メインコンテンツにスキップ

事業継続計画とは

 

事業継続計画の説明

事業継続計画とは、計画外のサービス中断時にどのように事業を継続するかをまとめた文書です。  災害復旧計画よりも包括的で、ビジネスプロセス、資産、人材、ビジネスパートナーなど、影響を受ける可能性のあるビジネスのあらゆる側面に対する不測の事態が含まれています。

計画には通常、備品や設備、データのバックアップ、バックアップサイトの場所などを含むチェックリストが含まれています。また、計画管理者を特定し、緊急対応者、主要担当者、バックアップサイト提供者の連絡先を記載することもできる。計画には、短期および長期の停電に対して、どのように事業運営を維持するかについての詳細な戦略が記載されることもある。

事業継続計画の重要な構成要素は、ネットワーク、サーバー、パソコン、モバイル・デバイスのIT障害に対処するための戦略を含む災害復旧計画である。この計画では、主要なビジネス・ニーズを満たすことができるように、オフィスの生産性と企業向けソフトウェアを再確立する方法をカバーする必要があります。コンピュータ・システムが復旧するまでの間、業務を継続できるよう、手動による回避策も計画に盛り込む必要がある。

主要なアプリケーションやプロセスに対する事業継続計画には、主に3つの側面があります:

  • 高可用性: 局所的な障害に関係なく、ビジネスがアプリケーションにアクセスできるような能力とプロセスを提供すること。これらの障害は、ビジネスプロセス、物理的設備、ITハードウェアまたはソフトウェアに発生する可能性がある。
  • 継続的なオペレーション: 計画的バックアップや計画的メンテナンスのような計画的停止時だけでなく、混乱時にも業務を継続する能力を保護する。
  • 災害復旧: 災害によりプライマリサイトが破壊されるなどしてデータセンターが機能しなくなった場合に、別のサイトでデータセンターを復旧させる方法を確立すること。  

事業継続計画の変遷

事業継続計画は、1970年代初頭に災害復旧計画から生まれた。銀行や保険会社などの金融機関は、代替サイトに投資した。バックアップテープは、コンピューターから離れた保護された場所に保管された。復旧作業は、ほとんどの場合、火災、洪水、暴風雨、その他の物理的な荒廃によって引き起こされた。1980年代には、共有ベースでコンピュータ・サービスを提供する商業リカバリ・サイトが成長したが、まだITリカバリにのみ重点が置かれていた。

1990年代に入ると、企業のグローバル化が急激に進み、データアクセスが普及しました。企業は災害復旧にとどまらず、事業継続プロセス全体を総合的に考えるようになった。企業は、徹底した事業継続計画がなければ、顧客を失い、競争上の優位性を失う可能性があることに気づいた。同時に、事業継続計画は、分散アプリケーション、分散処理、分散データ、ハイブリッドコンピューティング環境などのアプリケーションアーキテクチャを考慮しなければならず、より複雑になっていった。

今日の組織は、ビジネスを麻痺させたり、ITシステムを永久に破壊したりするサイバー攻撃に対する脆弱性をますます認識するようになっています。また、デジタルトランスフォーメーションとハイパーコンバージェンスは、リスク、脆弱性、攻撃、障害への意図しない入り口を作り出している。事業継続計画には、ビジネスが破壊的なサイバーインシデントに耐えられるようにするためのサイバーレジリエンス戦略を盛り込むことが求められている。この計画には通常、これらのリスクから防御し、重要なアプリケーションとデータを保護し、管理された測定可能な方法で侵害や障害から回復する方法が含まれている。

指数関数的に増大するデータ量の問題もある。意思決定支援、データ・ウェアハウス、データ・マイニング、顧客資源管理などのアプリケーションは、オンライン・ストレージにペタバイト規模の投資を必要とすることがある。

データ復旧はもはや一面的なアプローチには適さない。ほとんどの設備における複雑なITインフラは、ほんの数年前のような方法で対応できる能力を超えている。調査研究によると、適切な計画がなければ、当面の災害事象からどうにか回復した企業も、中期的には生き残れないことが多い。

なぜ事業継続計画が重要なのか?

事業継続計画を策定し、ビジネス・プロセス、アプリケーション、ITインフラ間の回復力の同期を確認し、対処することが重要です。IDCによると、インフラの障害は平均して1時間に10万米ドル、重要なアプリケーションの障害は1時間に50万米ドルから100万米ドルのコストがかかるという。

このような多くの脅威に耐え、繁栄するために、企業は成長を支え、データを保護する信頼性の高いインフラを構築する以上のことが必要であることに気づきました。企業は現在、ビジネスを継続させ、データを保護し、ブランドを守り、顧客を維持し、最終的には長期的な総営業コストの削減に役立つ、総合的な事業継続計画を策定しています。事業継続計画を策定することで、ダウンタイムを最小限に抑え、事業継続性、ITディザスタリカバリ、企業の危機管理能力、法令遵守の持続的な改善を実現することができます。

しかし、包括的な事業継続計画の策定は、システムがますます統合され、ハイブリッドIT環境に分散し、潜在的な脆弱性を生み出しているため、より困難になっています。より重要なシステムを連携させ、より大きな期待を管理することは、災害復旧、回復力、規制遵守、セキュリティとともに、事業継続計画を複雑にしている。チェーンの1つのリンクが壊れたり、攻撃を受けたりすると、その影響はビジネス全体に波及する可能性がある。組織は、リスクや機会に迅速に適応し対応しながら事業回復力を維持できなければ、収益の損失や顧客の信頼低下に直面する可能性がある。

事業継続計画のコンサルティング、ソフトウェア、クラウド型ソリューションの活用

多くの企業は、今日のハイブリッドIT環境や変化するビジネス需要に対応するために、レジリエンシー戦略を迅速に進化させることに苦慮しています。常時稼動、24時間365日の世界では、グローバル企業は、ITリソースがいかに確実にコアビジネスのニーズに対応するかによって、競争上の優位性を獲得したり、市場シェアを失ったりする可能性があります。

 ビジネスプロセス、アプリケーション、ITインフラストラクチャ間の回復力の同期を特定し、対処するために、外部の回復力コンサルティングサービスを利用する組織もある。コンサルタントは、評価、計画・設計、実施、テスト、完全な事業継続管理など、企業のニーズに対応した柔軟な事業継続・災害復旧コンサルティングを提供することができます。災害復旧コンサルティングサービス

キンドリルのITインフラ復旧サービスのように、企業がリスクを特定し、混乱を検知し、対応し、復旧するための準備を確実にするためのプロアクティブなサービスがあります。サイバー攻撃の増加に伴い、企業は従来の手作業による復旧アプローチから、自動化されたソフトウェア定義の回復力アプローチへと移行しつつある。  

キンドリル・データ・プロテクション・サービスのアプローチは、高度なテクノロジーとベストプラクティスを用いて、ビジネスクリティカルなアプリケーションとデータのリスク評価、優先順位付け、保護を支援します。また、これらのサービスは、サイバー攻撃中および攻撃後の迅速なIT復旧を支援します。

また、キンドリル・インシデントリカバリーサービスのようなクラウドベースのバックアップサービスを利用し、重要なアプリケーション、インフラ、データ、システムの継続的なレプリケーションを提供することで、IT障害後の迅速な復旧を実現する企業もあります。重要なサーバーをリアルタイムに保護する仮想サーバーオプションもあります。これにより、お客様のアプリケーションをキンドリル・レジリエンシー・センターで迅速に復旧させることが可能となり、メンテナンスや予期せぬダウンタイムが発生した場合でもビジネスを継続することができます。

ハイブリッドIT環境のために特別に設計されたディザスタリカバリの自動化と事業継続管理ツール群を使用するクラウドベースのアプローチである。例えば、キンドリル・レジリエンシー・オーケストレーション は、アプリケーション、データ、およびインフラストラクチャ・コンポーネントにまたがるビジネス・プロセスの依存関係を保護するのに役立ちます。

ビジネス・アプリケーションの可用性を高め、回復時点目標回復時間目標、およびIT継続性の全体的な健全性に関する必要なハイレベルまたは詳細なインテリジェンスに、一元化されたダッシュボードからアクセスできるようにします。   

効果的な事業継続計画の主な特徴 

事業継続の構成要素:

  • 戦略: 事業の継続を確保しつつ、日々の活動を完遂するために事業が用いる戦略に関連するもの
  • 組織: 従業員の組織、スキル、コミュニケーション、責任に関するもの
  • アプリケーションとデータ: 業務を遂行するために必要なソフトウェアや、そのソフトウェアを実現するための高可用性の実現方法に関するもの。
  • プロセス: 事業を運営するために必要な重要なビジネス・プロセス、および円滑な運営を確保するために使用されるITプロセスに関連するオブジェクト。
  • 技術: アプリケーションやデータの継続的な運用やバックアップを可能にするために必要なシステム、ネットワーク、業界特有の技術に関するもの
  • 施設: プライマリサイトが破壊された場合の災害復旧サイトの提供に関連するオブジェクト

事業継続計画は、事業継続のためのイベントや危機が発生したときに参照する資料となり、イベントや危機に対処するための戦略や戦術の青写真となります。

  • 事業の優先順位付け: 様々なリスク、脅威、脆弱性を特定し、優先順位を設定する。
  • 技術への統合:事業の優先順位付けから情報を得て、事業継続計画の全体設計を行う。
  • 管理する: 評価・設計されたものを管理する。

事業継続計画とは

事業継続計画の説明

 

業務のIT化が進み、さまざまなビジネスでITシステムが利用されています。そのため、ITシステムを安定的・継続的に利用するための仕組みが不可欠です。企業において、事業継続計画はそのための施策の一つである。本稿では、事業継続計画の概要、目的、留意点、対策の進め方について解説する。

(事業継続計画)とは、企業が緊急事態時の被害を最小限に抑えて事業を継続できるように対策することを指します。おもにITシステム分野での対策がメインとなりますが、ITシステム以外にも事業を継続する上で必要な項目が盛り込まれます。

日本は地震、台風、豪雨など自然災害が多い国であるため、たとえば東日本大震災のような大規模災害が今後も起こる可能性があり、対策をきちんと行っていない企業は業務を継続することが困難だといえます。また、感染症拡大の影響などでオフィスに出社することが難しくなった際にも、通常通りの業務が継続できなくなる可能性があります。

加えて、ITシステムの継続稼働を阻害する要因としては、サイバー攻撃や人間によるオペレーションミスから生じるシステム障害も挙げられるでしょう。さまざまな要因によって引き起こされる業務への影響を把握し、対処することが重要です。

このような災害・パンデミック・サイバー攻撃などの非常時に備え、被害を最小限に抑えつつ事業を継続できるようにするための仕組みづくりが企業に求められています。

近年普及が進むテレワークもBCP対策として有効です。「いつでも・どこでも業務ができる環境」は、災害発生時に業務を継続するためBCP対策になります。

BCP対策の目的

前述のとおり、BCP対策の最大の目的は非常時の被害を最小限に抑え、事業を継続できるようにすることです。

それ以外にも、システム障害が発生した際に速やかに復旧させることや、企業としての信頼性を高めるなどの目的も挙げられるでしょう。ほとんどの企業にとって、ITシステムは業務のために欠かせない存在であり、システムが利用できなくなると業務を継続できなくなるケースが多いでしょう。これも非常時に該当するものであり、対策が必要です。

また、仮に非常事態が発生したとしても、速やかに復旧、対応できる企業は被害を最小限にとどめられるだけでなく、社会的に信頼性が高まることが期待できます。

BCP対策を検討する際のポイント

BCP対策を検討する際のポイントとして一般的に次のような点が挙げられます。

  • 自社の現状を把握する
  • 対応するシステム、業務の優先度を把握する
  • 全社的に取り組む

BCP対策を検討するにあたり、まずは自社の現状を把握することが重要です。どのような業務にどのようなシステムを利用しているのか、どのくらいの規模なのか、顧客に提供しているサービスはどのようなシステムで稼働しているのか、その影響範囲はどのくらいかなどを事前に把握することで、次の対応がスムーズに進められます。

非常時に被害を最小限に抑え、事業を継続できるようにするためには、自社の業務においてどこがクリティカルなポイントであるのかを把握し、対応しなければなりません。そのため、BCP対策として重点的に対応するシステムや業務の優先度を決めましょう。

最後に、BCP対策は情報部門などだけで取り組めるものではありません。情報部門などが主導で進められることはあっても、企業全体の業務を止めることなく進めるための計画を立案するためには、全社的に取り組む必要があります。

さらにキンドリルが考える効果的なBCP対策(事業計画)の構成要素は以下の通りです

  • 戦略:継続的な運用を担保しつつ日々の業務を完遂させる計画
  • 組織:従業員の構成、スキル、コミュニケーションおよびその責任範囲
  • アプリケーションとデータ:業務の実行に必要なソフトウェアと、そのソフトウェアの実装に使用される、高可用性を提供するための手法</li>
  • プロセス:業務の実行に必要な重要なビジネス・プロセスと、業務が確実かつスムーズに行われるように使用されるITプロセス
  • テクノロジー:アプリケーションとデータの継続的な操作とバックアップを可能にするために必要なシステム、ネットワーク、業界固有のテクノロジー
  • 施設:1次サイトが破壊された場合に必要な災害復旧用サイト

 

BCP対策の進め方

具体的なBCP対策の進め方については、さまざまなガイドラインが公表されているため、それらを参考にすると良いでしょう。

  • 事業継続ガイドライン(内閣府-防災担当)
  • 中小企業BCP対策運用指針

これらを参考に、進め方をまとめると次のようになります。

  1. 基本方針の策定
  2. 事業影響度の分析(リスクの洗い出し)
  3. 対策の検討と決定
  4. 計画の立案・策定
  5. 計画内容の教育・訓練
  6. 継続的な見直しと改善

基本方針として自社にとって重要な事項を明確にし、対応する組織の編成などを実施します。基本方針に沿って事業・業務における災害時のリスクを洗い出し、具体的な対策を検討しましょう。

検討結果をもとに計画を立案し、計画を従業員に教育することも重要です。実際に災害が発生した際にスムーズに動けるように、訓練も定期的に行いましょう。

BCP対策は一度策定したら終わり、というものではありません。訓練を通して継続的に内容を見直し、改善を続ける事が重要です。

昨今のコロナ禍で業務に多大な影響が出たように、災害・パンデミックなどの非常時における対策は企業にとって必要不可欠なものになっていますBCP対策は企業活動を続ける上で、対応すべき重大な課題の一つといえるでしょう。

また、BCP対策は特定の部署だけで進められるものではありません。全社的に取り組む必要がある点は覚えておきましょう。この記事の中では対策の進め方を簡単に説明しましたが、具体的な内容についてはガイドラインが多く公表されています。そちらも参考に進めるとともに、自社だけで対応が難しい場合には専門家への相談も検討してみてはいかがでしょうか。

BCP対策は企業としての価値や信頼を向上させる効果も期待できるため、しっかりと取り組むようにしましょう。

BCP対策(事業継続計画)を検討していますか?

キンドリルのセキュリティ&レジリエンシー

お問い合わせ

キンドリルのサービスに関するお問い合わせはこちらより承っております。