2014/01/25
セミナー・イベント
経営を止めるBCPの盲点
~BCP担当者に最低限理解して欲しいITの脆弱性~
日商エレクトロニクス株式会社マーケティング本部
第二マーケティング部第二グループグループリーダー
青木俊氏
東日本大震災以降、災害の想定は大きく変わりました。広範囲に及ぶ被害、迅速に復旧すると考えられていた社会インフラが長期的に不安定になる可能性と、それに伴って長期にわたり社員が出社できないことなどです。前提条件の変化に伴い、ITも新たな対策の見直しが必要となっています。実際に遠隔地のデータセンターにバックアップサイトを保持したい、リモートで業務が遂行できる仕組みを構築したいといった、長期にわたるバックアップサイトでの運用を想定したリクエストが増えています。
また、今まであまり意識されてこなかったサイバーテロの脅威に注視する企業が増加しています。これは故意の不正による脅威であり、2010年頃から傾向が大きく変化しています。より高い技術を持った組織が、特定の誰かを攻撃する意図をもって、長い時間をかけて攻撃する形です。具体的な事例として、農水省がトロイの木馬などウイルスの攻撃を受け124もの文書が流出した可能性があると発表しています。サイバーテロの脅威は確実に広がってきています。
ITは経営を担う重要な要素となっているので、経営課題としてリスクに強いITを作り上げていくことは企業のBCPとしても大きな役割となります。
企業のIT部門のインフラ構築に携わらせて頂く中で、作り上げたBCPがITの視点から見ると、有効性を失ってしまう3つのポイントがあるのではないかと感じています。
1つは、リスクや技術が日々変化することを前提としていない点。BCPを作り上げたその時点では完璧なものでも、2~3年後には有効でないというケースが非常に多く、状況は常に変化することを前提にして対応しなければなりません。
2つ目は、複雑で手動作業が多い仕組みになっている場合で、これは運用が困難です。BCP策定に直接携わっていない社員が災害時に運用できるか不安で、すべて自動でできることがITの事業継続の点では重要になります。BCP発動後は、ボタン1つで自動的に東京から遠隔地へデータを移行するといったことがITのBCPでは基本となるでしょう。
3つ目は、日常的な訓練ができない仕組みであることです。BCPではPDCAサイクルが肝であるとはご承知のことと思いますが、BCPの計画を立て実行しチェックする、それをテストする機能が備わっているかどうかがITでは重要です。担当者が不在の場合などあらゆる想定を立て、それに合わせて工夫できるポイントが見えてくることでより効果的な訓練になるでしょう。
ITのBCPを有効に機能させるには、リスクアセスメントを3~4年ごとに定期的に行うことが肝心です。想定する前提条件に変化を加えることが重要で、その時々の技術によってアセスメントの効果も変わってきます。
また、企業全体のBCPと各部門のBCPの整合が取れていることも重要です。例えば、全社的には24時間以内に社員の安否確認を行うとしているのに、営業部門では3時間以内と定めていたりすると、事業全体を支えるIT部門のBCPを実行するのは困難になります。当然ですがITのBCPを各部門ごとに策定するというのは効果的ではありません。
サイバー犯罪対策については、サイバー攻撃の方法はより高度化しているため、一層複雑で手術的な対応が必要になってきています。というのは、トロイの木馬もその1つですが悪意のある仕掛けを一度内部に置かれてしまうと、その部分だけを取り除いても、どこかが感染していれば再び被害が広がってしまうため対策は非常に困難です。また、工場を管理する産業システムなどが標的となるケースも近年増加しています。さらに「巧妙で長期的な攻撃手段(Advanced Persistent Threat, APT)」と呼ばれる方法で執拗に攻撃を受けることも増えているため、リスクは莫大になっています。
最後にまとめとして申し上げたいことは、リスクや技術革新がめまぐるしく変化するなかで、その変化を柔軟に捉えられる仕組みであることが最も重要なポイントとなります。
私どもは、リスクの質的な変化を捉えながら、それに適用する最先端技術を現実的な形で提供しております。BCPのIT対策が必要となりましたら、是非ご相談ください。
セミナー・イベントの他の記事
おすすめ記事
-
-
リスク対策.com編集長が斬る!【2024年4月23日配信アーカイブ】
【4月23日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:南海トラフ地震臨時情報を想定した訓練手法
2024/04/23
-
-
-
2023年防災・BCP・リスクマネジメント事例集【永久保存版】
リスク対策.comは、PDF媒体「月刊BCPリーダーズ」2023年1月号~12月号に掲載した企業事例記事を抜粋し、テーマ別にまとめました。合計16社の取り組みを読むことができます。さまざまな業種・規模の企業事例は、防災・BCP、リスクマネジメントの実践イメージをつかむうえで有効。自社の学びや振り返り、改善にお役立てください。
2024/04/22
-
-
リスク対策.com編集長が斬る!【2024年4月16日配信アーカイブ】
【4月16日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:熊本地震におけるBCP
2024/04/16
-
調達先の分散化で製造停止を回避
2018年の西日本豪雨で甚大な被害を受けた岡山県倉敷市真備町。オフィス家具を製造するホリグチは真備町内でも高台に立地するため、工場と事務所は無事だった。しかし通信と物流がストップ。事業を続けるため工夫を重ねた。その後、被災経験から保険を見直し、調達先も分散化。おかげで2023年5月には調達先で事故が起き仕入れがストップするも、代替先からの仕入れで解決した。
2024/04/16
-
工場が吹き飛ぶ爆発被害からの再起動
2018年の西日本豪雨で隣接するアルミ工場が爆発し、施設の一部が吹き飛ぶなど壊滅的な被害を受けた川上鉄工所。新たな設備の調達に苦労するも、8カ月後に工場の再稼働を果たす。その後、BCPの策定に取り組んだ。事業継続で最大の障害は金属の加温設備。浸水したら工場はストップする。同社は対策に動き出している。
2024/04/15
-
動きやすい対策本部のディテールを随所に
1971年にから、、50年以上にわたり首都圏の流通を支えてきた東京流通センター。物流の要としての機能だけではなく、オフィスビルやイベントホールも備える。2017年、2023年には免震装置を導入した最新の物流ビルを竣工。同社は防災対策だけではなく、BCMにも力を入れている。
2024/04/12
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方