許容停止時間は短く

図1は「あなたの組織は重要なITシステムなしでどのくらいの時間耐えられますか? (すなわち、あなたの組織の最大許容停止時間はどのくらいですか?)」という質問に対する回答結果である(注3)。下側の色が濃い部分が2017年、上側の斜線部分が2019年の回答結果である(グラフの原点と縦軸の間隔が両者の間で異なるようなので比較の際は注意されたい)。

両者は同じような形になっているが、数値を細かく見ていくと、「12時間未満」より左側(より時間が短い側)の数値が若干増えていることが分かる。誤差の範囲という感じがしないでもないが、この点について本報告書では「これはおそらくビジネスにおいてダウンタイムがより許容されなくなってきているためであろう」と指摘されている。

写真を拡大 図1.最大許容停止時間(MTPD)を尋ねた結果(出典:Databarracks / Data Health Check 2019、読みやすさの向上のために数値の部分などを編集してあります。なお2019年の「2日未満」の部分において、数値とグラフの形が一致していませんが、ここは「9%」という数字が正しいようです)

また図2は、経営層は最大許容停止時間がどのくらいだと考えているかを尋ねた結果である。図の下側の色が濃い部分がIT部門の回答(つまり図1の上側と同じ)、上側の薄い部分が経営層の認識である(こちらも図1と同様、グラフの原点と縦軸の間隔が両者の間で異なる)。

写真を拡大 図2.経営層は最大許容停止時間がどのくらいだと考えているか(出典:Databarracks / Data Health Check 2019、読みやすさの向上のために数値の部分などを編集してあります)

この結果を見る限り、IT部門と経営層との間で認識のズレはあまり大きくないようであるが、本報告書においては「1時間未満」より短い部分の数字を見ると経営層の方が若干多いので、経営層のほうが若干シビアに考えているようだと指摘されている。

本稿では筆者の興味ある部分をピックアップして紹介させていただいたが、本報告書では他にもサイバーセキュリティやデータ保護・バックアップなどに関する調査結果が掲載されており、図が中心でページ数の割には平易に読める報告書なので、このような分野にご興味のある方々にはご一読をお勧めしたい。

■ 報告書本文の入手先(PDF34ページ/約8.1MB)
https://www.databarracks.com/resources/data-health-check-2019

注1) 例えば直近では以下の各回でサイバーセキュリティに注目されている調査報告書を紹介させていただいた。
第73回:GDPR導入後の英国におけるサイバーセキュリティの実態(英国デジタル・文化・メディア・スポーツ省 / Cyber Security Breaches Survey 2019) https://www.risktaisaku.com/articles/-/18239
第72回:DDoS攻撃の発生状況とその実態(Link11 / Distributed Denial of Service Report for the year 2018) https://www.risktaisaku.com/articles/-/18104
第67回:世界のBCM関係者の懸念は今年もまたサイバー攻撃(BCI / Horizon Scan Report 2019) https://www.risktaisaku.com/articles/-/15890

注2) 2018年12月に紹介させていただいた下記の調査報告書で、インシデントの根本原因として最も多かったのは「Change management」(変更管理)であったこととも整合する。
第61回:英国の金融業界におけるITトラブルに関する実態調査(FCA / Cyber and Technology Resilience: Themes from cross-sector survey 2017-2018) https://www.risktaisaku.com/articles/-/13573

注3)「最大許容停止時間」(maximum tolerable period of disruption)は国際規格ISO22301:2012(および日本産業規格JIS Q 22301:2013)で次のように定義されている。
「製品・サービスを提供しない、又は事業活動を行わない結果として生じる可能性のある悪影響が、許容不能な状態になるまでの時間」。

(了)