「有事対応が平時化」する時代に企業がIT-BCPへの取り組みを変革すべき理由：特集：コロナ／大災害時代のデータ保護大全（1）

2019年来のコロナ禍において、企業の「事業継続計画」（BCP）への意識が高まっている。本稿では、日本企業におけるBCPへの意識の変化や、特にITリソースに注目したIT-BCPとデータ保護の在り方について、ニュートン・コンサルティングの内海良氏への取材から考える。

[柴田克己，＠IT]

この10年で起こったBCPを取り巻く「3つの変化」

　企業が危機的な状況に置かれた時に、重要な業務を継続して事業への影響を軽減することを目標に策定される「事業継続計画」（BCP）。2011年に発生した東日本大震災以降、日本企業でも一気にその重要性が認知されたが、あれから10年間の社会状況の変化に合わせて、BCPを取り巻く環境も少しずつ変わっている。変化のポイントは複数あるが、そのうちの1つは「想定するリスク範囲の拡大」だ。

　「東日本大震災の直後から、企業は主に“大地震”を想定したBCPを策定してきたが、その後、全国的に頻発する豪雪や豪雨、大型台風といった“風水害”のリスクも重要視されるようになった。そして、新型コロナウイルス（COVID-19）の登場以降は“感染症”への対策も不可欠になっている。現在では、個別の事象に対するBCPではなく、あらゆるリスクを想定した“オールハザードBCP”を策定したいと考える企業が増えている」

ニュートン・コンサルティングの内海良氏

　そう話すのは、企業のリスクマネジメントに関するコンサルティングで数多くの実績を持つ、ニュートン・コンサルティングで執行役員兼CISO（最高情報セキュリティ責任者）／プリンシパルコンサルタントを務める内海良氏だ。

　現在も断続的に感染拡大が続くコロナ禍では、政府や自治体、経済団体などが企業に対して「BCPの点検と実行」を繰り返し要請しており、企業側の意識も高まっている。コロナ禍という「有事下」で、既にBCPを実行に移している企業では、2年以上にわたって「有事」が継続する中で、もはや平時と有事の対応に明確な区別がなくなりつつある。これがもう1つの変化のポイントだ。

　「BCPは、リスクが顕在化する有事下で真価が問われる取り組みだが、長引くコロナ禍において“有事対応の平時化”とも呼べる状況が起こっている。従来のBCPで想定されていた大規模な震災や風水害といったリスクは、顕在化の頻度という点では、それほど高いものではないが、コロナ禍のように長期的かつ断続的に顕在化するリスクにより、BCPは企業活動へ実際に影響を及ぼしている。以前、定期的に有事対応の演習を支援していた企業でも、現在は有事対応中なので演習は不要というケースが増えている」（内海氏）

　世界規模で感染症リスクが顕在化し「有事対応の平時化」が起こったことで、企業を評価する要素としての「BCP」の位置付けにも変化が生まれている。

　「投資家が企業へ投資するに当たり、財務状況だけでなく、地球環境や社会への貢献度、組織のガバナンスなどを評価基準に組み入れる“ESG（環境・社会・ガバナンス）投資”は、近年の大きなトレンドになっているが、その一部として、企業のリスク管理の状況が投資の判断材料として重要性を増している。つまり、BCPの内容や実施状況などが、企業の財務に対しても無視できない影響力を持つ時代になりつつある」（内海氏）

「データ保護」にはBCPだけでなく多様な視点での取り組みが必要に

　BCPでは、想定されるさまざまなリスクに対して、それが顕在化した場合にビジネスに生じる悪影響を軽減するための方法を策定する。企業は、自社で行っている業務を洗い出し、それぞれについて、ビジネスへの影響度を加味した上で重要度を決め、その業務をどのレベルで維持するのか、維持に必要なリソースとプロセスはどのようなものかを定義する。

　ほとんどの企業で、ITがビジネスにとって不可欠なものである以上、ITリソースもBCPの策定において考慮しなければならない重要な「経営資源」の一つだ。有事下において、システムやデータを含むITリソースへの可用性をいかに確保するかは「IT-BCP」と呼ばれる。

　「IT-BCP」とは、企業全体の視点で事業継続を図るBCPにおいて、特にITリソースにフォーカスした領域での計画のことを指す。さらに、IT-BCPはビジネスプロセスを動かすための「システム」領域と、システムで生み出され、保存される「データ」の領域に大別することができる。つまり、全社的な「BCP」の一部に「IT-BCP」が存在し、さらにその一部に「データ保護」が位置付けられることになる。

IT-BCPはBCPの一部だ。その中の一部にデータ保護が存在する（提供：ニュートン・コンサルティング）

　注意すべきポイントは、「データ保護」に対しては、IT-BCPの側面だけでなく、「情報セキュリティ」や「情報プライバシー」といった観点での取り扱いが、社会的に求められるようになってきている点だ。

　「情報セキュリティの3要素として“可用性”“完全性”“機密性”があるが、現在、IT-BCPの文脈で“データ保護”と言う場合には、圧倒的に“可用性”の確保にウェイトが置かれている。大規模災害などでシステム障害が発生した際に、ビジネスに必要なデータの可用性をいかに確保するかが、IT-BCPにおけるデータ保護の大命題であり、その代表的なソリューションが“バックアップ／リカバリー”になる。ただし、近年ではテレワークの普及や、サイバー攻撃の巧妙化といった形で、企業が管理するIT環境そのものが、以前とは大きく変化している。今後は“データ保護”について考える場合に、IT-BCPの視点と並行して、セキュリティやプライバシーといった視点も同時に考慮することがトレンドになっていくだろう」（内海氏）

IT-BCPを阻害するビジネスとITとの「コミュニケーションギャップ」

　IT-BCPの策定に当たり、多くの企業が直面する課題として内海氏が挙げるのが「コミュニケーションギャップ」だ。BCP策定を中心的な立場で進める経営者や担当部署と、システム面での実装に関わるIT部門との間で、「ビジネス要求」と「IT」についての理解に隔たりがあることが、適切なIT-BCP策定の妨げになるという。

　「企業のBCP策定は、総務部門や経営企画などが行うケースが多い。経営者も含めて、BCP策定を主導する立場の人々は、ITのエキスパートではないことがほとんどだ。結果として、IT-BCPやデータ保護については、IT部門に丸投げに近い状態になってしまう。IT部門は、ビジネスサイドからのあいまいな要求に対し良かれと思う対応を行うが、ビジネスニーズが正確に理解できていないために、結果として本来必要とされるものに対し、対策が過剰になったり、足りなかったりといった状況が起こる。また、IT部門が求める投資に対して、経営側が不要と判断するようなミスマッチも生まれやすくなる」（内海氏）

　こうした状況を避けるために企業が行うべきことは「コミュニケーションを通じて、両者の間に存在するギャップを埋めていく以外にない」と内海氏は強調する。

　「ビジネス側とIT側の相互理解が十分でないためにIT-BCPの策定がうまくいかないという状況は、ここ何十年もの間、大きく変わっていない。企業におけるBCPの重要性が増し、取り組みへの意識が高まっている今こそ、その状況を打破していくべきだろう」（内海氏）

ビジネス要求への理解があればIT-BCPでエキスパートの手腕が生きる

　長い時間をかけて硬直化したビジネス部門とIT部門との関係を変化させていくに当たっては、コンサルタントのような第三者の支援を受けるというのも一つのやり方だろう。コンサルタントである内海氏が、全社的なBCPの一環としてIT-BCPの再構築に取り組んだ企業を支援した事例では、まず社長、副社長をはじめとする経営陣へのインタビューとワークショップを通じ、事業継続にまつわるビジネス要求を明確化することからスタートしたという。

　「インタビューでは、経営者として何を一番大切だと考えてビジネスをしているか、そのビジネスがどのような状態になったら困るか、といったことを聞き出した。これは、必要な対応のレベルと優先順位を明確にすることが目的だ。ビジネスの言葉で話された要望を、IT部門側で理解できる指標に落とし込むことで、それを実現するために必要な対策と技術要件を検討できる」（内海氏）

　経営側が「ビジネスで大切だと考えていること」「こうなったら困ると考えている状態」からは、問題の発生時に維持すべきシステムやデータの可用性、いわゆる「サービスレベル」が導き出せる。サービスレベルを構成する指標としては「最大許容停止時間（MTPD）」「目標復旧時間（RTO）」「目標復旧レベル（RLO）」「目標復旧ポイント（RPO）」などがある。

BCPの復旧曲線（提供：ニュートン・コンサルティング）

　これらが決まることで、システムとデータの十分な可用性を確保するために必要なシステムの要件と、人員、技術要素、コストが決まってくる。経営側が求めるサービスレベルを実現するために大きな投資が必要になる場合でも、事前に要求が明確化されていれば、承認はされやすくなる。IT-BCPにおいて、経営陣によるトップダウンの取り組みが必要な理由は、「BCPはビジネスを継続するための仕組み作り」であるという非常に基本的なものだ。

　具体的なビジネスニーズに対し、どのような技術要素とプロセスで、それを実現していくのがベストかを考えるのはIT部門が得意とするところだろう。システムやデータの可用性を高めることを目的としたソリューションだけを見ても、ここ20年ほどの間に技術やコスト感が大きく変化している。

　企業のITインフラはオンプレミスの物理マシンから、仮想化環境へ移行し、現在ではクラウドも重要な構成要素の一部となっている。また「バックアップ／リカバリー」の環境についても、テープ装置が標準だった時代から、大容量低価格化が進んだディスク装置、さらにはクラウドストレージなどの活用が進んでいる。

データ保護技術の変遷（提供：ニュートン・コンサルティング）

　それぞれの技術が持つ特性や導入コストなどは急速に変化しており、ITを取り巻く社会的な状況も変わっている。例えば、かつてバックアップの主流だった「テープ装置」は、ディスク装置やクラウドベースでのバックアップがポピュラーになったことで、以前に比べれば目立たない存在になったもののセキュリティの観点から再び注目を集めているという。近年のBCPに対する意識の変化や、二重脅迫型ランサムウェアによるビジネス被害の頻発といった要因がきっかけで、テープ装置の「物理的に既存のシステムと切り離してバックアップが行える」というメリットが見直されてきているのだ。

　こうしたITを取り巻く環境の変化や、最新の技術動向を把握しつつ、ビジネス要求に応じた最適なIT-BCP環境を構築していく過程には、スペシャリストとしてのIT部門の手腕が今まで以上に求められることになるだろう。

特集：コロナ／大災害時代のデータ保護大全

地震や風水害、パンデミックなど、企業を取り巻く災害には枚挙にいとまがない。コロナ禍に対応すべくリモートワークを導入する企業も増えたが、災害対策に焦点を合わせると事業継続計画（BCP）を策定して中長期的な対策をとれている企業はあまりないのではないだろうか。災害からの復旧の際に必要になるのが、システムはもちろん、事業の根幹を支えるデータだ。データの保管、保護の重要性はランサムウェアなどサイバー攻撃のセキュリティ対策の観点からも高まっている。

本特集では、そんな大災害時代に必須といえるデータ保護について、専門家の知見や企業の事例を交えて解説する。

特集：コロナ／大災害時代のデータ保護大全