被害状況と今後の予測
・各自の状況(安否確認も含めて)
・復旧見通し
メンバーやステークホルダーが正しく行動するために状況の情報が必要
・被災/被害状況と今後の予測
・復旧見通し
・行動依頼(指示、命令)
これら情報収集、特に情報発信はステークホルダーに対して正しい情報を伝えることでレピュテーショナルリスク(風評リスク)を防止することができます。
こちらは実際に被災した企業の株式チャートです。
被災後すぐにWebで被災状況の広報を開始し毎日状況報告しました。7月20日には、復旧の最終段階である事を広報し、7月23日1週間ぶりに業務復旧の報道を行いました。この結果、一次株価は下がりましたが、業務普及後は以前よりも株価が高い状況となりました。
このように被災や障害などが発生しても、しっかり情報発信してブラックアウトしない体制を整えておくことも重要です。
会社/企業/団体が事業を継続していくうえで、業務インフラを支える情報システム部門の役割は非常に大きく、重要です。
情報システム部門が担うべき役割は大きく分けて以下の2つです。
最低限の対策として、「データの消失」を防ぐことが不可欠です。どれだけ準備をしても、想定通りの災害が起こるとは限りません。地震・台風・水害・火災・大規模インフラ障害・テロなど、あらゆるリスクに対応するのは困難です。
そのためにまずは基本能力を整えることが必要です。様々なリスク(脅威)はありますが、ひとつを想定して検討しておくことで、基本的な対応能力がつきます。
次に、応用力強化=Resiliency(柔軟性・打たれ強さ)を強化することが重要です。想定しない脅威や被災への対応には基本の応用で対応することが必要です。
以上が、BCM(事業継続マネジメント)が重要であることの所以になります。
今回までの記事では、少しITから離れたBCP/BCMの基本的な考え方や、情報システム部門が果たすべき役割について解説しました。事業継続のためには、最新の技術を活用することも欠かせません。次回は、少しIT寄りに話題を変え、クラウドを活用した事業継続/災害対策にはどのようなものがあるか?について詳しく説明し、より実践的なアプローチをご紹介します。※4月公開予定
MONO-Xでは、企業のIT環境に合わせた事業継続対策をサポートしています。BCPや災害対策でお悩みの方は、ぜひMONO-Xにご相談ください。
>>PVS Oneに関するお問い合わせはこちら
株式会社MONO-X公式サイト
株式会社MONO-Xへのご相談・お問い合わせはこちら