情報システムの世界では、事故や災害などの予期せぬ出来事によって事業の運営が停止しないように、事前に予防策や対策を立てることが重要となります。
そこで役立つのが「事業継続計画」で、「BCP」と呼ばれます。この記事ではBCPの設定方法やシステムにおけるポイント、そして定着化の方法を詳しく解説していきます。
BCPとは
BCPはBusiness Continuity Planの略で日本語では事業継続計画です。大規模な自然災害や人為的な事故が発生した場合でも、事業を継続するための計画のことを指します。重要なのは「万が一」の事態を想定し、その際にどの業務を続け、どの業務を停止するかを明確にし、最適なコストをかけてどのように対応すべきかを検討することです。
BCPの設定の進め方
それでは具体的にBCPを社内で実現していくまでのステップをご紹介します。
方針を決める
BCP策定の最初の一歩は、経営層またはBCPに責任を持つ部署がBCPの方針を決定することです。部署の場合は全社の経営企画などが責任を持つことが一般的です。システムだけでなく業務の継続計画が本質ですのでその視点で全体をマネージメントできる組織が責任を持つことになります。最終的にはBCPは組織全体に影響を及ぼすため、その方向性は経営層が示す事が望ましいといえます。事業継続の重要性を理解し、適切なリソースを投入することの重要性を全員が理解することが求められます。
方針に関しては会社として有事が起きた際にビジネスが縮退したとしてもどのレベルのサービスは提供しづけるのかを決めていく必要があります。
対策レベルを決める
方針が決まったらそれに基づいて全社のビジネスを構成する業務プロセスそれぞれに対して対策のレベルを決めます。レベルとは
高:通常時と変わらない運用を実現
中:一部業務を縮退した運用を行う
低:業務をストップする(有事の際は業務自体行わない)
というようなレベル分けを行うイメージです。これにより有事の際にどの業務をどのレベルで行うか?という整理が可能になります。
体制を考える
次に、BCP対策の体制を整えます。具体的な対策を実施するための組織や役割分担、情報共有のルートなどを明確にします。有事発生後に誰がどのルートで誰に連絡し、誰が指揮を執り、誰が対応するのか?などを全社の視点と各業務の視点、つまりマクロ、ミクロそれぞれの視点で定義していきます。
重要業務とリスクを洗い出す
次に具体的な全社の業務プロセスを洗い出し、その中で重要な業務とそうでない業務を整理します。すべての業務が等しく重要なわけではありません。
事業の存続に不可欠な業務を特定し、その上で各業務に対策レベルを割り当てましょう。また、各業務において発生しうるリスクを特定します。
例えば本社のある地域で災害が起こり社員が出社できない場合、など全業務を通して対策を考えるべきリスクと業務個別で検討が必要なリスクなど業務に支障をきたす可能性のあるリスクを洗い出します。
各事業の対策レベルを決定する
洗い出した各リスクについてリスクの発生可能性や重要度、及び業務の対策レベルを鑑みて各リスク×業務のカットでどのような対応をしていくのか?を決めていきます。
BCP策定についてのルールを明文化する
前述までの整理で各業務とリスク別の対応が決まったら改めて全社のBCP策定のプロセスをルール化し、全員が同じ理解を持つようにします。具体的にはBCP策定の手順、役割分担、リスク評価の方法などを含むドキュメントを作成します。これにより将来にわたって継続的にBCPの対応が可能になります。
各事業やシステムに関してBCPプランを策定する
最後に、各事業やシステムに関して具体的なBCPプランを策定します。これには、災害発生時の行動指針や連絡体制、リカバリ手順などが含まれます。システムのBCPプランもここで定義します。
システムにおけるBCP対策のポイント
では、次に具体的にシステムにおけるBCP対策のポイントをご紹介します。
リスクレベルの想定
前述のとおり業務別のリスクを整理する中で関連するシステムのリスクも洗い出しておきます。例えば利用しているデータセンター付近での災害や大規模な停電、人為的なミスによる事故などシステムに関連するリスクも様々なものがあります。これらシステム関連リスクに関してもまず最初に発生可能なリスクとその影響レベルを想定しておきましょう。
冗長構成(災体系)
システムのBCP対応において最もオーソドックスな対応が冗長化です。重要なシステムについては冗長構成にしておけば片側が機能不全に陥ってもシステムを継続利用できます。また、この際物理的な場所(例えばデータセンターなど)についても冗長化するなどもケアが必要です。
バックアップ・リカバリ
最悪の場合1からシステムを立ち上げなおすことも考えられます。その場合データや環境のバックアップとリカバリ設計が極めて有効です。災害がない場合でもシステムにおいて物理的にハードが壊れることなどはよくある話です。また、有事の際にどれくらいのスピードでリカバリできるのか?も業務継続の視点では重要なポイントです。定期的なバックアップと、システムを復旧するリカバリの設計が不可欠です。
連絡体制
災害が発生した場合、迅速な連絡体制が重要です。誰がどの情報を、どのように共有するか、具体的なルールを作成します。システムに関しては関係者が自社だけでは留まらない可能性もありますので関連するベンダ様や利用されているお客様なども含めどのような場合は誰にどのタイミングでだれから連絡するのか?など事前に決めておきましょう。
縮退運転の構成検討
一方でBCPの発動はそれほど頻繁には置きません。従いどこまでコストをかけるのか?がポイントになります。有事の際にしか使わない環境に投資をするのはもったいない話です。したがい、業務視点でのBCPプランに合わせてシステムとしてはどこまで縮退運転できるか?を決めていき、不必要に豪華な構成にしないことが重要です。
常に最悪を考える
上述までのシステムにおけるBCP設計においては常に発生しうる最悪のシナリオを考えましょう。最悪なケースに備えておけばそれ以下の事象が起きた場合は十分対応ができます。一度BCPに関するシステム構成が決まったらならば改めて発生する最悪のケースの場合どうなるか?を検証してみましょう。
BCP定着化のポイント
最後に、BCPを社内で定着化させるためのポイントをご紹介します。
定期的に見直しする
事業環境やリスクは常に変化します。そのため、定期的にBCPを見直し、更新することが重要です。またBCPを見直すことで業務プロセスなどの知識が社内で整理されブラックボックス化を割けることもできます。BCPは保険的な要素が強いため投資判断が難しいですがこれらの知識の継承、という視点で見直しをかけることも一案です。
定期的に訓練を行う
BCPは災害時に役立つものですが、それを実行できるようになるためには、定期的な訓練が必要です。年に1度などのペースで実際に有事発生を想定した訓練を行いましょう。そして発見された課題を事前に改称しておくことが実際の有事の際に迅速な対応につながります。
まとめ
BCPは事業を守るための重要な計画です。その策定は簡単なものではありませんが、この記事を参考に一歩一歩進めていきましょう。リスクは予測可能なものから突如として発生するものまで様々です。それらに備えて、今日からBCP策定に取り組んでみてください。
ーーーーーーーーーーーーーーーーーーーー
企業のICT環境、情報システムでお悩みの方へ
株式会社KUIXでは、クラウドサービスやICTサービスに関すること、情報システム部門のサポートを総合的に行っております。
DX推進やBIツールの導入・活用におけるコンサルテーションも行っておりますので、ぜひお気軽にご相談ください!お問い合わせはこちらから
