事業継続の今後の課題とは?
現時点でも事業継続を実現するための課題は多いが、今後はさらに高いレベルでの実施、つまり統合的なリスクマネジメントへの対応が求められるだろう。その1つに、事業継続とセキュリティ対策の統合がある。セキュリティの推進や評価ポイントとしてよく使用されるCIA(Confidentiality、Integrity、Availability:機密性、保全性、可用性)において、主にセキュリティでは「C」と「I」が評価として重み付けされ、事業継続管理では「A」を中心に推進されることが多い。経営者のリスク管理の視点では、CIAの各項目を網羅し、重複なく対策がなされていることが理想だ。
この統合がいかにして実現するかはまだわからないが、最初はどちらかの考え方を中心とし、不足する部分を補う形で実現されるのではないかと思われる。
「もしも」の事態に備えよう
1回目からの内容をまとめると、「もしも」の事態が発生した際に事業継続を実現するためには、事業継続計画や災害対策の実効性を高める必要があり、そのためには事業継続管理をマネジメントシステムとして機能させなければならない。その活動を成功させるためには、経営者層の積極的な関与が必要であることと、それぞれの局面で発生する課題に対し、各々の背景を確認したうえでアプローチ方法を探り、その中から企業の状況に合わせた最善の解決方法を選択すべきである。何よりも、事業継続管理を推進するリーダーが事業継続管理の重要なポイントを押さえ、その本質を見失わずに取り組むことが大切だ。
テーマ | 内容 | 重要ポイント | |
---|---|---|---|
#1 | 現状の認識 |
・事業継続に対する必要性の認識は高まっている ・事業継続に対しては投資効果が感じられず、その実効性も不明だ |
・事業継続計画を策定することにもまして、管理できている事が大事 |
#2 | 経営者層に対する重要性の遡及 |
・経営者層が関与する事が大事だが、実際にはできていない ・事業継続が経営活動にどのように関与するかが不明なため、投資判断がつかない |
・事業継続の認証化が進むと、経営活動にダイレクトに関与する可能性が出てくる ので、取組むには今が良いタイミング |
#3 | 運営における課題 |
・計画書を作成するだけでなく、実効性を確保するためには訓練が必要 ・訓練には組織間の壁やシステム停止の影響から実施の壁は高い |
・計画の実効性の検証として訓練は必要不可欠。小さく始めて現状を理解し、定期的な演習と評価の必要性を実感する事が第1ステップ |
#4 | ITの課題 |
・災害対策は、実現のサービスレベルとソリューションの幅が広いため時間と労力を費やしてしまう ・災害対策の設計ポイントはRPO |
・業務レベルで整合性を確保する事が必要。時代に合ったソリューションモデルを検討し実装するのが効率的 |
#5 | 事業継続管理のポイント |
・事業継続の位置付けは情報資産対策の発展と、ステークホルダーの要請で決定される ・今後の課題としてはセキュリティとの統合された管理 |
・事業継続管理を推進するリーダーが、事業継続の重要なポイントを押さえ、その本質を見失わずに取組むことが大切 |
BCM構築の壁を超える試み
最後に、事業継続計画を策定し、事業継続を管理するためのアプローチを紹介しよう。
BCAO(Business Continuity Advanced Organization:NPO法人事業継続推進機構)における「中小企業BCPステップアップ・ガイド(3.0版)」は、全体が3部構成になっていて、そのガイドに従い用意された様式を記入することにより、全体で20の文書(マニュアル類を除く)で構成される事業継続計画書が作成できるようになっている。
このガイドでステップに従い文書を作成すると、「基礎となる文書類」、「簡易的なBCP」、「本格的なBCPに向けた文書類」が作成される。もう少し詳しく説明すると、第1部では、事業継続の基礎となる防災対策を実施するために必要な文書類が作成される。第2部では、事業継続計画書の基本方針をはじめとする骨格となる基本文書類がまとめられる。第3部では、本格的な事業継続計画として、教育や訓練、見直しなどに関する文書や、投資を含む戦略の立案などについても整えられるようになっている。
通常、標準的なアプローチで順番に文書を作成しても実態が伴わないため、このステップアップ・ガイドは実務的に進捗が進む構成となっている。つまり、事業継続管理が実現しやすいように構成されているのだ。このように、事業継続を実現するためには事業継続管理をスパイラルモデル的に発展させていくことが、多くの壁を越えるための基本アプローチとなるだろう。
事業継続をテーマとした連載はこれで終了するが、この連載を通じて事業継続に対する見方が少しでも広がり、事業継続管理を実施する場合のヒントになれば幸いである。
筆者紹介
小林啓宣(こばやし はるひさ)
ストレージベンダーにおいてバックアップシステム/災害対策の構築、情報保護に関するコンサルティングやBCP策定のプロジェクトを経験後、2005年にシマンテックに入社。現在はグローバルコンサルティングサービス本部 プリンシパルコンサルタントとして同様のプロジェクトを担当すると共に、セキュリティ監査も実施する。PMP、事業継続推進機構(BCAO)会員。