情シス部門が取るべきBCP対策

次に、情シス部門が取るべきBCP対策について考えてみましょう。

●ICTインフラ対策

近年、自社内でシステムを保有するオンプレミスから、外部のデータセンターやクラウドサービスなどの利用が主流になりました。
多くのデータセンターでは「停電対策」として無停電電源装置や自家発電設備を備えています。東日本大震災後の計画停電時に一部が実際に稼働したとも言われている、こうした仕組みを持つデータセンターにシステムが入居していれば、無停止で事業を継続することも十分可能になります。

しかし、災害時などでサーバーを運用するデータセンターが堅牢でも、そこに至るネットワークに障害が発生し、システムを利用できないといった状況も考えられます。

このようなICT環境における災害対策の一環として考えられるのが、「ネットワークの冗長化」です。例えば、拠点間、あるいは拠点とデータセンターを接続するネットワークにおいて激甚耐性をもつ冗長化がされていれば、一方が切断されてもバックアップ回線で通信を継続できる環境を整えられます。ネットワークの冗長化をセットで導入できるデータセンターを選ぶことも可能です。

●ICTシステムの早期復旧対策

ICTシステムやデータなどが企業の経営基盤の中で重要な位置を占めるようになっています。必然的にシステムやデータの損失を防ぐためのリスクマネジメント施策であるバックアップは、経営課題であるBCPにおいても重要事項に位置づけられるようになりました。
ICTシステムの冗長化としては、機器自体を複数台準備し、運用系が故障すると待機系に切り替えるなどの運用方法もあります。BCP対策においては、アプリケーションやデータベースといったサーバーシステムのバックアップや冗長化などの対策は必要不可欠となっています。昔はシステムのバックアップと言えば、システム単位にデータをテープ媒体に保存することでした。しかし現在は、早期復旧を目的とするためのコストに応じたリカバリー対策が進んでいます。具体的には、「DR（ディザスタリカバリー）」サイトでの最低限の業務継続やセカンダリサイトの構築、遠隔地におけるバックアップなどが挙げられます。

特に、遠隔地バックアップは、今後発生が想定される首都直下型地震や南海トラフ地震など災害時に特定地域が被災する場合を考慮した際、企業が保有する大事なデータを国内でも遠く離れた別のデータセンターで確実に保護するための重要施策となってくると考えられます。

BCP対策では、単にシステムやデータのバックアップを取るだけでは不十分です。事業を継続して早期復旧を図るためには、リアルタイムのバックアップ／リストアという手順、あるいは完全同期された遠隔地データセンターへの即座のクラスタリングなどが実現できるソリューションも求められます。データセンターやクラウドサービスを選定する際は、クラスタリングの実績の有無や、自社システムでの長時間のバッチ処理やトランザクション障害など実際の運用も含め、バックアップサービスについても併せて検討していくことが重要です。

●非常時の社員との確実な安否確認

緊急時に従業員の安否確認や取引先の被災状況を素早く把握することも非常に重要です。災害発生時には、設備の破損や電力不足、通信量の急増に対する通話規制などが起こります、そのため、固定電話や携帯電話での安否確認や緊急連絡が困難になることも予想されます。

過去の大規模な震災では、IP電話や電子メール、SNS（Social Networking Service／Social Networking Site）といったインターネットを使った通信手段が役立つ場面が多数見られました。そうした通信手段の確保もBCP対策では非常に重要となります。ただ、被災の規模や範囲によっては、必ずインターネットが使えるとは限りません。企業のBCP対策としては、複数の連絡手段を準備したり、一時的な通信回復時でも利用可能な情報集約体制を整えておくことが必要です。

●遠隔作業を可能にする環境の整備

事業を継続するためには、万が一、出社できない状態になっても従業員が業務を継続できるような体制を取ることも重要です。自宅や社外からICTシステムへアクセスできる環境を整備することも求められます。具体的には、仮想デスクトップやVPNなどで、セキュリティー上も安全に社外からアクセスできるデバイスや通信回線を準備することが挙げられます。

これらのツールを活用することで、ネットワーク環境さえ利用できれば、企業システムにアクセスして業務やサービスを継続可能になります。インフルエンザやはしかの流行などへの対策としても注目されています。

●サイバー攻撃発生時も考慮する事業継続対策

IoTの普及に伴い、業務やサービスに関わる機器の多くが常にインターネット上に接続され、サイバー攻撃をはじめとした様々な攻撃に実際にさらされています。ビジネスへのインパクトを考えると、大規模な自然災害を想定した現状のBCPに加え、サイバー攻撃によって発生するリスクも想定したBCPを併せて策定しておく必要があります。社内だけでなく社外のセキュリティー有識者との体制構築も場合によっては必要となります。

徹底した防衛措置を行うとともに、万が一の被災を想定した事業継続計画を立案して、具現化するとともに、特にデータ流出やシステムダウンなど最新のサイバー攻撃を見据えて継続して見直していく取り組みが求められます。

普段使っているICTツールの見直しもBCP対策に有効

BCPは万が一の事態に備えて策定しますが、策定したBCPを陳腐化させずにより実効性を高くするためには、計画の策定から定期的な運用、評価、計画の見直しといったBCMを実践することも重要です。BCMによる継続的な維持・改善に取り組み、被災による損失を最小限に抑え、迅速に事業再開することが新たな機会の創出にもつながります。業務の優先順位付けや影響分析は、定期的に見直すことが大切です。

事業継続にICTが欠かせない存在となった今、その運用管理を行う情シス部門の責任も重大となってきました。しかし、非常時用システムを特別に用意したとしても、いざというときになって初めて使うようでは、「使い方が分からない」といった問い合わせが情シス部門に殺到し、冒頭のように「十分に機能しない」ことになりかねません。

普段から使っているツールを、なるべく非常時にも使えるようにしておくこともBCP対策の基本の1つだと言えます。そのためにも、ICTツールの見直しや検討も重要な業務となっています。ICTツールに関しては、働き方改革など普段からのテレワークが推進されています。BCPの観点についても併せて検討してみてはいかがでしょうか。

【 制作／コンテンツブレイン 】

2019/3/15