このように事業継続に重要な役割を果たすIT-BCPだが、運用においては注意点もある。
「形骸化しがち」なことはその1つだ。クラウド利用の急速な広がり、生成AIの普及など、企業のIT環境は目まぐるしく変化している。規程が古いままだと、新たな技術やサービスに対応する項目が欠けた状態になってしまい、実効性が低下してしまうのだ。「また、自社を取り巻く状況が変われば、実際に復旧を行う際の順番や優先度も変化します。これらが古かったり不明確だったりすると、作業がスムーズに進まず、結局、ビジネスがストップしてしまうでしょう」と山田氏は指摘する。
このような事態を回避するためには、IT-BCPを継続的に見直すことが肝心だ。BIA(事業影響度分析)によって、どのシステムが止まったらどの業務に影響が生じるかを洗い出す。その上で、各システムに応じたBCP要求レベルを決めて、可用性や保守要件を更新するのだ。
「例えば、BCP要求レベルが高いシステムには冗長化を施し、それほどでもないシステムではバックアップ頻度を下げるといった具合です。IaaSやSaaSなどの外部サービスではSLAに基づくことで、復旧優先度に応じたRTO(目標復旧時間)を確保します」と山田氏は続ける。
また、実際にBCPを発動する際のフローも事前にしっかり定義しておきたい。これについては、自然災害などとセキュリティーインシデントで分けるのが一般的だ。前者では、人身や業務への影響を調査した結果、大きな被害が想定されるのであればBCPを発動する。後者では迅速な初動対応がカギになるため、SOCやCSIRTによるインシデントレスポンスフローを組み込むといった形である。「初動対応で終息できず、影響が長期化しそうな場合は、その時点でBCPを発動するのです」(山田氏)。
同社が支援したある企業では、これらの取り組みを実践することで大きな成果につなげているという。
従来は、BCPの規程が長年更新されておらず、クラウドなどの新技術に未対応の状況だった。そこでラックと共に見直しを進め、時流に即したIT-BCPを策定した。
「システム担当の方はもちろん、業務現場の方にもヒアリングを行い、システムと業務の関係性を明らかにしました。その後、業務の重要度からシステムのRTO、更新のタイミングや平時の運用フローなどを明確化しました。これにより規程の実効性を大きく高めたほか、組織や担当者が変わっても、変わらず同じ対応を実現できるようになっています」と山田氏は紹介する。
このようにIT-BCPの策定・改善を行うことで、有事の際のレジリエンスを大きく高められる。加えて、現状の自社システムの“弱点”を可視化できるようになることも、副次的だが重要なメリットといえるだろう。
「業務とシステムの関連性が明らかになるので、自社の中核業務を可視化して、改善計画の土台をつくることもできます。また、将来的に導入するシステムの非機能要件を統一化する際の材料としても、IT-BCPを利用することができるでしょう」(山田氏)
自社を取り巻く状況を可視化し、BCPの一環としてIT-BCPを策定する。そして、環境やITシステムの変化に合わせて、常に最適な状態へとIT-BCPを改訂・進化させ続けていく。この一連の取り組みを繰り返すことで初めて、事業を支えるIT基盤を具現化できるようになるのである(図2)。
図2 IT-BCPの運用フロー
IT-BCPの実効性を高めるためには、対策実行後のレビューを通じて見直しと改善を繰り返すことが肝心だ。これによりIT-BCPの形骸化を防ぎ、最新のリスクに適切に対処できるようになる
[画像のクリックで拡大表示]
ラックはここまで紹介したようなIT-BCPの策定/見直しを支援するサービスを提供している。検討を進めたい企業は、一度相談してみるとよいだろう。
