今やITサービスが企業において重要な役割を担っていることは言うまでもありません。
東日本大震災や能登半島地震による被害はまだ記憶に新しいですが、近い将来、東京直下型地震や南海トラフ地震の発生も予測されています。
そこで、重要視されているのがBCP・事業継続計画です。
企業の重要な業務基盤であるITサービスの損壊を回避し、事業を継続できる仕組みを作ることが、企業経営にとって高い関心事になっています。
一方で費用対効果の見えにくさや、対応しなくても大丈夫だろうという考えから、具体的な施策に取り組めていない企業が多いのも事実です。
そこで今回は、BCP対策がなぜ必要なのか、BCP対策を行うにはどうすればいいのかをご紹介していきます。
BCPとは、「Business Continuity Plan(ビジネス・コンティニュイティー・プラン)」の略で、事業継続計画を指します。
BCP対策は、災害や事故など不測の事態による損害を最小限に抑え、事業の継続や早期復旧ができるように、組織の災害や事故への対策を策定して準備する取り組みを指します。
BCP対策には様々な視点があります。
まずは、「人的リソース」の視点です。
被災後、施設や設備が元通りにすることができたとしても、従業員が業務に復帰できなければ事業の早期復旧は困難です。
従業員の被災状況の把握や、少人数時のオペレーション方法、出社が困難な社員への対応などを明確にしておく必要があります。
2つ目は「体制」の視点です。
被災直後の混乱した状況の中で、自社の全事業を一斉に通常時に戻すことは困難です。
また、経営層は優先順位を瞬時に判断し、的確に指示を出さなければなりません。
被災した際に、誰がどう指揮を取っていくのかなど体制について検討しておくことが必要です。
3つ目は「施設・設備」の視点です。
本社や生産拠点などの重要施設が震災により損壊した場合、早期復旧が困難になります。
たとえ、施設そのものが無事であっても、内部の設備が被害を受けた場合も同様に早期復旧が困難になります。
生産や調達ができなくなった場合に備え、現在の業務フローの代替となる手段を用意しておく必要があります。
4つ目は「資金」の視点です。
被災により事業が中断してしまった場合、どの程度の損害が発生するのかを把握することが大切です。
被災し、ビジネスが止まってしまっている期間の事業資金に相当するキャッシュを確保しておけばひとまず安心です。
保険による損害補償や公的融資制度について把握しておくこともとても大切になってきます。
最後5つ目は「情報資産」の視点です。
この情報資産の視点はBCPの中で1番盲点になりがちなポイントかつ、重要なポイントとなります。
先述した4つの視点について完璧に対策していたとしても、業務に必要なデータが失われてしまっては事業を継続していくことが困難になります。
様々な地域での被災を予測し、遠隔にある複数の地でのデータのバックアップが必要です。
BCP対策を検討する際には、これら5つの視点を考慮することが重要です。
また、策定して終わりではなく、PDCAを回しながら常に改善し、緊急事態に備えることが大切です。
情報資産の管理にあたっては、「IT部門がどうにかしてくれるだろう」と情報システム部などの社内のIT部門に丸投げされるケースが少なくありません。
しかし、情報資産は事業において重要なものですので、会社全体で考えていく必要があります。
情報資産には以下が含まれます。
情報資産管理の重要性について考えてみます。
企業の信頼度の面で、取引先との契約書などの情報が漏洩してしまった際に、他企業からの信頼がなくなってしまう可能性があります。
火事場泥棒という言葉がありますが、このときに狙われるのは金品やモノだけではなく、情報資産も含まれます。
活用できるデータが被災により消えてしまったり、情報が漏えいしてしまわないように対策を行うことが大切です。
先程の章で情報資産管理の重要性についてご紹介いたしました。
この章では、実際に災害から情報資産を守るためには何をすれば良いのかを考えていきます。
まずは「情報の電子化」です。
情報を紙で保管している場合、災害時に消失してしまう可能性が極めて高いです。
紙で記録している情報の電子化を行いましょう。
また、電子で情報を保管していたとしても、災害が起きた際に、データのバックアップや保存先の二重化がされていないとすべてのデータが消えてしまうかもしれません。
次に「データの保存方法」です。
事業継続の観点では、単に記録情報を電子化するだけでは足りません。
データのバックアップを二重化するなどデータの保全性を確保したり、どこからでもアクセスできるクラウド環境の構築を行うなど、データの可用性も必要となってきます。
クラウド環境を構築することにより、「災害で自社の事業所が被災している」「パンデミックで通勤することができない」といった場合でも、自宅やサテライトオフィスの環境下で、一定の事業継続が可能となります。
東日本大震災や能登半島地震では、多くの企業で情報が消失し、事業継続ができなくなったケースも見られています。
情報資産管理体制を整え、何があっても自社の情報資産が消失しないようデータの保全性を確保するとともに、「いつでも・誰でも・すぐにデータを取り出せる仕組み」を作り、事業継続環境を整えましょう。
自社のサーバーやパソコンにデータを保持しないことで、滅失のリスクを低減することができます。
災害で自社のサーバーやパソコンが破損したり、水没してしまったりしても、大切なデータはクラウド上にあるため、安全に保管されています。
また、電車やバスなどの公共交通機関が運休したり、停電によって信号が機能せず出社できないといった場合でも、データがクラウド上にあることで、自宅からなど場所を問わず仕事をすることができます。
クラウド化するにも様々なサービスがあり、選定が難しいかもしれません。
そこで、ISIがおすすめするクラウドサービスをご紹介いたします。
まずは、クラウドの選定ポイントを4つご紹介します。
まずは「データセンターの堅牢性」です。
災害によってデータセンター自体が倒壊してしまっては、大切なデータを守ることができません。
クラウドベンダーが持つデータセンターが物理的に堅牢であるかは重要なポイントです。
次に「ネットワーク回線」の強さです。
電気とネットワーク回線が切れてしまうとサービスも停止します。
万が一の時にデータセンターの稼働に欠かせない電気とネットワーク回線をどう確保できるようになっているかがポイントです。
どれだけ堅牢な建物や設備であっても、絶対に倒壊しない設備は残念ながらありません。
そのため、データを1カ所のみで保管するのではなく、バックアップを分散して保管しておくことで、データ滅失のリスクを抑えることができます。
クラウドベンダーがデータをどのようにバックアップし、保管しているか、その仕組みをきちんと確認しておくことが大切です。
AWSやAzure、OCIといったクラウドインフラで発生する代表的なコストは、『仮想サーバー』の利用時間にかかる費用です。
1時間あたりの単価が、サーバーの性能(スペック)で決まっており、それを1ヶ月何時間利用したかで費用が計算されます。
一方で、クラウド利用時には、目に見えにくい費用も発生します。データ転送料、ストレージ利用料がこれにあたります。
クラウドサービスの中でも使うサービス、利用時間などを考慮し、試算してみましょう。
上記を踏まえて、ISIがおすすめするクラウドサービスは、Oracle社が提供している「OCI(Oracle Cloud Infrastructure)」です。
OCIでは、サブスクライブしているリージョンのみ選択できるので、費用が高額になってしまう原因としてあるあるな「意図しないリージョンにサーバーを構築してしまう」リスクがありません。
また、OCIは、1ヶ月のアウトバウンド通信料が10TBまで無料(以降 3.5円/GB)とAWSやAzureと比べて1番コストパフォーマンスが良いです。
詳しい費用の内訳についてはこちらの「クラウドインフラサービス」をご覧ください。
今回は、BCPに関しての基本的なことから、BCPに取り組む際のポイントをご紹介いたしました。
ITサービスは今や事業継続に欠かせないものになっており、万一の災害やサイバー攻撃等のリスクに備えて適切なBCP対策を講じておくことは極めて重要です。
そして、「基幹業務システムのクラウド化」は、コストをかけずに手軽に始められる、有効な対策の第一歩になるのではないでしょうか。
BCP対策の際に活躍するデジタルインフラサービスについてはこちらの「クラウドインフラサービス」をご覧ください。