現場での訓練や予行演習に関しては、「現在の業務に加え、さらに復旧計画に従った訓練をしてくれと言われても、今の体制のままでは限界がある」(総務部 事業継続責任者)「システムの停止は年間のハードウェアメンテナンスや建物の停電計画で既に予定されており、訓練のために新たに長時間停止することはできない」(ITシステム管理者)といった声をよく耳にする。
訓練実施にあたっては、立場の異なる部門や関係者への根回しが必要なほか、事前打ち合わせなどで綿密な協調体制を取り、まとまった時間を確保する必要がある。つまり、時間や人的なリソースの問題から実施の壁が高くなっているのだ。
情報システムの災害対策訓練でも同様の問題がある。システムの稼働要件として、24時間365日無停止が求められることも珍しくないからだ。本番系のみでシステムを構成している場合、停止の調整はより困難だろう。つまり、多くの企業が簡単に訓練や予行演習が実施できない状況にあるのだ。
事業継続を企業文化に
これらの問題を解決するには多くの困難が予想され、解決方法も1つではない。だが、あえて教科書的に言うならば、まず会社全体に事業継続を企業文化として浸透させることだ。企業文化として事業継続のインフラが整備されていなければ、それぞれのプロセスはその都度滞り、事業継続計画の実現にも時間がかかる。
やっと訓練までこぎつけたとしても、その時点で計画が陳腐化していることもある。また、計画が実行されない状態が続くと、計画書はまさに絵にかいた餅になってしまう。くどいようだが経営者層の理解とリーダーシップが得られなければ、最終目標である事業継続の実現が困難になるのだ。
ここで、訓練の実施負荷を下げるアプローチを考えてみよう。
運用体制整備の面では、既にPマークなど会社全体で取組んでいる認証運用体制があれば、その体制を参考にするといい。これは、事業継続においてもPDCA(Plan、Do、Check、Act)を回すことが求められる上、組織間の壁を乗り越えた協調体制を取る上でも参考になることが多いためだ。
また、訓練そのものの負荷を下げるには、事業継続計画のすべてを一度に実施するのではなく、段階的に範囲を広げていくと良い。先ほどの復旧3フェーズ実施の話と矛盾するようだが、極端な例をあげると「初期対応として、社員全員の安否確認とその状況をトップに報告する」という段階のみを、最初の訓練として実施するのも良いだろう。
まずは訓練を実施し、実際に明らかになる問題点を実感することから訓練の重要性を認識するのも、事業継続を浸透させる1つの方法だ。そこから段階的に訓練のレベルを上げ、最終的な本格復旧までを確認できることが最終目標となる。大切なのは、まずは実施し、その状況を体感し、現状認識することだ。
次回はITの災害対策に絞った形での問題やその背景について考察を進めたいと思う。
筆者紹介
小林啓宣(こばやし はるひさ)
ストレージベンダーにおいてバックアップシステム/災害対策の構築、情報保護に関するコンサルティングやBCP策定のプロジェクトを経験後、2005年にシマンテックに入社。現在はグローバルコンサルティングサービス本部 プリンシパルコンサルタントとして同様のプロジェクトを担当すると共に、セキュリティ監査も実施する。PMP、事業継続推進機構(BCAO)会員。
