「勿論、バックアップは取っているけど、あらためて事業継続の観点でと問われても、どこまでの災害や事故を想定し、それに対して情報システムとしてどう対策を取ったらよいのかわからない。」
というのが、中堅・中小企業のIT担当者が事業継続に対して抱く典型的な意識ではないだろうか。
自然災害、火災、ライフライン障害(電力、水道などの供給停止)、テロ、新型インフルエンザなど事業運営の継続に対する脅威は様々だ。
内閣府のガイドラインでは、まず手始めに地震をリスクとして想定し事業継続計画を策定することを推奨しているが、情報システムについても同様のアプローチでよいのだろうか。
ハードウェア・ソフトウェアの障害、通信ネットワークの障害、ウイルス等によるセキュリティ障害、人為的な運営のミスなど情報システムを中断・停止させてしまう脅威は他にもいろいろある。
重要なのは情報システムの機能停止につながる様々な脅威を捉えて事業継続への対策を講じるアプローチが必要という点だ。
些細な障害でも情報システムの機能停止を招き、それによって事業運営の中断・停止を引き起こす。
また、企業間のネットワークが複雑に絡み合う場合には、取引先等の外部の企業にも大きな影響を与えてしまうことを認識しておかなければならない。
IT化の進展により情報システムにリスクが集中した(敢て集中させた)結果、そのものが大きな脅威となっているといえる。
では、情報システムの事業継続対策はどのように立てればよいのだろうか。
一般的な実施ステップを紹介する。
| ステップ1 |
事業運営に大きな影響を与える重要業務を、特にその中でも情報システムへの依存度が大きい業務の選定とその業務を支えている個別システムを特定する。 |
|---|---|
| ステップ2 |
何らかの事由によるシステム機能停止から復旧までの目標時間を業務を再開すべき視点で定める。 |
| ステップ3 |
現状、システム機能停止からどの程度の時間で復旧できるか確認する。 |
| ステップ4 |
現状の復旧可能時間(ステップ3の結果)が目標時間以内(ステップ2で試算)に収まるよう対策を講じる。 |
重要なことは、現時点でどこまでのリスクを想定しているか、リスクが顕在化したとき目標時間に復旧できるかできないか、打つべき対策の優先順位付けと投資対効果を明らかにし“経営者層を含めて”情報システムの依存度と耐力を共通認識にしておくことである。
情報システムへの事前対策には生産設備などのそれに比べれば必ずしも大規模な投資を必要としない。
逆に言えば、ちょっとした対策の不備によって(本来回避可能であった)多大な損失を被る危険性を孕んでいる。
政府機関等から発行されているガイドラインでは、企業の経営者が主導的立場に立って事業継続を推進するよう示されているが、特に中堅、中小企業の場合には経営資源に余裕が少なくトップダウンでの取組みが難しいのが現状だ。
効率的な事業継続を推進するにあたり、情報システムについては全社的取組みと並行しながら現状の依存度と耐力を認識し、“できるところから手を打つ”ことが有効だ。
その効果的な支援を行うために、NECネクサソリューションズとNECフィールディングは両社の事業継続に関する実績、ノウハウを集結し中堅・中小企業、組織向けに「IT事業継続ソリューション」として整備・体系化し提供を開始した。
その主な特徴は次のとおりである。
情報システムに対する様々な脅威に対して、コンサルティング、業務継続対策、予防対策、復旧対策、被害の拡大防止対策、データセンターの提供など各領域で合計32種類のソリューションメニューを用意した。
平常時・災害発生時・業務再開・事業回復・全面復旧の各フェーズに対応する最適なソリューションの組み合わせを可能とした。
NECネクサソリューションズが得意なアウトソーシングやコンサルティングといったサービスとNECフィールディングが得意とするIT資産の脆弱性対策、ハードウェア保守やシステム運用サービスなどを組み合わせることによって、短期的で比較的容易な対策による現場での課題解決から、事業継続計画(BCP)策定や中長期的な事業継続管理の仕組み構築まで計画性を持った対応を可能とした。
また、ソリューション選定の道しるべとして、約50の質問に答えることで打つべき対策の優先順位を定めるのに役立つ“簡易診断ツール”も用意した。
各企業における情報システムへの依存度と耐力、想定リスクの範囲、予算等に合せた取り組みを支援することによって、事業継続対応の第一歩を踏み出すことが出来ると考えている。
今後も継続的にソリューションの強化を図り、各企業の事業継続を強力に支援していきたいと考えている。
NECネクサソリューションズ
コンサルティング部 部長
持田 敏之
