POQA magazinePOQAがお届けするITお役立ち情報
3月15日、大手ハンバーガーチェーンのマクドナルドで、システム障害が発生しました。
影響範囲は大きく、15日段階の発表では日本のみならず、中国、イギリス、フランス、オーストラリア、ニュージーランドでも、一時注文ができないなどの障害が報告されています。
障害は15日の午後発生し、当日夜間には復旧、営業再開となりました。
原因について、米McDonald’sは3月15日(現地時間)で、サードパーティーベンダーがシステム設計を変更した際のミスである、と発表しています。
マクドナルドの場合は、当日の内にシステムを回復することができました。
また、システムがダウンしている間も、手打ち計算で営業を続けた店舗があるようです。
さて、あなたの組織はシステムがダウンした後、どのように営業を続けますか?
ということで、「BCP対策の立て方」についてお話しします。
BCPとは?
BCPとは、「Business continuity planning」の略であり、「事業継続計画」を指します。
BCP、という言葉自体が世界的に注目されたきっかけは2001年の同時多発テロ、国内で注目されたきっかけは2011年の東日本大震災だったと言われています。
この段階では、戦争などの世界情勢や、震災が原因で起こる事業の停止が「BCP対策」のメインでした。
近年では、サイバー攻撃などの原因でIT資産が損害を受けたことが事業の停止につながる事案が発生し、「IT資産のBCP対策をどのように立てるか」がトレンドになっています。
ここで間違いがちなのが、「BCP」と「防災」を混同することです。
BCP策定のきっかけに「自然災害」が含まれるので、防災と同じく考えてしまいがちですが、以下の違いがあることを把握しておきましょう。
| 防災 | BCP | |
| 目的 | 従業員や自社設備の保全 | 事業の継続 早期復旧 |
| 何に備えるのか | 自然災害や、そこから発生する火災などの事故 | 自然災害、パンデミック、テロや経済危機などの社会情勢、サイバー攻撃など、事業の継続が困難になるあらゆる事態 |
| 評価の方法 | 死傷者数 | 物的、経済的損害等をいかに小さくするか |
もうひとつ、防災とBCPの異なる重要な点は、BCP計画の立案には、組織全体で取り組む必要がある、ということです。
防災の場合、一部の部署が計画を行い、それに他部署・従業員が従う、という形をとることが可能です。
しかし、BCPの計画を立てるためには、従業員の安全を守る部署、情報の運用を行う部署、実際に営業を担う部署、あらゆる部署が、実際の災害時にどのように動くべきかを考えなければなりません。
BCPを策定する手順
次に、BCP対策を行うための基本的な手順について押さえておきましょう。
手順は、
①リスクを具体的に定める
②重要な業務を定める
③対応の優先順位を考える
④具体的に計画を立てる
⑤BCMにつなげる
の5段階に分かれます。
①リスクを具体的に定める
一言でリスク、と言っても、その様態と被害の状況は様々です。
大規模な自然災害が発生すれば、公共交通機関が停止し、従業員を無理に出勤させることはできず、人手を確保することはできません。しかし被害状況によってはシステムは稼働しているでしょう。
一方で、サイバー攻撃でシステムがダウンしているような場合は、従業員自身は無事ですので、作業をする手は確保できるでしょう。
このように、危機的状況が発生した原因によっては状況ががらっと変わってしまいます。
リスクは一般的には、
・自然災害
・事故
・伝染病の流行
・テロなどの社会情勢
・サイバー攻撃/システム障害
が挙げられます。
これ以外にも、組織の体制や立地条件など、組織特有のリスクがあるはずですので、まずは、「自組織にとって危機と言えること」を全て具体的に列挙しましょう。
②重要な業務を定める
組織にとっての「中核事業」を考えます。
災害が発生し、人的・物的リソースが限られる状況では、通常通りにすべての業務を行うことができません。
そのため優先順位の高いこと、「中核事業」にリソースを集中させる必要があります。
・社会的な信頼や評判に直結する事業
・納期が遅延した場合に、甚大な被害が発生する事業
・自組織の利益に最も寄与している事業
などが、中核業務にあたります。
③対応の優先順位を考える
「①」で列挙した通り、世の中にはありとあらゆるリスクが存在します。
全てのリスクに備えることができれば理想的ですが、現実的にはリスク全てに対応策を設定することはなかなかむずかしいでしょう。
そのため、「リスクが発生する頻度/確率」と、「被害があった場合の損害の度合い」の2つの軸を設定し、優先度の高いものからBCP対策を行います。
④具体的に計画を立てる
各リスクのシナリオにあわせて、具体的な対策を立てます。
計画を立てる際には、3つの段階に分けて考えると、計画を立てやすいです。
・被害状況を確認する
まずは、人的物的被害がどの程度発生しているのか確認します。
・代替手段で中核事業を運営する
発生しうる被害に遭わせた縮退運用の内容を具体的に考えます。
「中核事業のみ継続する」場合でも、リスクの内容によっては、人数が確保できないかもしれません。さらに言えば、本来の担当者が従事できない状況になっている可能性もあります。システムがダウンして、簡単には中核事業に必要なデータにアクセスできないかもしれません。
リスクの原因にあわせて状況を具体的にイメージし、「どういった状況でも、定めた中核事業を継続できる」計画を立てなければいけません。
・平常操業に戻す
被害を受けた箇所を復旧する手順を定めます。
仮に被害箇所が情報資産部分であった場合、バックアップの有無が重要なポイントになります。
バックアップを取得していたとしても、その取得したデータの保存場所が自組織と同じ場所であった場合、自然災害などで事業所がダメージを受けてしまうと、バックアップデータは失われてしまうかもしれませんね。
そのため、バックアップを取得する方法、保存する場所、取得する頻度などをきちんと検討しなければなりません。
⑤BCMにつなげる
BCP計画の具体案が決まりました!
しかし、それでは終了しません。
計画を立てたらその後はBCM(Business Continuity Management)、事業継続マネジメントに移行します。
せっかく立てたBCPも、従業員に共有されていなければ、非常時にすぐには役に立ちません。
人や施設、システムの入れ替えにより、以前立てたBPCの加除が必要になることもあります。
そのため、BCP策定後も以下のような行動が継続的に必要です。
・BCPで定めた事前対策を実施すること
・BCPを浸透させるための教育、訓練の実施
・BCPの定期的な点検と改善
さいごに
とはいえ、BCP対策が完了している企業は、中小企業に限ると半分以下にとどまります。
内閣府が令和4年に発表した「防災白書」では、以下の通りです。
事例にテロや大規模な自然災害を上げてしまったため、どうしても現実味を感じない、他人事に感じてしまう、という方もいらっしゃるかもしれません。
とはいえ、我々は直近に、世界的な感染症の大流行、という非日常を体験しました。
あれも一種の災害と言えます。
普段から、対策を立てていた組織はリモートに速やかに移行ができたでしょうし、想定していなかった組織は、リモート用の環境の構築、機器の調達からはじめなければならず、その間業務が遅滞するなどの損害が発生したはずです。
いずれの組織も、災害などの被害に遭いうる、という想定でBCP対策を立てる必要があります。
↓IT事故が発生した際の対応についてはこちら
↓個人情報漏洩時の対応についてはこちら
