システムの障害対策に隙あり
プライスウォーターハウスクーパーズ(PwC)が先ごろ、日本国内の上場および有力未上場の企業を対象にIT-BCPへの取り組みの実態を調査した結果を発表した。調査は9月から10月にかけて実施したもので、131社が回答した。それによると、情報システムの中断・停止時における対応体制・手順を「策定済み」の企業は全体の58%。残りは、「1年以内に策定予定」(19%)、「数年以内に策定予定」(21%)、「未策定」(2%)となった。
対象リスク(複数回答)としては、「地震」と「台風・水害・火災」がそれぞれ66%と最も高く、「停電」(45%)が続いた。一方、「自社システムの障害」(41%)や「外部システムの障害」(30%)、「サイバー攻撃」(11%)といったIT関連については、自然災害などより低い結果となった。
また、情報システムの中断・停止時における対応体制・手順について訓練・演習を実施している頻度としては、「半期に1度以上」(8%)、「年に1度」(35%)、「不定期で実施」(15%)、「行ったことはない」(41%)と、定期的に実施している企業が43%にとどまった。
自然災害以外を対象としたIT-BCPの策定や定期的な訓練・演習などの取り組みが進んでいないことについて、PwCは「十分な予算確保のための経営層への説明の難しさや、クラウドや仮想化などの新技術適用の難しさなどが足かせになっている可能性がある」と推察している。
必要なのはCIOの奮起とCEOの大号令
対象リスクの調査結果とは裏腹に、過去1年間で予期せず発生した重大な情報システムの中断・停止を経験した企業が約4割に上ることも分かった。しかも発生原因では、自然災害よりもハードウェアの故障やソフトウェアのバグ、ネットワーク障害などが多くを占めていることが明らかになった。
図1目標復旧時間(RTO)の設定状況(出典:PwC「IT-BCPサーベイ2014」)
また、情報システムが復旧まで最も長く中断・停止したインシデントの時間を確認したところ、回答企業の3割が一般的な業務時間に相当する6時間以内に復旧できなかったことも分かった。さらに、情報システムの中断・停止時における目標復旧時間(RTO)の設定状況を確認したところ、「1時間以内」に設定している企業は1割にとどまり、「1日以上」が最も多く約3割を占めていることが明らかになった(図1参照)。RTOと並ぶ指標である目標復旧時点(RPO)については、約4割の企業が「前日まで復旧」と設定しているという(図2参照)。
図2 目標復旧時点(RPO)の設定状況(出典:PwC「IT-BCPサーベイ2014」)
この調査結果について、PwCは「情報システムのリカバリ要件を設定する上で重要な業務は何か、停止した場合の影響度はどの程度かといった点は、経営側が判断する必要がある。情報システム部門だけで要件を設定するのが難しいことが、結果に反映されているのではないか」と見ている。
筆者もPwCの見方に同感である。ならば、最高情報責任者(CIO)が果たすべき役割は、自社のIT-BCP対策が不十分なことをもっと経営側に訴えて、会社を挙げて改善に努めることだ。さらにいえば、その大号令は最高経営責任者(CEO)がかけるべきである。今回のPwCの調査結果は、そうした取り組みの必要性を示していると言えよう。
Keep up with ZDNet Japan
ZDNet JapanはFacebook、Twitter、RSS、メールマガジンでも情報を配信しています。