個人情報保護法の全面施行を間近に控え,企業システムの施策としては情報漏えい対策への意識が高まっている。これ自体は重要なことだが,企業活動における“IT依存度”の大きさを考えると,天災や大事故が発生した場合の事業の継続性についても日ごろから考えておく必要があるだろう。そこで今回の記事では,事業の継続性に焦点を当てた「ビジネス・コンティニュイティ」について説明したい。
“シナリオ”を考えてリスクを評価
「ビジネス・コンティニュイティ(以降,「BC」と記述)」とは,企業活動が事件や事故,自然災害などによって中断の危機に直面したときに,中断を回避する,あるいは中断からより早く復旧するための方策を指す。具体的には,重大なリスクが生じたときの対応計画や対応体制を準備し,備えることである。
BCを考える際に参考になるのは,ISMS認証である。読者の企業の中にも,既に取得したところや,現在取得を検討しているところは多いだろう。ISMSにおいては,「情報資産の洗い出し」と「リスク分析」が出発点となる。これらによって,企業が保有する情報資産の現状とリスクを認識することから始める。
BCにおいても同様である。ISMSとは異なり情報資産だけに注目するわけではないが,現状とリスクの認識から始めることは同じだ。このことを,BCでは「BIA(Business Impact Analysis)」と呼ぶ。BIAでは,ビジネスに大きなダメージを与え得るシナリオを想定し,その企業が“致命傷”を負わないために必要な,各ビジネス要素(システム)の“復旧速度”や復旧させる優先順位を検討する。自然災害や火災,大事故といった非常事態が発生した場合の復旧プランを作成するには,BIAの実施が不可欠である。
「システムの再起動」だけではない
ただし注意したいのは,「復旧」というのは「システムを再起動する」ことだけではないということだ。復旧というと,「データが失われたシステムに,バックアップ媒体からリストアして,システムを再起動すること」を思い浮かべる方が多いようだが,それだけではない。甚大な事故や広域にわたる災害においては,従業員(+家族)の安全や代替オフィス,そのライフラインならびにシステム――などを確保するところから「復旧」を考える必要がある。データのバックアップをいくら頻繁に実施していても,それを使うシステムやオフィス,そして従業員がいなければ,何の意味もない。
ISMSの中にも「事業継続」という考え方はある。実際,バックアップ媒体を遠隔地に保管したり,バックアップ・センターを稼働している組織/企業は増えている。だが,BCにおいては,代替オフィスの確保や従業員の安全確保と配置なども重要な要素である。
ただ,復旧さえできれば,それでよいというわけでもない。そこがBCのポイントである。単にシステムの復旧と再稼働を考えるのではなく,想定した災害や事故のシナリオに対して,「ビジネスの中断期間を許容範囲内にとどめる」ための施策を検討することが重要なのである。例えば,現行施設とバックアップ施設が遠ければ遠いほど,バックアップ施設が影響を受ける可能性は低くなり,ビジネスを再開できる可能性は高まる。ただし,人員や必要機材/データの輸送などを考えると,許容範囲の時間内に再開できる可能性は低くなる。
システムごとにサービス・レベルの把握を
BCを考えるにはBIAが不可欠だと書いた。BIAの際には,各システムがユーザーからどの程度のサービス・レベルを要求されているのかを明確にする必要がある。「常時,迅速なレスポンスを要求されているのか」,それとも「長時間ダウンしていても業務に支障が出ないのか」――によって,復旧の優先度や求められる復旧速度は変わってくる。
ところが,社内で管理しているそれぞれのシステムにおけるサービス・レベルが明確になっている例は少ない。アウトソーシングの利用においてはSLA(Service Level Agreement)が必ずといってよいほど話題になるが,自社システムのサービス・レベルが利用側の視点で議論されることは少ないだろう。BCを考える際には,システムごとに要求されるサービス・レベルを把握しておくことが重要だ。
そればかりではない。サービス・レベルの把握は,適正なシステム投資を実現するためにも大変有用である。求められるサービス・レベルは低いにもかかわらず,「重要な事業/収益性が高い事業に利用されているから」といった理由だけで,過剰な投資をしている――例えば,オーバースペックのハードウエアを使っている――システムを明らかにできる。
非常事態が発生した場合でも企業が“致命傷”を負わないためにはもちろんのこと,システムへの適正な投資や運用状況の改善を行う上でも,BCの考え方は重要である。BCに基づいて自社システムを一度検証してみることをお勧めしたい。
東山 栄一 (HIGASHIYAMA Eiichi) 
NECソフト株式会社 コンサルティング事業部
IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。
