Rewrite the Standard.

IBM i 基幹システムBlog

情報システム部門におけるBCP/BCM対策のポイント— 事業継続を支えるIT戦略

2025.03.12

本記事は、BCP(事業継続計画)や災害対策をテーマにしたシリーズの第2回目です。前回の記事では、BCPの基本概念や重要性について解説しました。今回は、企業のIT基盤を支える情報システム部門にフォーカスし、情報システム部門がBCP/BCMにどのように対応していけばよいのか、実務の視点から解説していきます。

1.事業継続における「情報システム部門」の役割とは?

情報システム部門がBCP/BCMで果たすべき役割は、大きく分けて2つあります。

役割1.事業継続のためのインフラを維持・提供する

情報システム部門は、業務を支えるシステムが止まらないようにすること、また、万が一止まった場合に速やかに復旧できる仕組みを作ることが求められます。システム環境の設計においては、業務のRTO(目標復旧時間)とRPO(目標復旧時点)を明確にし、それに基づいた環境を提供することが不可欠です。これは災害だけでなく、システム障害についても同様です。

システムの冗長化を検討し、システム、回線、データセンターの二重化を行うことで、障害時の影響を最小限に抑えることができます。また、障害や災害時に迅速に対応できるよう、復旧手順を整備し、具体的な対応マニュアルを作成しておくことも重要です。これらは、BCPとして情報システム部で良く検討される項目です。

さらに、データは何事があっても消失することの無いような対策を施しておくことがとても重要です。バックアップデータの疎開(隔地保管)やデータの二重保管(障害用、災害用)などがこれにあたります。サーバーなどの機器は万が一壊れてしまっても、時間をかければ復旧できますが、データの復旧は困難です。

役割2.非常/被災時の情報収集・伝達の仕組みを提供する

非常/被災時には、正確な情報を迅速に集め、必要な人に伝達することが重要です。リスクコミュニケーション(非常時の情報伝達手段)の確立が不可欠であり、非常時の情報伝達手段としては、電話やメールのほか、安否確認システムや伝言板の活用が考えられます。また、BYOD(Bring Your Own Device)の活用やモバイル環境の整備などもこれにあたります。

さらに、非常時には社内外に正確な情報を迅速に発信することが求められます。特に、社内の従業員だけでなく、取引先や顧客にも適切な情報を届けることが重要です。そのための手段として、緊急時専用のWebページやSNSを活用することで、迅速かつ広範囲に情報を届けることが可能になります。

また、リスクコミュニケーションの強化には、総務部門や人事部門との連携も不可欠です。各部門と協力しながら、適切な情報発信体制を整えることが、非常時の混乱を最小限に抑える鍵となります。

これらの中で最も重要で最低限必ずやらないといけないことは、データの保全です。昨今、電子商取引が進み、紙でデータが残っていないので、場合によってはデータが復旧できない状態=システムが復旧できないことになる可能性もあります。

2.事業継続のためのインフラを維持・提供するために

事業を継続するためのインフラを維持・提供するにあたり、情報システム部門は以下のような課題を抱えがちです。

  • ・どの程度のシステムを構築すればよいのか?
  • ・予算が限られている
  • ・対応する時間がない
  • ・システムが増えすぎて、何から手をつけるべきか分からない

方策を検討する際、会社全体として策定されたBCPや経営層から降りてくるトップダウンアプローチと情報システム部門独自で検討するボトムアップアプローチがあります。

  • トップダウンアプローチ:経営層の支持を受けやすく、予算を確保しやすい。
  • ・ボトムアップアプローチ:予算確保が難しく、経営層への十分な説明が必要。

トップダウンアプローチは経営層の支持を受けやすく、予算を確保しやすいですが、ボトムアップアプローチの場合は予算が付きにくく、方策を推進するためには経営層への十分な説明が必要になります。現行情報システム資源のリスクとリスクが顕在化した場合の損害規模を大まかに想定し、全社による事業継続計画に対する提言活動が必要となります。

情報システム部門としての事業継続のための方策として次のようなものが挙げられます。

業務と情報システムの整理・重要度の明確化

まずは現状把握を徹底しましょう。

  • ・データは適切に保管されているか?
  • ・いまシステムが停止・消失した場合、業務が何時間停止するか?
  • ・復旧にかかる時間はどれくらいか?
  • ・代替手段(業務プロセスの見直しを含む)はあるか?

業務と情報システムの整理・重要度の明確化は、事業継続の第一歩です。ここから始まるといっても過言ではありません。頭で理解するだけでおわらずに、情報システム部門でこれらをしっかりと文書として明文化し経営層に報告しておくことで事業継続のために必要な対策の訴求がしやすくなります。

エンタープライズアーキテクチャの見直し(システム全体の最適化)

システムの統制を取り、シンプルな構成にすることが重要です。

  • ツギハギのシステムでは災害対策に時間とコストがかかる
  • ・サーバー・ストレージの統合、バックアップの統合を進める
  • ・大規模なシステム更改のタイミングに合わせて最適化する

システムがシンプルであるほど、対策の実施も容易になります。システム全体を見直して最適化してきましょう。

段階的アプローチ(Small Start)

すべてを一度に実施するのは困難なため、中長期的なロードマップを作成しましょう。

  • ・最も重要なシステムや更改のタイミングで優先的に実施
  • ・実施が難しい部分は代替案を明確にする
  • ・予算を段階的に割り当て、少しずつ進める

事業継続や災害対策に割り当てられるIT予算は、全体の約1/10程度といわれており、一度に大規模な対策を講じるのは難しいのが現実です。段階的にアプローチすることで、少しずつ予算を割り当てて実施していくことも成功のカギになります。そのために中長期計画を立てて、主要なサーバーの更改タイミングでバックアップ機を構築していくのも良いでしょう。

システムの要塞化

災害に強いデータセンターやクラウドを活用し、システムの消失を防ぎます。

  • 甚大な災害時でも数日のダウンは許容し、業務運用でリカバリー
  • ・あえて遠隔地に設置し、本社機能や情報システム部と同時被災しない環境を構築
  • ・最々重要システムのみバックアップシステムを検討

システムの要塞化は、災害に強いデータセンターやクラウドを利用することで地震や火災などの被災でシステムが停止する確率を下げることができます。あえて本社機能や情報システム部門から離れた場所で稼働させることで、人とIT資源の同時被災を避けることもできます。こうした取り組みを積み重ねることで、事業継続性を高め、万が一の事態にも備えた強固なシステムを構築することができます。

3.情報収集と情報伝達

非常時/被災時には正しい情報収集と情報発信が大切です。情報システム部門として非常時/被災時に円滑な情報収集/伝達が出来るような仕組みを提供することも必要になってきます。緊急事態の状況下では正しい情報の整理が重要です。そのための体制や準備をしておきましょう。災害発生直後の情報収集/整理能力が重要で、徐々に情報発信が重要になってきます。

情報収集

正しい状況判断や行動のために、被害状況(安否/損害/環境など)情報が必要
・発生した事象
・被災/被害状況と今後の予測
・各自の状況(安否確認も含めて)
・復旧見通し

情報発信

メンバーやステークホルダーが正しく行動するために状況の情報が必要
・被災/被害状況と今後の予測
・復旧見通し
・行動依頼(指示、命令)

これら情報収集、特に情報発信はステークホルダーに対して正しい情報を伝えることでレピュテーショナルリスク(風評リスク)を防止することができます。

レピュテーショナルリスクを起こさないために

こちらは実際に被災した企業の株式チャートです。

被災後すぐにWebで被災状況の広報を開始し毎日状況報告しました。7月20日には、復旧の最終段階である事を広報し、7月23日1週間ぶりに業務復旧の報道を行いました。この結果、一次株価は下がりましたが、業務普及後は以前よりも株価が高い状況となりました。

このように被災や障害などが発生しても、しっかり情報発信してブラックアウトしない体制を整えておくことも重要です。

4.BCP/BCMを検討していく上で、情報システム部門の役割は大きい

会社/企業/団体が事業を継続していくうえで、業務インフラを支える情報システム部門の役割は非常に大きく、重要です。
情報システム部門が担うべき役割は大きく分けて以下の2つです。

1. 事業継続のためのインフラ維持・提供

  • 現在のシステムの状況を把握する
  • ・システムの統制を図る
  • ・段階的なアプローチを採用する
  • ・本番システムの可用性を強化する

2. 非常時・被災時の円滑な情報収集・伝達の仕組みを提供

  • ・非常時だからこそ、正しい情報収集と発信が重要
  • ・正しい情報発信は、社員や取引先の能動的な行動を促す
  • ・様々な媒体経路を使った情報発信/収集手段を検討する⇒ブラックアウトしない

最低限の対策として、「データの消失」を防ぐことが不可欠です。どれだけ準備をしても、想定通りの災害が起こるとは限りません。地震・台風・水害・火災・大規模インフラ障害・テロなど、あらゆるリスクに対応するのは困難です。

そのためにまずは基本能力を整えることが必要です。様々なリスク(脅威)はありますが、ひとつを想定して検討しておくことで、基本的な対応能力がつきます。

事業継続の重要ポイント
基本能力
  • 現状把握
  • 出来るところまでの対応(完璧なものは必要ない→完璧を求めると破綻します)

次に、応用力強化=Resiliency(柔軟性・打たれ強さ)を強化することが重要です。想定しない脅威や被災への対応には基本の応用で対応することが必要です。

事業継続の重要ポイント
応用力
  • 改善/進化(脅威の想定もしかり、技術も進化しています)
  • 日頃の訓練、啓蒙活動
  • 非常時における適切な情報収集と情報発信

以上が、BCM(事業継続マネジメント)が重要であることの所以になります。

今回までの記事では、少しITから離れたBCP/BCMの基本的な考え方や、情報システム部門が果たすべき役割について解説しました。事業継続のためには、最新の技術を活用することも欠かせません。次回は、少しIT寄りに話題を変え、クラウドを活用した事業継続/災害対策にはどのようなものがあるか?について詳しく説明し、より実践的なアプローチをご紹介します。※4月公開予定

MONO-Xでは、企業のIT環境に合わせた事業継続対策をサポートしています。BCPや災害対策でお悩みの方は、ぜひMONO-Xにご相談ください。

>>PVS Oneに関するお問い合わせはこちら
株式会社MONO-X公式サイト
株式会社MONO-Xへのご相談・お問い合わせはこちら