事業継続計画の立て方　その4

2024年10月16日 16:21

事業継続計画の立て方についてのお話です。何度も出すようですがこの図を出しますね。

前回まででご説明申し上げたのはこの図の青枠の中ということになりますが、その後についてもさらっと説明してますね。

コンティンジェンシープランとは

そしてこれはちょっと付け加えておいた方がいいと思うのでまず書いておくことにします。
コンティンジェンシープランという言葉があります。しばしばBCPと混同されることがあるのですが、緊急事態に対して対応を決めておき、それに従って緊急事態に行動することで被害を最小限にとどめる、ここまでを射程に入れた行動計画のことを言います。
上の図で言うならば、青枠の中「防災」のところまでを計画したものと言えると思います。ざっくばらんに言ってしまうと、これまで「避難訓練」として行われてきたことの延長上にあると言えるかも知れません。
しかし、情報というものの重要性が増し、そしてその情報のコピーをして小さい記録媒体に入れて持ち歩くということが容易になった現代「被害を最小限に抑える」と言うことの意味も拡張しつつあると言えるかと思います。
避難訓練というと、皆様どんなイメージでしょうか。
ダミーの警報（火災報知器など）を鳴らし、火の元の確認などを行った上で、庭など広いところに出て、上空からの落下物、火が出た場合の熱風などから逃れる、そんな感じではありませんか？
これは実際にあった話なのですが、海外の協力会社から受け入れていた外国人労働者が、避難訓練でみんな出ていったときに隠れておき、誰もいなくなったオフィスで製品に対する社外秘事項をコピーして持ち出し、そのデータを母国に送り、コピー製品を作られてしまったという事件がありました。
前稿でお話ししましたBitLockerの話なんかはそういう文脈で出てくるものだと思うんですが、PCが使用可能な状態になっているということは機密情報に触れることもできるようになっているということですので、非常時に一刻を争うような事態になったら機密情報をどうやって守ったらいいのでしょうか。
機密情報より命、という考え方もないわけではないと思います。ですが現代のビジネスにおいて、看板製品の安価なコピー品が他社から出回ったなんてことになったら、会社の命ごと失われることにもなりかねません。
ということになりますと、いま自分の目の前にあるPCを、勝手に操作することができないようにする、最長でも3秒で実行できる手段、というのが必要になってくるのではないかと思います。
恐ろしく古い手ではあると思うのですが、スクリーンセーバーを「再開時にログオン画面に戻る」で設定しておき、同時にそのスクリーンセーバーをタスクバーにピン止めしておくのが結局最良かも知れません。ワンクリックで保護できますので。
どなたか、それ以上の妙案をお持ちの方はぜひフォームよりご教示下さい。

事業継続計画の実施部分について

さて、それはそれとして「BCP計画の実施部分」に入りましょう。何度も繰り返すようですが、これはあくまでも「防災」部分を実施したことによってダメージが最小限に抑えられたことが確認できてからの話です。
やるべきことは「事前に策定した戦略の発動」と「復旧」になります。要は「着手」と「実行」です。
以前にもチラッと書きましたが、戦略は縦横の表にまとめておくのがいいと思います。1行目に起こり得る緊急事態を、左から右へ軽微な順に並べておいて、2行目以降には行うべき対策を軽微なものから順に縦方向にずらっと並べておきます。
こうしておくと、軽微なもの（つまり、簡単に実行できる対策）はおよそ似通ってくると考えられます。というわけで、2行目には割と簡単に着手できて、その結果もすぐにわかるものが並んでくると思われます。
こうして作っておいた表は、左側の緊急事態ほど軽微なものになりますので、縦に戦略を追っておくとすぐに終わると思います。つまりこういう表を作るとおおよそ3角形になってくると思います。かなり大きいものになると思いますが、わかりやすくはなると思います。1行目から実際に起こった事態を探して、その列に書かれている復旧活動を上から順に実行していけばよいことになるわけです。
ただ、上から順に実行する場合、おおよそ軽微なものから並んでいると言いましても、それはあくまでも願望を含んだ予想です。上から順番に実行していき、性質的に実行できない戦略があり、その下の戦略が実行可能であればそちらに手をつけましょう。その後実行できなかったものができるようになるかどうかは場合によるでしょうが、いずれにせよ戦略どおりに行かなかった部分はどうなったかきちんと記録するべきでしょう。
そして、完全に復旧した、あるいはある程度復旧したがこれ以上の復旧は期待できないことが確定した、どちらかの地点に着地したら、実施部分、図で描きました黄緑の部分は終了したという事になります。

正常化後の部分について

さて、とりあえずBCPを実施し、正常化まで至ったとします。図で描きました藤色の部分です。すみません、順番がちょっとおかしかったなと思うんですが、まず行うべきには復旧活動の分析および検討だと思います。
前項で「性質的に実行できない戦略があった場合は飛ばしましょう」というようなことを述べましたが、実行できなかったのはなぜなのか、今回の特性的にできなかっただけなのか、あるいはそもそもあり得ない戦略だったのか、その点に気をつけつつ再検討し、戦略に改めるべきところがあるのならば改めていきます。

特にバックアップのことにつきまして

このnoteでは、弊社の本来の業務であるバックアップに関することをご説明することが原則です。東日本大震災のことを想定して地震時に情報保護のために行うべきことを書くつもりだったのですが、災害もその対策も限定的に書くことは難しいと考え、結果BCPのこと全般にわたってお話しすることになってしまいました。
情報セキュリティの強化および向上、ディザスタリカバリのことについてBCPの内部に組み込んでおくべきであると考えます。災害（ディザスタ）が起こる前に想定してシミュレートして、必要があれば改善しておく、それが事業継続計画というものです。
そういう計画を立てるにあたり、思い出していただきたいのが「バックアップの3-2-1ルール」ですとか「リストア」とかそういった言葉です。
弊社は遠隔地バックアップサービスをご提供差し上げております会社ではありますが、ローカルのバックアップやクラウドのバックアップのことを否定しているわけでは決してございません。むしろ、クラウドバックアップの会社様や遠隔地でミラーリングを行っていらっしゃる会社様とは協力し合ってお客さまのデータを守る同士だと考えております。
クラウドバックアップや遠隔地ミラーリングと比べて、過去のデータをリストアできるその「過去」の時間が長いのがコールドバックアップあるいはオフラインバックアップであり、そういった遠隔地バックアップを今後ともご提供してまいりたいと考えております。
「お役に立たないことこそが最も望ましい会社」というのが弊社ではございますが、消防や救急、保険など、世の中を見渡せばそういった職業は存在します。
ぜひそういったものと同様のものとして、弊社をご認識いただき、そしてもしよろしければご利用いただければと思います。

小括

繰り返すようですが、特に東日本大震災においてバックアップのあり方が見直されたという事例につき、バックアップノより望ましいあり方をお話ししたいと考えたところから、結局は事業継続計画（BCP）全般についてお話しすることになってしまいました。
正直なところ専門外な部分も多々ございまして、ご期待に添えたかと聞かれたらやや心許ない部分ではあるのですが、良くも悪くもご参考にしていただければと考えております。
今回は大風呂敷を広げた形にはなりましたが、今後は本業に立ち返り、バックアップのことを書いていこうと思います。
よろしくお願いいたします。