事業の中断がもたらすコストは甚大です。中断に伴う収益の損失だけでなく、組織の評判が長期にわたり損なわれる可能性があります。このような理由から、賢明なビジネスリーダーは、事業の中断から素早く円滑に復旧するための計画を備えています。この計画は事業継続計画(BCP)と呼ばれます。この記事では、BCPの仕組みを解説し、企業がBCPを導入するための手順をご説明します。
事業継続の基礎知識
事業継続性とは 事業継続は、事業継続・障害復旧(BCDR)と呼ばれることもあり、計画、プロセス、人員を動的に組み合わせて連携させることで、事業の中断に迅速に対応し、企業としての機能を継続できるようにする取り組みです。さまざまな理由から、私たちは事業継続をテクノロジーの問題と捉えがちです。それは一部では正しいと言えます。しかし、それだけではありません。
BCPの本質は、企業の機能を妨げるあらゆるリスクを想定し、それらを軽減する対処方法を考えることです。例えば、自然災害、地政学的な事象、サプライチェーンの問題、労働問題などがリスク要因となり得ます。
事業継続の重要性がこれまでになく高まっています。ランサムウェアなどのサイバー脅威が大小さまざまな企業を脅かしている現在、どの企業も深刻な事態に備えることが強く推奨されます。事業継続計画を整備していないと、サイバー以外の事由(COVIDパンデミックなど)でも組織が混乱に陥るおそれがあります。
特に中小企業の場合は、リスクが極めて高くなる可能性があります。FEMAの調査によれば、障害などの危機的な状況に見舞われた中小企業の40~60%が最終的に廃業しているそうです。さらに、5日間以上の事業中断を経験した中小企業のうち、90%が1年以内に廃業・倒産していることも明らかになっています。
事業継続の基本的な構成要素
事業継続の具体的な内容は、組織の規模や複雑さ、リスクプロファイルによって異なります。ただし、事業継続の基本的な構成要素はどの組織でも共通しています。具体的には、リスク評価、事業影響度分析、1つ以上の復旧戦略などが含まれます。
リスク評価
事業継続を確保する取り組みの第一歩は、事業に対する脅威の特定と評価です。これは当たり前のように思えるかもしれませんが、問題となり得る事柄を洗い出す過程では、意外なリスクが明らかになることがあります。日常の企業活動を妨げ得る脅威は多岐にわたります。その一例を以下にご紹介します。
外的要因による中断:サイバー攻撃、企業スパイなど
自然的要因による中断:ハリケーン、感染症、洪水、火災など
政治的要因による中断:戦争、テロ、政情不安など
物的要因による中断:原材料の不足、サプライチェーンの混乱など
機械的要因による中断:生産機械の故障、車両の整備、ITハードウェアの不具合など
組織的要因による中断:経営幹部の離脱(死亡・退職)、合併・買収、国際展開など
リスク評価では、発生する可能性が高い深刻なリスクをリストアップすることが求められます。さらに、それぞれのリスクについて詳しく記載する必要があります。「ランサムウェア」と記載するだけでは不十分です。リスク評価の実際の手順では、重要性が極めて高いデータ資産を特定する必要があります。例えば、以下のような資産が挙げられます。
基幹財務データ:総勘定元帳、売上取引の履歴など
顧客記録:個人識別情報など
従業員記録:個人識別情報など
生産中・在庫の製品記録
進行中の研究開発に関連する情報
事業内容はそれぞれ異なるため、重要なデータセットの目録も組織ごとに異なります。ただし、ビジネスデータの全体的な評価を行わなければ、どのデータを優先的に保護すべきかを適切に判断することはできません。
事業影響度分析(BIA)
リスク評価を終えると、各脅威が事業運営に与え得る影響を評価できるようになります。このプロセスでは、発生確率が重要となります。すべての脅威に同じレベルの注意が求められるわけではありません。月が地球に衝突する確率はゼロではありませんが、現実的なリスクとは言えないため、事業影響度分析(BIA)の対象に含める必要はありません。
BIAの目的は、特定の脅威が組織の事業遂行能力にどの程度の損害を与える可能性があるかを明らかにすることです。まず、自社の中核となるビジネス機能を明確にする必要があります。これは、事業の継続に欠かせない業務や資産を指します。ほとんどの企業では、財務、人事、調達、製造などの取引やデータを処理するエンタープライズ・リソース・プラニング(ERP)システムがなければ、事業を継続できません。ERPは多くの業務を支えており、ERPが停止すると事業活動に中断が生じます。
中核的なビジネス機能を特定したら、次に、発生確率と影響度を考慮した定量的な手法を用います。例えば、影響度を10段階で評価します。ERPの停止が1日中続く場合は5、大火災によりすべての在庫を失う場合は10と評価します。ただし、ERPの停止が大火災の2倍の確率で発生する場合、BIAでは両者の影響を同等と評価します。
場合によっては、BIAに財務損失の見積もりを含めることがあります。1日あたり100万ドルの収益を上げている企業の場合、ERPが1日停止すると、約100万ドルの損失が発生し、さらに企業としての評判にも悪影響が及ぶ可能性があります。一方、倉庫の火災は10億ドル規模の損失につながる可能性があります。しかし、ERPの停止が起こる確率が1%で、火災の発生確率が0.001%である場合、BIAの考え方に基づく両者の財務的影響は同等と評価されます。
復旧戦略
こうしたリスクのいずれかが実際に起こった場合、どう対応すべきでしょうか。事業継続の管理に携わる担当者は、ビジネス機能を迅速に復旧させるプロセスを事前に十分検討しておく必要があります。データ保護の実務では、これを目標復旧時間(RTO)と目標復旧時点(RPO)という指標で表します。例えば、ERPシステムのRTOを1分に設定した場合を考えます。その場合、サイバー攻撃などでシステムが停止しても、1分以内にバックアップインスタンスを通じてERP機能がユーザーに提供される状態に復元されます。
RPOは、どの時点まで遡って復旧されるかを示す指標です。例えば、ERPのRPOが5分だとします。その場合、ERPが停止した際に、5分前までのトランザクションを含むデータでバックアップインスタンスを稼働させることが目標となります。
RTOとRPOは短いほど理想的です。特に重要な財務システムの場合、RTOやRPOが数秒単位で設定されることもあります。フェールオーバーが非常に高速で、RPOが非常に短く設定されている場合、ユーザーが障害の発生にほとんど気付かないこともあります。
事業継続の取り組みでは、BIAで扱う深刻な脅威ごとに復旧戦略を策定することが求められます。復旧戦略は、脅威に即しているだけでなく、想定されるRTOとRPOを実現できるだけの十分な具体性を備えている必要があります。例えば、顧客データベースがオンプレミスのストレージ装置に格納されており、最も深刻な脅威がランサムウェアである場合、継続戦略には、ランサムウェア耐性のあるシステムへのバックアップを含める必要があります。
具体的には、「改変不可能」なAWSバックアップをいくつか作成しておくという対策が考えられます。また、3-2-1バックアップポリシーなど、一般的な戦略をすべての重要なデータ資産に対して義務付けるという対策も考えられます。3-2-1ルールでは、データのコピーを3つ作成し、そのうちの1つを常にオフサイトに保管します。このような対策は、企業データ保護計画に盛り込まれることもあります。
別の例として、データベースに対する最大の脅威が自然災害である場合、同じ災害の影響を受けない地域にバックアップインスタンスを配置しておく必要があります。例えば、データセンターがフロリダ州にある場合は、アリゾナ州の拠点にバックアップを行います。実際、別地域のビジネス拠点が復旧戦略の要素となることは多々あります。
サプライヤーとの関係にも同様の考え方を適用する必要があります。例えば、自動車の製造企業であれば、スパークプラグの不足は絶対に避けるべき事態です。スパークプラグのベンダーがランサムウェア攻撃を受け、1か月間出荷できなくなった場合、所定の期間内に対応可能な代替ベンダーに切り替える必要があります。この期間がスパークプラグのRTOにあたります。
ここまでの検討結果を簡潔にまとめると、以下のようなBIAチャートになります。リスクごとに、発生確率と財務上の影響を見積もり、継続戦略を策定します。また、RTOとRPOを追加する場合もあります。
| リスク | 発生確率 | 財務上の影響 | 継続戦略 | RTO | RPO |
ERPへのランサムウェア攻撃 | 低い | 高い | クラウド上のデータバックアップ | 1分 | 5分 |
倉庫の大火災 | 非常に低い | 極めて高い | 在庫を複数の倉庫に分散 消火装置 | 1日 | NA |
事業継続計画(BCP)
事業継続計画は、継続戦略とBIAを運用に落とし込むものです。事業継続の実現にはBCPが欠かせません。これは、意外と知られていない知識です。グローバルコンサルティング会社のMercerの調査によると、2020年時点で、世界の企業の半数以上が事業継続計画(BCP)を策定していませんでした。そうした企業が危機的な障害に見舞われないことを祈るばかりです。
BCPの定義と重要性
BCPとは、人員、プロセス、組織構造を事業継続戦略に組み込み、それを実行可能な形に落とし込むための体系的な計画と捉えるのが最も適切でしょう。BCPでは、各人が実行する計画と手順を統合し、さまざまな情報システムを対象に含めます。BCPが重要である理由は、事業継続の考え方を、実際の成果につながる整合性の取れた行動に落とし込むものであるからです。事業継続について考えるだけでは不十分であり、それを実現するための具体的な計画としてBCPが必要となります。
きわめて重要なのは、組織という観点からBCPを考えることです。事業の継続性はテクノロジーの問題と捉えられがちですが、実際には、プロセスやシステムを人と連携させなければ、レジリエンスを確保することはできません。BCPを策定することで、「危機的な障害の発生時に誰が対応するのか」という問いへの答えが明確になります。BCPを整備することで、この問いに対する答えを詳細に定めることができます。例えば、「リスクXが発生した場合は、担当者AがステップYを実施して復旧を図る」、「リスクZが発生した場合は、担当者BがステップCを実施して復旧を図る」などです。
BCPの策定手順
BCPを策定する手順をご説明します。大前提として、BCPを策定するという判断を誰かが下す必要があります。当然だと思えるかもしれませんが、この手順を飛ばしてしまう組織も少なくありません。また、計画の実行に移す権限がない人物に、BCPの策定を任せてしまうケースもあります。ここでは、経営幹部による後押しが有効です。予算の配分やタスクの割り当てが可能な地位の人物がプロジェクトの責任者となるか、少なくとも監督者となることが必要です。
次の手順は、BCPチームの結成です。チームメンバーには、物理的セキュリティ、サイバーセキュリティ、IT、人事、各事業分野など、さまざまな部門から人員を集める必要があります。各チームメンバーは連携して、重要なビジネスプロセスに関する知見を共有し、復旧の優先順位付けやその実行方法について意見を出し合います。
BCPチームがBCPを策定します。これには時間がかかるうえ、どのチームメンバーも他の日常業務を抱えています。そのため、全員が焦ることなく、無理のないペースでプロセスを進める必要があります。このプロセスの成果物としては、BIAと復旧戦略のほか、担当者が自分の役割と責任を把握した上で行動に移すための具体的な行動手順が挙げられます。
BCPの策定プロセスにはさらに、トレーニング、テスト、更新という3つの手順があります。これらが障害発生時の成否を分けると言っても過言ではありません。事業継続に関するタスクの担当者には、そのためのトレーニングを実施する必要があります。計画は、定期的に(目安として年に1回)全体を通してテストする必要があります。定期的なテストにより、計画に潜んでいるギャップを明らかにすることができます。頻繁にテストを実施することで、役割の理解が不足している担当者が明らかになり、それを踏まえて、より効果的なトレーニングにつなげることができます。また、ビジネスやシステムは変化していくため、チームは定期的に計画を更新する必要があります。
BCPに伴う課題
BCPには、多くのリスクや問題が伴う可能性があります。その中には、BCPとは直接関係のない問題もありますが、いずれもBCPの成否を左右するものです。例えば、危機的な障害を事前に検知するための対策や管理体制が整っていない場合、悲惨な結果を招く可能性があります。具体例として、異常検知を目的とするサイバーセキュリティソリューションを導入するかどうかによって、軽微な障害で済むか、それとも企業全体が停止に追い込まれるかに分かれる可能性があります。
BCPに伴う他のリスク課題としては、BCPチームの人員不足やリソース不足が挙げられます。BCPの適切な実行には、十分な時間と体制の確保が求められます。運用段階に入ると、チームが個々のリスクについてビジネスへの影響や発生確率を誤って見積もってしまう可能性があります。また、復旧戦略の策定方法に誤りが生じる可能性もあります。 このような理由から、テストとトレーニングは不可欠であり、テストを怠ることがリスクとなり得ます。
BCP導入の成功事例
広く知られている数々の事業継続の成功事例からは、優れたBCPの存在をうかがい知ることができます。例えば、ニューヨーク大学では、わずか4キロ先で発生した9・11同時多発テロ事件による甚大な混乱にも対応できる体制が整っていました。ニューヨーク大学は、賢明にもBCPを策定して指揮センターを設置する体制を整えていたため、救急サービスや警察と連携しながら緊急対応や避難を調整することができました。ニューヨーク大学のBCPは電子システムも対象に含めていました。
事業継続計画の失敗から学ぶ
BCPが失敗した場合のベストプラクティスは、その原因を調査し、次回に向けてより効果的な対応を準備することです。例えば、デルタ航空は2016年に深刻なIT障害に見舞われました。バックアップシステムの立ち上げが大幅に遅れた結果、デルタ航空は1億ドルの損失を被り、企業としての評判にも打撃を受けたと報じられています。この失敗から経営陣が得た教訓は、BCPの一環として整合性の取れた最新のデータ復旧計画を整備し、それに応じたバックアップシステムを導入していれば、このような事態に対応できた可能性があるということです。
カリフォルニア州の陸運局も2016年に同様の問題に見舞われました。ITシステムが停止した際、陸運局の2つのバックアップソリューションが同時に停止しました。この障害により、陸運局は数日間にわたり機能不全に陥りました。この失敗から得られる教訓は、この陸運局の動作環境のように、バックアップシステムに共通の電源を使用すべきではないということです。
事業継続とBCPの今後の見通し
BCPは進化を続けています。テクノロジー企業やビジネス界の革新的なソートリーダーたちは、BCPをより適切に、より早く、より安価に実行するための新たな方法を模索しています。進歩の具体例としては、事業継続プロセスの自動化や、復旧戦略における人工知能(AI)の導入などが挙げられます。Rubrikなどのデータセキュリティ企業は、ランサムウェア攻撃の影響を軽減するソリューションの提供に加え、事業継続性を脅かす深刻なサイバー脅威の軽減に取り組むことで、企業のレジリエンス強化に貢献しています。BCPがどのような進化を遂げたとしても、その成否を左右するのは、変化するビジネス環境での適応力と俊敏性です。
よくある質問
質問:事業継続の3つの柱とは何ですか?
回答:事業継続性は、リスク評価、事業影響度分析(BIA)、復旧戦略で構成されます。
質問:事業継続計画はどのくらいの頻度で更新する必要がありますか?
回答:BCPは定期的に(目安として年に1回)更新する必要がありますが、大規模な組織の場合は、より頻繁に更新することが望まれます。また、大規模な組織再編があった場合も、直ちにBCPを更新する必要があります。
質問:事業継続の具体例を教えてください。
回答:事業継続の一例としては、バックアップシステムからのデータの復元が挙げられます。ERPなどの重要なシステムが停止した場合に備え、事業継続計画によってデータと機能を迅速に復元できる体制を整えておく必要があります。