CSO Forum Home Working Group Security Products and Solution Events Reports

【危機管理と事業継続の課題】

9.11の米国同時多発テロで事業継続計画の威力を実証
策定には経営者の意識と社内コンセンサスが重要

[2006/07/04]

 BCP(事業継続計画)は,災害・事故・事件が発生したときに企業の生命線である事業を継続するための行動計画である。日本でも阪神大震災を契機に,2001年にJISQ2001として「リスクマネジメントシステム構築のための指針」が制定されている。しかし,日本ではまだBCPに対する認知度は低く,実際にBCPを策定している企業も少ない。今回が「危機管理と事業継続の課題」の最終回となる。そこでBCPが災害・事故・事件の発生時にいかに有効に機能するかを示す実例を挙げて,BCP策定のポイントをまとめる。まずは,2001年9月11日の米国同時多発テロの例を見てみよう。

いち早く業務機能を復旧させた米Lehman Brothers社
 2001年9月11日の米国同時多発テロで世界貿易センタービルが崩壊した。そのとき多くの企業が事業を継続するのに必要な機能を失い,短期間で業務を再開できなかった。そうした中で,米Lehman Brothers Inc.はいち早く業務機能を復旧させ,6日後の株式市場再開までにトレーディング機能を復旧させた。当時,同社マネージング・ディレクタ兼CTOで,テロ攻撃に遭遇したBob Schwartz氏は「事前計画とネットワーク強化が効を奏した」と語っている(「災害時復旧と事業継続」インフォセック)。
 事実,同社の財務部門はテロ攻撃のあった当日にバックアップ用の復旧サイトにトレーディング機能を移動し,現金管理業務を行っている。その翌日には確定金利商品を販売し,ニューヨーク証券取引所が再開したときにはオンラインでの株式売買を行った。同社は攻撃を受けたビルに5000台のデスクトップ・パソコン(PC)を設置し,データ・センター機能なども置いていた。テロ攻撃の当日にそのすべてを一瞬にして失った。それにも関わらずいち早く復旧できたのは,周到に用意されたBCPがあったからである。

BCPに沿った素早い行動とバックアップ・サイトが有効に機能
 Lehman Brothersは,平素よりハドソン川を隔てたニュージャージ州に完全なバックアップ・サイトを設けていた。ニューヨークで稼動するすべてのアプリケーションはニュージャージ州のサイトでも稼動しており,自動的に互いのサイトでバックアップを取り合うようになっていた。しかも広域リンクもすべて冗長化されており,ニューヨークに置かれたすべての機能が失われても,ニュージャージ州のサイト経由で45支店すべてにアクセスできるようになっていた。
 テロ攻撃のあったビルにいたSchwartz氏は,避難する大混乱の最中で災害復旧計画を発動し,司令部の設置と電話会議のための音声連絡網の配置を決定した。その後,災害時復旧チームが結成され,情報システム・インフラの再構築に着手し,ニュージャージ州のデータ・センターにトレーディング用の設備を敷設した。こうしたBCPに沿った素早い行動が有効に機能し,同社はいち早い復旧を達成できたのである。
 9.11同時多発テロにおけるこの事例は,BCP策定とそれに基づく対応がいかにリスク発生時に事業の継続に有効に機能するかを示している。9.11を境に,米国ではBCPの重要性が役員クラスに認識され,多くの企業でBCPが策定された。BCPの策定に当たっては,企業の中枢機能を定義し,その機能に対するリスクを特定し,復旧に当たっての優先順位付け,リスク回避のためのポリシーの策定が必要になる。こうした事業継続のための計画に加えて,有効性を検証するための手段としてのテストおよびトレーニングの実施も不可欠である。また,コストに対する見極めも重要となる。

BCPは「小さく生んで大きく育てる」
 日本でもようやく,政府によって「事業継続計画策定ガイドライン」が策定されるなど,BCPという視点からの取り組みが本格化してきた。しかし日本では,BCPは地震対策などの災害復旧計画として議論されることが多い。BCPと災害対策との大きな違いは,BCPがどのようなリスクが発生しても重要な事業を継続するという視点に絞って計画が策定されるのに対し,災害対策は発生が予想される自然災害にどう対処するかの視点で対策が講じられている点である。BCPの策定および体制構築にあたっては以下の5つのポイントが重要であると言われている。
 第1に,社内のコンセンサスを形成すること。危機に際して現場の協力が得られなければ,BCPは絵に描いた餅である。BCPは危機に対する全社的な取り組みであることを経営者自らが意識し,積極的に宣言していくことが重要となる。第2に,優先順位を決めて対策を逐次整備することである。想定される危機すべてに対応することは難しい。企業の中核となる事業の継続という視点を取り入れ,付けられた優先順位に従って対策を講ずることが必要である。第3に,業務効率を考慮すること。第4に,運用負担を考慮することである。最初から完璧を目指すよりは現場の動機付けを優先し,現場が受け入れられる対策から始めることが重要となる。第5に,規定やマニュアルが形骸化しないようにすることである。

 CSOフォーラムが2006年4月に開催した「危機管理と事業継続の課題」セミナーの中で,危機管理を含む情報セキュリティ・サービスを提供しているインフォセックは「事業継続計画導入の障壁とその克服に向けて」と題して講演し,「できることから1つずつ実行し,周囲の理解を得ること,つまり『小さく生んで大きく育てる』ことが重要」と指摘している。いずれにせよ,リスクはシナリオのないドラマである。重要なことは,リスクが発生する前にBCPを策定し,企業内にBCPの意図するところを浸透させ,危機に際して現場がBCPに沿って柔軟に対応し,企業の生命線である重要事業を継続できるようにすることである。(CSOフォーラム)

「危機管理と事業継続の課題」セミナーの詳細はこちら

株式会社インフォセックでは,事業継続計画策定支援サービスあるいは危機管理計画策定支援サービスを行っています。
事業継続計画策定支援サービスの詳細はこちら

| HOME | 記事一覧へ | 三菱商事 情報セキュリティアライアンス |

Copyright (c)2005-2007 TechnoAssociates, Inc. All Rights Reserved.
CSOフォーラム 株式会社テクノアソシエーツ