前回に引き続き、IT版のBCP(事業継続計画)について、お話します。
前回は要件定義をする際に業務の流れからするかITリスクからするかで2つの流れがあることをお話しました。今回は要件定義が終わったら、次に行う戦略策定についてお話します。
戦略策定の基本と最初の1歩
戦略策定と言っても現状の復旧能力と目標値とのギャップを踏まえて、どのように進めていくかの方針的な感じで検討を進めていきます。
自社の事業が継続するために必要な経営資源(人、物資、拠点、資金、システム等)をもとに、現地での復旧を進めるのか、代替拠点での対応を行うのかを検討してきます。
一時的な停電や大雨のような比較的一過性のものであればいいですが、大型台風や大きな地震のような地域全体のインフラまで影響する状況の場合、代替拠点の検討は不可欠です。特に道路や上下水道が無事でも、電気や通信がダメな場合はITシステムは途端に機能ができなくなります。
携帯電話を介した無線でも基地局に大きな被害が出た場合は復旧に時間がかかるため、有線でないから安心というわけではないことも留意しておきましょう。
上記を踏まえて、まずは優先すべきITサービスを決めます。電子メールやクラウドPBXのような連絡手段系とそれに付随する物理的ネットワークは通常業務との共通基盤になるので最優先になると思います。それ以外にも基幹システムや販売システムなど外部への影響が大きいものが上位にきます。
現地復旧か代替対応か
次に現地復旧か、代替対応かを検討していきます。この際には調達コストや利用までの時間等を考えて進めていきます。単にどちらか一方というよりか、初期段階では代替対応を行い、その後ある程度目途がついたら現地復旧を行うといった2段階での進め方が多いと思います。
代替対応もクラウドサービスの利用やリモートワークといったレベルから、被災地から離れた支店等の拠点に本社機能を一時的に移すといったことも検討しましょう。被災地以外で健全なシステム環境が確保できている場合は、そちらで対応できるようにするほうがコスト的には抑えられると思います。
ただし、代替対応は余分なコストになりがちなので復旧目標のレベルと費用のバランスを見る必要があります。最終的に現地復旧を行うことを考えて、応急処置的な対応で済ませることでコストを抑えるといったことも検討していきましょう。もちろん、事業が継続できないことによる売上減少なども考慮に入れる必要があるので、適宜、経営者層の判断を仰ぐことも大事です。
顧客とのシステム連携がある場合や同業他社で同様の仕組みがある場合は、共同運用のような仕組みでリスクを分散させておくことも検討できます。地域が異なる場合は相互バックアップや共同で運用するデータセンターの検討といったものです。
業務との関係と法規制の確認
次に優先業務との関連性や法規制等との整合性の確認です。本社業務は指示系統を確保するうえで優先度は高いです。また、他との接触がある営業や調達も比較的高くなります。これらの機能も全部ではなく、部分的な復旧でも基本的な外部対応が可能なので、その状況下で必要なITサービスを確認しておきます。
また、緊急時における規制緩和もあるので、平時ではできない対応も可能になることがあります。資金に対しても支援が期待できることもあるので、過去の災害事例における行政機関の対応においても調べておき、円滑に手続きができるようにしておきましょう。
いずれにしても、優先順位は最初にITサービスだけで決めた時より代替対応や優先業務との関係性で見直しを繰り返すことになります。何度か繰り返したうえで、いくつかの案が出てくる可能性があるので、最終判断は経営陣による意思決定を行うようにしてください。