東日本大震災や熊本地震、最近ではアスクル社の倉庫火災やサイバーテロ等をきっかけとして、あらためてITサービスの継続計画(IT-BCP)に注目が集まっています。ところがいざIT部門が中心になってIT-BCPを策定する段階になると、全社的な取り組みとして進めることが難しいという声も聞こえてきます。今回は、特にIT-BCPの構築を担われるであろうIT部門の方向けに、有効なIT-BCPを構築・維持するための活動のポイントを説明します。
IT-BCPとは?
そもそも、IT-BCPとは何でしょうか。IT-BCPとは、企業(または組織)が、ビジネスの中断をもたらす災害や事件・事故等に遭遇した際に、ビジネスの継続に必要なITサービスの継続性を確保する計画のことです。現在、ビジネスの遂行においてITサービスの果たす役割が多くの割合を占めるようになっています。IT-BCPとは、不測の事態に対して、重要ビジネスの継続をITサービスの側面から支援する計画であるとも言えます。
ITサービスの継続性を奪いかねないITリスクには様々なものがあります。例えば、地震や津波、落雷等の災害、火災や停電等の事故、システムの誤作動や故障、DDoS攻撃や標的型メール攻撃等のサイバーテロ等、様々なリスクが存在します。
IT-BCPでは、これらのITサービスの継続性を奪いかねないITリスクに対して必要な対策を計画します。例えば、データのバックアップやシステムの冗長化を実施するとともに、システムの切替やデータのリストア手順を整備する等して不測の事態に備えます。最近では、クラウド環境にシステムを移行することで災害等に備える企業も少なくありません。
似たような計画は自社に既に存在するというIT部門の方もいるかもしれません。しかし、その計画は、IT-BCPとは似て非なるものである可能性があります。
例えば、販売システムの目標復旧時間(RTO)が定められていたとして、その時間は、営業業務自体の目標復旧時間と整合性が取れていますか? 販売システム自体が復旧してもそれだけでは業務を再開することはできません。業務を再開するためには、システムの復旧後、販売員を招集し、縮退したシステムの使い方を教育する必要があります。問い合わせのあった顧客への説明内容も組織として統一する必要があるでしょう。
また、販売システムの復旧において、バックアップしたデータのリストアの検証は済んでいるでしょうか? 実際にリストアを実施したところ、想定していたよりも時間がかかり目標復旧時間をオーバーしてしまったというケースをよく聞きます。システムをバックアップセンターに切り替えたまでは良かったものの、上位や外部のシステムの接続切替が必要であることが手順から漏れていたケースもあります。
いずれにせよ、これらについて未検討であるならば、あらためてIT-BCPの構築や見直しに取り掛かることをお勧めします。
この記事は参考になりましたか?
- IT部門が取り組むべきBCP対策の要諦連載記事一覧
-
- これからIT部門が取り組むべきIT-BCP対策のポイントとは?
- 本当に動くBCPとは何か?日本企業におけるBCP対策の課題を考える
- この記事の著者
-
村田 亮治(ムラタ リョウジ)
ニュートン・コンサルティング株式会社 コンサルタント
大手製薬会社で大規模ITインフラのITサービスマネジメント(サーバ監視、インシデント対応、セキュリティ管理等)に従事。その後、2005年の個人情報保護法の全面施行によって、今後日本において情報セキュリティの重要性が増すと確信し、情報セキュリティソ...※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
