経営を止めるBCPの盲点
~BCP担当者に最低限理解して欲しいITの脆弱性~


日商エレクトロニクス株式会社マーケティング本部


第二マーケティング部第二グループグループリーダー


青木俊氏

東日本大震災以降、災害の想定は大きく変わりました。広範囲に及ぶ被害、迅速に復旧すると考えられていた社会インフラが長期的に不安定になる可能性と、それに伴って長期にわたり社員が出社できないことなどです。前提条件の変化に伴い、ITも新たな対策の見直しが必要となっています。実際に遠隔地のデータセンターにバックアップサイトを保持したい、リモートで業務が遂行できる仕組みを構築したいといった、長期にわたるバックアップサイトでの運用を想定したリクエストが増えています。 

また、今まであまり意識されてこなかったサイバーテロの脅威に注視する企業が増加しています。これは故意の不正による脅威であり、2010年頃から傾向が大きく変化しています。より高い技術を持った組織が、特定の誰かを攻撃する意図をもって、長い時間をかけて攻撃する形です。具体的な事例として、農水省がトロイの木馬などウイルスの攻撃を受け124もの文書が流出した可能性があると発表しています。サイバーテロの脅威は確実に広がってきています。 

ITは経営を担う重要な要素となっているので、経営課題としてリスクに強いITを作り上げていくことは企業のBCPとしても大きな役割となります。 

企業のIT部門のインフラ構築に携わらせて頂く中で、作り上げたBCPがITの視点から見ると、有効性を失ってしまう3つのポイントがあるのではないかと感じています。 

1つは、リスクや技術が日々変化することを前提としていない点。BCPを作り上げたその時点では完璧なものでも、2~3年後には有効でないというケースが非常に多く、状況は常に変化することを前提にして対応しなければなりません。 

2つ目は、複雑で手動作業が多い仕組みになっている場合で、これは運用が困難です。BCP策定に直接携わっていない社員が災害時に運用できるか不安で、すべて自動でできることがITの事業継続の点では重要になります。BCP発動後は、ボタン1つで自動的に東京から遠隔地へデータを移行するといったことがITのBCPでは基本となるでしょう。

3つ目は、日常的な訓練ができない仕組みであることです。BCPではPDCAサイクルが肝であるとはご承知のことと思いますが、BCPの計画を立て実行しチェックする、それをテストする機能が備わっているかどうかがITでは重要です。担当者が不在の場合などあらゆる想定を立て、それに合わせて工夫できるポイントが見えてくることでより効果的な訓練になるでしょう。 

ITのBCPを有効に機能させるには、リスクアセスメントを3~4年ごとに定期的に行うことが肝心です。想定する前提条件に変化を加えることが重要で、その時々の技術によってアセスメントの効果も変わってきます。 

また、企業全体のBCPと各部門のBCPの整合が取れていることも重要です。例えば、全社的には24時間以内に社員の安否確認を行うとしているのに、営業部門では3時間以内と定めていたりすると、事業全体を支えるIT部門のBCPを実行するのは困難になります。当然ですがITのBCPを各部門ごとに策定するというのは効果的ではありません。 

サイバー犯罪対策については、サイバー攻撃の方法はより高度化しているため、一層複雑で手術的な対応が必要になってきています。というのは、トロイの木馬もその1つですが悪意のある仕掛けを一度内部に置かれてしまうと、その部分だけを取り除いても、どこかが感染していれば再び被害が広がってしまうため対策は非常に困難です。また、工場を管理する産業システムなどが標的となるケースも近年増加しています。さらに「巧妙で長期的な攻撃手段(Advanced Persistent Threat, APT)」と呼ばれる方法で執拗に攻撃を受けることも増えているため、リスクは莫大になっています。 

最後にまとめとして申し上げたいことは、リスクや技術革新がめまぐるしく変化するなかで、その変化を柔軟に捉えられる仕組みであることが最も重要なポイントとなります。 

私どもは、リスクの質的な変化を捉えながら、それに適用する最先端技術を現実的な形で提供しております。BCPのIT対策が必要となりましたら、是非ご相談ください。