属人性を排除し、想定外への“構え”を構築――3.11に学ぶBCP：NEW

シマンテックは東日本大震災で有効に機能したBCP事例などを基に、同社が提唱するBCPの考え方を示した。

≫ 2011年07月22日 07時35分公開

[上口翔子，TechTargetジャパン]

　シマンテックは7月21日、事業継続計画（BCP）に関する記者説明会を開催した。東日本大震災の被災地で聞いたBCP事例を基に、「情報資産を保護する仕組み」「セキュリティを担保した上で実現するBCP」という2つの観点で、同社が推奨するBCPの在り方を解説した。

BCPが機能した企業・機能しなかった企業の違い

　同社システムエンジニアリング本部シニアマネージャ星野隆義氏は、被災地を訪問した経験から、東日本大震災時にBCPがうまく機能した企業の特徴を中小企業、大企業に分けて以下のように紹介した。

中小企業：クラウド活用（基幹システム、メール、データバックアップ）、容易なバックアップ・リストア、代替PCの使用体制の整備、在宅勤務体制の確立、セキュリティの確保
大企業：遠隔レプリケーションなどの導入、拠点ファイルサーバをデータセンターにリモートバックアップ、個人PCのOSレベルでのバックアップ・リストア、代替PCの操作容易化、在宅勤務体制の確立、セキュリティの確保

システムエンジニアリング本部シニアマネージャ星野隆義氏

　興味深い事例として、星野氏は震災後のWebサイト更新体制に関する話を紹介した。仙台のある小企業では、自社のWebサイトを社外からも更新できる仕組みを設けていたことで、震災後すぐに自社の状況（「月曜日から事業を再開する」という情報）を発信できたという。一方ある町役場では、3月20日になっても震災状況を知らせるWebサイトのコーナーが「地震は発生していない」のままだったという。「（更新のなかった町役場は）異常なしの知らせがかえって不安をあおる結果となってしまった。自社サイトを持つ組織は、想定外の事態に備えてスマートフォンやクラウドなどの技術を活用してWebサイトを更新できる仕組みを持っておくことが必要。Webサイトが更新されているだけで、世の中に信頼を与えられる」（星野氏）

　では一方で、BCPがうまく機能しなかった企業にはどのような共通点があったのだろうか？

　星野氏は共通する原因として「計画停電」「過剰な属人性」「地方拠点のBCPが不十分」の3点を挙げた。「計画停電は、実施の有無に関係なくシステムを一時的に止めるなどの“準備”が発生する。データセンターが業務オフィスと別拠点にあり、両方が計画停電の範囲内だった企業などは2倍の影響を受けた。また一時的な在宅勤務の導入で出社する社員が限定されたことで、サーバが立ち上げれない、HDDのコピー方法が分からないなどの混乱が生じた企業もある。バックアップがあるのに、やり方が分かる若手社員は出社ができず、結果的に何もできない事態が生じた」（星野氏）

　こうした属人性の問題に加えて、被災地にバックアップ拠点を持つ企業は“バックアップを戻せる人間がいない”“クラウドに置いていても、アクセスする端末がない”などの問題が生じたという。

　星野氏は上記の難題を解決する方法として「業務で使用しているPCを誰でも簡単に復旧できる仕組み（属人性の排除）と、基幹データは全て中央のセンターに集中しておく体制（例えば関東地方のデータセンターが被災しても関西や沖縄に同じデータがあるなど）。この2点の体制を整えることで、今回のような震災でも乗り切れる」と述べた。中でも重要なのは、属人性の排除だという。

企業の最重要資産＝人は「てんでんこ」で避難、データはクラウドで

　システムエンジニアリング本部シニアマネージャ米澤一樹氏からは、セキュリティを担保した上で想定外の事態に対応するための“構え”について紹介があった。

　米澤氏はまず、想定外の事態への対応として「備え」と「構え」の違いを解説した。備えとは、特定の事態や目標に沿った体制を整備することで、想定範囲内であれば関係者全員を対象に確実かつ公平に機能する。しかし想定外であれば対応できない。一方、行動原則にのっとり特定の機能を強化する構えは、想定外の事態にも対応できる可能性があるものの、関係者の能力・知識によって有効度合いにバラつきがでる。

　分かりやすい例としては、地震発生後の行動で避難訓練通りに集団行動をするのが備え、個々人が自身の判断で避難する“てんでんこ”が構えである。