メインコンテンツにスキップ

事業継続計画(BCP)でリスクに適応して対応する

事業継続計画とは

事業継続計画(BCP)とは、計画外のサービス中断中に企業が業務を継続するための方法の概略を示す文書のことです。 これは、災害復旧計画よりも包括的であり、ビジネス・プロセス、資産、人材、ビジネス・パートナーなどの、サービス中断によって影響を受ける可能性のある企業のあらゆる側面の不測の事態を網羅します。

通常、この計画には、資材や設備、データのバックアップ・サイトのロケーションを含む、チェックリストが含まれます。 また、この計画から計画の管理者を特定し、緊急時対応要員、主要な担当者、バックアップ・サイト・プロバイダーの連絡先情報を入手できます。 計画では、短期と長期の両方の障害において業務を継続する方法についての詳細な戦略が提供されます。

事業継続計画(BCP)の重要な構成要素の1つが、ネットワーク、サーバー、パーソナル・コンピューター、モバイル・デバイスのIT障害に対処するための戦略を含む、災害復旧計画です。 この計画では、主要なビジネス・ニーズを満たせるようにオフィスの生産性とエンタープライズ・ソフトウェアを回復させる方法が取り扱われます。 ここでは、コンピューター・システムを復元できるまで業務を継続できるようにするために、手作業で急場をしのぐ手段を概説しておく必要があります。

主要なアプリケーションとプロセスの事業継続計画には、次のような3つの主要な側面があります。

  • 高可用性:局部的な障害にかかわらず、企業がアプリケーションにアクセスできるように、機能とプロセスを提供します。 このような障害は、ビジネス・プロセスに存在する場合、物理的施設に存在する場合、そしてITのハードウェアまたはソフトウェアに存在する場合があります。
  • 連続稼働:中断中や、スケジュールされたバックアップや計画保守などのような計画停止中にも、作業の実行を維持する機能を保護します。
  • 災害復旧:災害によってプライマリー・サイトが破壊されたり、プライマリー・サイトが動作不能になったりした場合に、別のサイトにあるデータセンターを復旧する方法を確立します。

事業継続計画の進化

事業継続計画は、1970年代初頭に災害復旧計画から生まれました。 銀行や保険会社などの金融機関が、代替サイトへの投資を行うようになります。 バックアップ・テープは、コンピューターから離れた、保護されたサイトに保管されるようになりました。 復旧作業の必要性が生まれた原因は、ほとんどの場合、火災、洪水、嵐などの物理的な破壊でした。 1980年代には、共有のコンピューター・サービスを提供する商用復旧サイトの成長が見られましたが、重点は依然としてIT復旧のみに置かれていました。

1990年代になると、企業のグローバリゼーションとデータ・アクセスの広汎性が急激に高まりました。 企業は、災害復旧の枠を超えて事業継続プロセス全体について、より総合的に考えるようになります。 企業は、完全な事業継続計画がなければ顧客と競争上の優位性を失うかもしれないことに気付いたのです。 その一方で、分散アプリケーション、分散処理、分散データ、ハイブリッド・コンピューティング環境などのアプリケーション・アーキテクチャーを考慮する必要性に直面した事業継続計画は、より複雑さを増していきました。

今日の組織は、ビジネス活動をまひさせてそのITシステムを永続的に破壊する可能性のあるサイバー攻撃に対する自組織の脆弱性を、ますます意識するようになっています。 また、デジタル・トランスフォーメーションとハイパーコンバージェンスが、リスク、脆弱性、攻撃、障害に対して意図せず隙を作ってしまう可能性もあります。 事業継続計画には、企業が破壊的なサイバー・インシデントに対処するための、サイバー・レジリエンス戦略を組み込む必要があります。 この計画には通

急速に増加するデータ量の問題もあります。 意思決定支援、データウェアハウジング、データ・マイニング、カスタマー・リソース管理などのアプリケーションでは、オンライン・ストレージへのペタバイト規模の投資が必要になる場合があります。

データ・リカバリーはもはや1次元的なアプローチでは対処できなくなりました。 大多数のインストール・システムのITインフラストラクチャーの複雑さは、ほとんどの店舗で数年前に行われていたような方法で対処できるレベルを超えてしまいました。 調査研究で示されているところでは、適切な計画を行っていなかった企業は、当面の災害イベントから何らかの方法で回復したとしても、中長期的には生き残れなかったことが多いと判明しています。

事業継続計画が重要な理由

事業継続計画を導入して、ビジネス・プロセス、アプリケーション、ITインフラストラクチャーの間のレジリエンシーの同期を特定して対処することが重要です。 IDCによると、平均して、インフラストラクチャーの障害には1時間当たり10万米ドルのコストが、また重要なアプリケーションの障害には、1時間当たり50万米ドルから100万米ドルのコストが発生する可能性があります。

これらの多くの脅威に耐えて成功するためには、企業の成長を支えてデータを保護する信頼性の高いインフラストラクチャーを構築するだけでは足りないということを、企業は認識しています。 企業は今、事業の継続、データの保護、ブランドの保護、顧客の定着、さらには長期的な総運用コストの削減を可能にする、包括的な事業継続計画を策定しています。 事業継続計画を導入することにより、ダウンタイムを最小限に抑え、事業継続、IT災害復旧、企業危機管理機能、法規制への適合における、持続可能な改善を実現できます。

しかし、システムがますます統合され、ハイブリッドIT環境全体に分散され、潜在的な脆弱性が発生するため、包括的な事業継続計画の作成はより困難になっています。 より高度なサービスへの期待に応えるためにより多くの重要なシステムをつなげると、それに伴って、災害復旧、レジリエンシー、法規制への適合、セキュリティーと共に、事業継続計画の複雑化が進みます。 チェーンの中の 1 つのリンクが壊れたり、攻撃を受けたりすると、その影響はビジネス全体に広がりかねません。 リスクやオポチュニティーに迅速に適応し、対処する中で、ビジネス・レジリエンシーの維持に失敗した場合、企業は収益の損失と顧客の信頼低下に直面します。

事業継続計画のためのコンサルティング、ソフトウェア、およびクラウドを活用したソリューションの使用

多くの企業が、今日のハイブリッドIT環境と変化するビジネス要件に対応できるだけのスピードで、そのレジリエンシー戦略を進化させることに苦戦しています。 「常時オン」の、24時間365日稼働の世界では、ITリソースがどれほど確実に中核的なビジネス・ニーズに対処できるかによって、グローバル企業は競争上の優位性を獲得できる可能性も、市場シェアを失う可能性もあります。

一部の組織は、外部の事業継続経営コンサルティング・サービスを使用して、ビジネス・プロセス、アプリケーション、およびITインフラストラクチャーの間のレジリエンシーの同期を特定して対処します。 コンサルタントは事業継続と災害復旧に関する柔軟なコンサルティングを提供して、アセスメント、計画、設計、実装、テスト、包括的な事業継続性管理などの、企業のニーズに対応できます。

企業によるリスクの特定を支援し、障害の検出、障害への対応、障害からの復旧に企業が備えられるようにする、Kyndryl IT Infrastructure Recovery Servicesなどのプロアクティブなサービスがあります。

サイバー攻撃の増加に伴い、企業は従来型の手動によるリカバリー手法から、自動化されたソフトウェア定義のレジリエンシー手法へと移行しています。 Kyndryl Cyber Resilience Servicesのアプローチでは、高度なテクノロジーとベスト・プラクティスを使用して、リスクの評価、ビジネス・クリティカルなアプリケーションとデータの優先順位付けと保護を支援します。 これらのサービスは、サイバー攻撃の発生中とその後に企業がITを迅速に復旧するのにも役立ちます。

他の企業は、サービスとしてのKyndryl Disaster Recovery as a Service(DRaaS)などのクラウドを活用したバックアップ・サービスを利用して、IT停止後の迅速なリカバリーのために、重要なアプリケーション、インフラストラクチャー、データ、およびシステムの継続的なレプリケーションを提供しています。 また、重要なサーバーをリアルタイムで保護する、Kyndryl Cloud Virtualized Server Recoveryなどの仮想サーバー・オプションもあります。 これにより、Kyndryl Resiliency Centerでのアプリケーションの迅速なリカバリーが可能になり、保守期間中または予期しないダウンタイム中も業務を継続できます。

より多くの組織が採用するようになっているソリューションが、レジリエンシー・オーケストレーションです。これは、災害復旧の自動化と、ハイブリッドIT環境向けに特別に設計された一連の事業継続管理ツールを活用する、クラウド・ベースのアプローチです。 例えば、Kyndryl Resiliency Orchestrationは、アプリケーション、データ、およびインフラストラクチャー・コンポーネント間のビジネス・プロセスの依存関係の保護に役立ちます。 また、ビジネス・アプリケーションの可用性を高め、企業が目標復旧時点(RPO)、目標復旧時間(RTO)、およびIT継続性の全体的な正常性について、一元化されたダッシュボードから、必要な概要レベルのまたは詳細なインテリジェンスにアクセスできるようにします。

効果的な事業継続計画(BCP)の主な機能

事業継続の構成要素は以下のとおりです。

  • 戦略:事業が使用する戦略に関するもので、継続的な運用を確保しつつ、日々の活動を完了します
  • 組織:従業員の構成、スキル、コミュニケーション、責任に関連するもの
  • アプリケーションとデータ:業務の実行に必要なソフトウェアと、そのソフトウェアの実装に使用される、高可用性を提供するための手法に関連するもの
  • プロセス:業務の実行に必要な重要なビジネス・プロセスと、業務が確実にスムーズに行われるように使用されるITプロセスに関連するもの
  • テクノロジー:アプリケーションとデータの継続的な操作とバックアップを可能にするために必要なシステム、ネットワーク、業界固有のテクノロジーに関連するもの
  • 施設:1次サイトが破壊された場合の災害復旧サイトの提供に関連するもの

事業継続計画は、事業継続にかかわる事象や危機の際には参照文献となり、そうした事象や危機に対処するための戦略と戦術の青写真となります。

下図は、Kyndryl Global Technology Servicesが使用する事業継続計画策定プロセスです。 これは、継続的な反復と改善を目的とした、閉ループのプロセスとなっています。 計画策定プロセスは、以下の3つの主要な部分で構成されています。

  • ビジネスの優先順位付け:さまざまなリスク、脅威、脆弱性を特定し、優先順位を設定します。
  • ITへの統合:ビジネスの優先順位付けから情報を取り込んで、事業継続プログラムの全体的な設計を行います。
  • 管理:評価および設計されたものを管理します。
Business prioritization, Integration into IT, Manage