写真●米国のリスクマネジメント専門家であるシェーン・シュック氏
写真●米国のリスクマネジメント専門家であるシェーン・シュック氏
[画像のクリックで拡大表示]

 「最善の結果を期待しつつ、最悪の状態を想定して準備しよう。これが事業継続計画の一番のポイントだ」。米国のリスクマネジメント専門家、シェーン・シュック氏はこう語った(写真)。

 シュック氏は2011年12月1日、ITサービスマネジメント分野のイベント「itSMF Japan コンファレンス」のCIO向け特別セッションで、BCP(事業継続計画)の現状と要点について説明した。同氏は約20年、米国のコンサルティング会社で、ITガバナンスやリスクマネジメントのコンサルティング経験を持つ。サイバー攻撃やセキュリティ対策についての知見もあり、現在は政府や企業のアドバイザやコンサルタント業務を行っているという。

 シュック氏は2011年の前半における企業のBCP関連の調査データを引きつつ、「BCP発動の原因としては、実はハードウエア故障や電力トラブルが多い」と指摘する。ウイルスやアクセス拒否(DoS)攻撃などによるBCP発動は少ない。「システムがどんなリスクを抱えているのかを知れば、保護の仕方が分かってくる。実態と傾向を押さえておくことがとても重要だ」(同氏)。

 ディザスタリカバリの計画を立てる上では、復旧までの時間の目安となる目標復旧時間(RTO)と、その時点で何が復旧できていればよいかという目標復旧地点(RPO)を考えるべきとする。「事業継続を支える企業情報は何かを明確にすることが大切。逆に言えば、早期復旧のために、その時点では存在しなくても構わない情報がある。それを見抜いてプランを立てるとよい」とシュック氏は語る。

 また、シュック氏は技術進歩によってBCPの可能性が広がったことを強調する。「技術の進歩によって、災害に直面したとしても重要な業務は継続できる新しい手段が選択可能になった。この点は大きい」(同氏)。

 その代表が、クラウドサービスの進展や、スマートフォンやタブレット端末といったスマートデバイスの浸透だ。シュック氏は「セキュリティリスクはあるものの、モバイル機器はBCPの可能性を広げた。また、自宅などからの遠隔業務を可能にするシステムの導入が急速に増えている」と説明する。