事業継続マネジメントにおける IT の継続性をどう考えるか
多くの組織にとって、事業継続マネジメント(BCM)に取り組むうえで IT の継続性は重要なテーマのひとつだと思います。俗に「IT-BCP」などと呼ばれたりしていますが、IT が多くの組織にとって非常に重要な資源となっている現状において、IT システムが稼働停止しないように、もしくは停止した場合に短期間で稼働再開できるようにするための対策は、避けて通れない分野と言ってもいいでしょう。
そのようなニーズに対して、IT システムに関しては、冗長化やバックアップなど、トラブルや災害などによる稼働停止を予防したり、被害を軽減するためのテクノロジーや製品・サービスが豊富に提供されています。これは BCM の概念が形成される前から、「IT Disaster Recovery」、「fault tolerant」、「redundancy」などといったキーワードとともに開発が進められてきましたが、BCM の概念や方法論が体系化され、日本でも「BCP」という用語が普及してきたことに対応して、「IT-BCP」という言葉が使われるようになってきました(注 1)。
しかしながら、IT の継続性に関してどの程度の対策を講じるべきなのかを、どう決めればよいか分からないと思われる方もいらっしゃるかも知れません。
– – – – –
一般的に、対策のために必要なコスト(または投資)と、その対策を行ったことによって稼働停止をどれだけ短く出来るかは、トレードオフの関係にあります。もちろんこれは IT に限った話ではなく、BCM においては全ての資源に対して当てはまります。
したがって、BCM の方法論から考えると、事業影響度分析(BIA)の結果から目標復旧時間を決め、それに間に合うような対策方法を選ぶべきだということになります。
このような考え方は、国際規格 ISO/IEC 27031(注 2)でも具体的に示されています。この規格は和訳されていないこともあって、日本ではあまり知られていないと思いますが、BCM の中で IT の継続性をどのようにマネジメントしていくべきかという観点で、様々な指針が示されています。
下の図は、ISO/IEC 27031 で示されている図のひとつですが、障害が発生してからユーザーがそのシステムを利用できるようになるまでの時間が製品・サービスの目標復旧時間(RTO)として示されているのに対して、障害発生から対応作業の開始までにかかる時間や、対応作業が完了してからユーザーが動作確認する時間を考慮して、ICT サービスの RTO を設定すべきであることが示されています。
(出所:ISO/IEC 27031:2011 の Figure A.1 に一部追記)
このような関係になることを踏まえ、BIA の結果から製品・サービスの RTO を決め、それに見合うように IT システムの RTO を決めたうえで、それに間に合うような対策方法を選ぶというのが本来の考え方です。
– – – – –
しかし一方で、BCM に取り組まれる前から、既に IT 部門の方で何らかの対策が講じられている場合も少なくありません。
その場合には IT 部門と相談しながら、もし目標復旧時間に対して現在の対策方法が不足であれば、より短期間で稼働再開できるような対策を導入できないか、検討していただく必要があります。
逆に、現在の対策方法が過剰だったとしたらどうでしょうか?
例えば(少々極端な例ですが)3 日程度で稼働再開できれば十分なシステムが、ほぼノンストップで稼働継続できるような常時完全二重化で運用されていたとしたら、その対策方法は目標復旧時間に対して過剰(=お金をかけすぎ)ということになります。
もし運用コストがあまり問題にならないのであれば、今後のシステム更新時期までそのまま維持されてもいいかもしれませんが、運用コスト(作業の手間なども含みます)を削減したいような状況であれば、対策方法をダウングレードすることも選択肢に入るでしょう。実際にはダウングレードのためにかかる費用や手間との兼ね合いも含めて、IT 部門と一緒に慎重に検討する必要があります。
もちろん実際には、組織内で複数のシステムが稼働していて相互に依存関係があったり、ひとつのシステムが複数の製品・サービスに関与していたりしますので、これらの事情を考慮して総合的に評価・判断する必要があります。ぜひ IT 部門の方との間で、本稿のような考え方を共有した上で、十分相談し、協力関係を築きながら、組織全体として事業継続に関する対策コストの最適化を目指していただければと思います。
– – – – –
余談ですが、巷でよく使われている「IT-BCP」という呼び方は正しくありませんので、お使いにならない方が良いと思います。この件については別の記事にしましたので、下記の記事をご参照いただければ幸いです。
「IT-BCP」という言い方は間違い
https://note.com/ktashiro/n/n6ba7a2cd7cab
【注釈】
1) 多くの IT ベンダーがそのような用語を使って活発にセールスプロモーションを行っているという事情もあります。
2) ISO/IEC 27031:2011 Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity
– – – – –
事業継続マネジメント(BCM)に関するガイドブックを出版させていただきました。特に中小企業の皆様が自力でに取り組まれることを想定して執筆させていただきましたので、お役立ていただければ幸いです。
[本稿に関するお問い合わせ]
本稿の内容に関してご不明な点やご意見などありましたら、下記 URL の問い合わせフォームからご連絡いただければ幸いです。
http://office-src.com/contact
よろしければサポートをいただければ幸いです。 これからも有益なノウハウをお届けできるよう、再投資に使わせていただきます。