連携と調整、意思決定に重点

イギリスのBCPをリードするのが金融業界だ。世界の金融機関が集まるロンドンでは、オリンピック開催を前に、他機関との連携や調整、経営層の意思決定にフォーカスした大規模な訓練が行われていた。進化するBCPの最前線を追った。


2011年11月22日、ロンドンでは、金融機関87社、計3500人が参加するマーケットワイド・エクササイズ(MWE)と呼ばれる合同訓練がFSA(金融庁)の呼びかけによって行われた。FSAが世界に先駆け2003年から始めたもので、今回が6回目となる。テロや新型インフルエンザなど市場全体に影響を与えるような脅威に対して、金融機関各社が相互依存関係のもと、事業を継続できるかを業界全体で検証することを目的にする。アメリカでは「ストリートワイド訓練」とも呼ばれている。 

今回のMWEでは、シナリオとして、オリンピック期間中におけるサイバー攻撃が取り上げられた。サイバー攻撃は、現在、イギリスでも最も大きな脅威の1つとされている。 

訓練は、オリンピック期間中、陸上競技の決勝などで最も混雑が予想される8月3日に、金融機関のネットワークシステムがサイバー攻撃を受けるという想定のもと実施された。

訓練の目的は、各金融機関のインターネットやテレコミュニケーションへの依存度を検証するとともに、CHAPSの会員である主要銀行(16の決済銀行)をはじめとした、各参加機関の連携や調整、そして特に経営層における意思決定力を高めることにある。 



RBS(Royal Bank of Scotland)やJPモルガンで事業継続の責任者を務め、金融機関のリスクマネジメントに詳しいCharles Underwood氏によると、訓練は、FSA内に設けられたセンターから、ファシリテーター(訓練の進行役)が参加機関に対してシナリオにもとづいた様々な状況を付与し、参加機関は与えられた状況に対してどう対応するかを、今度は各組織のファシリテーターが組織内の経営層、部門責任者、実務担当者の対応を見ながら返答するといった形で進められていく。各参加機関からの返答は、次のシナリオへと反映されるため、常に業界全体の現実的な被害想定が導き出され、参加機関はそれぞれのBCPを他との相互依存関係のもとで検証することができるのだという。 

Underwood氏は、今回の訓練について「過去に比べはるかに内容がよくなっている」と評価する。特に注目しているのが、訓練への経営層(シニアマネジメント)の関与だ。「CHAPSというイギリスの金融の要が機能しなくなるというシナリオにすることで、各金融機関の経営層が参加せざるを得ない状況をつくり出したことは大きな成果」(同)とする。訓練の結論の1つとして明らかになったことは、CHAPSが機能しない場合における各機関の役割が明確になっていなかったことと、各機関のコミュニケーションが不足していたことだとUnderwood氏は指摘する。 

「CHAPSについては、バックアップシステムもあり、仮にシステムの障害があっても切り替えればいいと、皆の頭の中では考えられていた。それが、サイバーテロという脅威を想定したことで、バックアップシステムまでも使えなくなり、その状況で各機関が何をすべきか、CHAPSの事業継続計画は機能するのかを見直せた」(Underwood氏)。 

MWE2011 のシナリオ

(抜粋)

8月3日、テロへの警戒レベルは厳戒態勢へと引き上げられ、人々の不安が高まる中、朝7時 45 分のラッシュアワーに、金融機関の立ち並ぶバンク駅近くで原因不明の爆発事故が起こる。交通機関は大幅に 遅延し、多くの社員は定時出勤が不可能となり、在 宅勤務をすることになる。しかし、インターネット回 線は、オリンピック中継と爆発騒動によって混みあい (通常の3∼4倍も通信速度が遅い状態) 、6−8割 の在宅勤務者がインターネット接続に問題を抱える。 9時 15 分には、爆発の原因がガスであることが確か められたが、 避難勧告線は 200 メートルまで広げられ、 その範囲内のビルの従業員が避難した。 時には、 13 安全宣言が出され騒動は一旦落ち着く。  

ところが、 この事故とは別に、 金融機関のネットワー クにマルウェアという悪質ウイルスが潜入し、英国投 資情報ウェブサイトはハッカーによる DDoS 攻撃と呼ばれる大量の不正アクセスを伴うテロ攻撃を受け る。これにより電子取引と、オンラインシステムの業 務が行えなく なり、約半数の POS カード業務が不能 に陥る。 ATM など個人向け金融業務や、大口の金融 業務まで影響を受け、 CHAPS (The Clearing House Automated Payment System)と呼ばれるイギリス の決済システム (日本でいう全銀システム)にまで問 題が波及していく。

 

■2万人参加のストレステストもう1つ注目したい訓練が、ロンドン東部にある大規模ウォーターフロント再開発地域のカナリーウォーフ地区で今年5月8日と9日の2日間にかけて行われた「ストレステスト」だ。同地区には、世界の金融機関の巨大ビルが立ち並ぶ。ここでの労働人口は10万人に及ぶ。 

ストレステストは、カナリーウォーフ地区内の企業が、オリンピック期間中における混乱を軽減するために、在宅からのリモートアクセスや代替ロケーションの活用、労働時間の変更、交通手段の変更により、どのくらい通常業務が継続できるかを確認する目的で行われた。同地区全体の管理団体であるカナリーウォーフグループと、コンサル大手のデロイトが共同で実施したもので、金融機関、コンサルティング会社、公共機関、IT、メディアなど計107社、2万1000人が参加した。 

デロイトが発表したストレステストの結果(概要)によると、在宅からのリモートアクセスに関しては、5段階評価で8割以上の企業が好評価。回線容量などの問題は見当たらなかった。一方で、代替ロケーションや交通機関の変更は課題も浮き彫りにした。

■文章の計画から実効力の確保へマーケットワイド・エクササイズにしろ、カナリーウォーフでのストレステストにせよ、イギリスの特に金融機関におけるBCPは個々の事業継続から他機関との連携と調整までを考慮した事業継続へと、確実に進化しているように思われる。

Underwood氏は、「金融機関については、FSAからの規制がきつく、BCPに取り組んでいる期間が長いこともあって、重要業務分析や、リスク分析など計画の文章をつくることには相当成熟してきている。今は関係機関、サプライチェーンを含め、いかにリスクに対応していくということにニーズがシフトしてきている」と語る。 

Underwood氏は、かつて日本の外資系金融機関で働いていた経歴を持つが、イギリスと日本の訓練の違いについて「日本は地震を想定した生命を守るための訓練が多いが、商業的側面にフォーカスした訓練もやるべきだと思う。それにはサイバー攻撃は1つのいいシナリオになる。また、日本の金融サービスはとても多様化していて、すでに十分なリスク分散はされているが、監督官庁や日本銀行は、各金融機関が危機発生時にどういうリアクションを取るのか日頃から理解していないといざ何か起きたときに、全体をコーディネートすることができない。それが端的に表れたのが福島第一原発事故で、電力会社と政府間の日常的なコミュニケーションが欠乏していた」と話している。

<hr>

■課題は中堅・中小企業金融を中心にBCPの先進的な取り組みが進むイギリスにおいても課題はある。 金融系コンサルティング会社CityIQのPaul Wiltshire氏は「金融機関でも、大企業はかなりの準備を進めているが、中堅以下の金融機関では、ユーロ圏の問題で市場が狭くなっていることや、厳しい財政事情もあり、オリンピック対策にコストや時間がかけられないのが現状」と明かす。実際、同社が昨年行った調査では、今後、取り組むべき課題として、目まぐるしく変化するITやシステムへの対応、コストの削減、組織の統廃合などが上位を占めたという。

ただ、Wiltshire氏は、こうした中堅以下の金融機関ほど、オリンピックの影響は受けやすいと指摘する。「地下鉄が大幅に遅延したら、大企業なら多くのスタッフがいるため業務をカバーできるだろうが、小規模の金融機関では、為替や証券の取引担当者が普段から少なく、仮に半数が大幅に出社が遅れる、あるいは出勤できなくなれば、決められた時間までに売り上げを上げられず、莫大な損失を被る可能性もある」とする。 

金融機関に限ったことではない。他業種のコンサルティングなども手掛ける同社のJohn Halfacre氏は、金融や通信、あるいは小売のようにオリンピックで特別な需要が期待できるところ以外は、ビジネスが滞っても大した影響はないと思っている人がほとんどだろうと推測する。 

「政府からは様々な情報が提供されているため、多くの企業が対策の必要性は認識しているはず。しかし、特に中小企業は、そもそもBCPに取り組む気がなかったり、BCPのことを単なるIT対策と考えているなど正しく理解していないところが多いのが実情」(Halfacre氏)。 

イギリスも日本同様、企業数全体に占める中小企業の割合は非常に高い。英内閣府では今年8月、中小企業でもわかりやすくBCPについて学べる解説本の発行を予定しているようだが、全体の底上げをしなくてはいけないというのは日本と共通の課題だ。