属人性を排除し、想定外への“構え”を構築――3.11に学ぶBCPNEW

シマンテックは東日本大震災で有効に機能したBCP事例などを基に、同社が提唱するBCPの考え方を示した。

2011年07月22日 07時35分 公開
[上口翔子,TechTargetジャパン]

 シマンテックは7月21日、事業継続計画(BCP)に関する記者説明会を開催した。東日本大震災の被災地で聞いたBCP事例を基に、「情報資産を保護する仕組み」「セキュリティを担保した上で実現するBCP」という2つの観点で、同社が推奨するBCPの在り方を解説した。

BCPが機能した企業・機能しなかった企業の違い

 同社 システムエンジニアリング本部 シニアマネージャ 星野隆義氏は、被災地を訪問した経験から、東日本大震災時にBCPがうまく機能した企業の特徴を中小企業、大企業に分けて以下のように紹介した。

  • 中小企業:クラウド活用(基幹システム、メール、データバックアップ)、容易なバックアップ・リストア、代替PCの使用体制の整備、在宅勤務体制の確立、セキュリティの確保
  • 大企業:遠隔レプリケーションなどの導入、拠点ファイルサーバをデータセンターにリモートバックアップ、個人PCのOSレベルでのバックアップ・リストア、代替PCの操作容易化、在宅勤務体制の確立、セキュリティの確保
画像 システムエンジニアリング本部 シニアマネージャ 星野隆義氏

 興味深い事例として、星野氏は震災後のWebサイト更新体制に関する話を紹介した。仙台のある小企業では、自社のWebサイトを社外からも更新できる仕組みを設けていたことで、震災後すぐに自社の状況(「月曜日から事業を再開する」という情報)を発信できたという。一方ある町役場では、3月20日になっても震災状況を知らせるWebサイトのコーナーが「地震は発生していない」のままだったという。「(更新のなかった町役場は)異常なしの知らせがかえって不安をあおる結果となってしまった。自社サイトを持つ組織は、想定外の事態に備えてスマートフォンやクラウドなどの技術を活用してWebサイトを更新できる仕組みを持っておくことが必要。Webサイトが更新されているだけで、世の中に信頼を与えられる」(星野氏)

 では一方で、BCPがうまく機能しなかった企業にはどのような共通点があったのだろうか?

 星野氏は共通する原因として「計画停電」「過剰な属人性」「地方拠点のBCPが不十分」の3点を挙げた。「計画停電は、実施の有無に関係なくシステムを一時的に止めるなどの“準備”が発生する。データセンターが業務オフィスと別拠点にあり、両方が計画停電の範囲内だった企業などは2倍の影響を受けた。また一時的な在宅勤務の導入で出社する社員が限定されたことで、サーバが立ち上げれない、HDDのコピー方法が分からないなどの混乱が生じた企業もある。バックアップがあるのに、やり方が分かる若手社員は出社ができず、結果的に何もできない事態が生じた」(星野氏)

 こうした属人性の問題に加えて、被災地にバックアップ拠点を持つ企業は“バックアップを戻せる人間がいない”“クラウドに置いていても、アクセスする端末がない”などの問題が生じたという。

 星野氏は上記の難題を解決する方法として「業務で使用しているPCを誰でも簡単に復旧できる仕組み(属人性の排除)と、基幹データは全て中央のセンターに集中しておく体制(例えば関東地方のデータセンターが被災しても関西や沖縄に同じデータがあるなど)。この2点の体制を整えることで、今回のような震災でも乗り切れる」と述べた。中でも重要なのは、属人性の排除だという。

企業の最重要資産=人は「てんでんこ」で避難、データはクラウドで

 システムエンジニアリング本部 シニアマネージャ 米澤一樹氏からは、セキュリティを担保した上で想定外の事態に対応するための“構え”について紹介があった。

 米澤氏はまず、想定外の事態への対応として「備え」と「構え」の違いを解説した。備えとは、特定の事態や目標に沿った体制を整備することで、想定範囲内であれば関係者全員を対象に確実かつ公平に機能する。しかし想定外であれば対応できない。一方、行動原則にのっとり特定の機能を強化する構えは、想定外の事態にも対応できる可能性があるものの、関係者の能力・知識によって有効度合いにバラつきがでる。

 分かりやすい例としては、地震発生後の行動で避難訓練通りに集団行動をするのが備え、個々人が自身の判断で避難する“てんでんこ”が構えである。

画像 システムエンジニアリング本部 シニアマネージャ 米澤一樹氏

 「多くの日本企業が備えのBCPしか実行していない。備えと構えの組み合わせを意識したBCPを策定することで、公平性・網羅性を維持しながら想定外の事態に対応できる」(米澤氏)

 米澤氏が提唱する構えのBCPとは、どこからでも・どの端末からでも必要な情報資産をセキュアに活用できる状態を整えておくことだという。具体的には、暗号化や認証などのセキュリティ機能が備わった状態で、情報資産やアプリケーションをクラウド上で活用できる仕組みを示している。

 そうすることで、例えば津波発生時に従業員がてんでんこで避難しても、おのおのの従業員が断片的に所持している機器を利用して業務再開に向けた行動を取ることができる。クラウド上にバックアップしていた社員名簿を閲覧(従業員に安否確認)したり、取引先へ連絡・出荷の調整をしたりである。

 「全ての企業資産とまではいかなくとも、セキュリティを担保した状態で、最低限のデータをクラウドに保管しておくことが今後はさらに重要になるだろう」(米澤氏)

ITmedia マーケティング新着記事

news167.jpg

企業の生成AI活用 なぜ日本は米国に追い抜かれたのか?
PwC Japanグループは日米両国で実施した「生成AIに関する実態調査」を基に、日本企業と米...

news012.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2024年10月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

news167.jpg

堀江貴文氏のラジオ局と業務提携 売れるネット広告社がマス媒体に進出
売れるネット広告社は、実業家の堀江貴文氏が代表取締役会長を務める福岡県のラジオ局CRO...