緊急対応をスムーズにする「コンティンジェンシープラン」を作成しよう:生き残るために(2/2 ページ)
「コンティンジェンシープラン」作成の手引き
災害時の対策をより迅速に、より実践的に機能させるということであれば、私はコンティンジェンシープランを選択します。震災後の今となっては、対症療法ととらえる人がいるかもしれませんが、余震などのリスクも考えると、コンティンジェンシープランの方が即戦力になるからです。
コンティンジェンシープランの作成で重要なことは次の2つです。
- プランを策定する全ての関係者(社員+経営者)が迷わず、目標が定まっていること
- 現在の体制と理想の体制を考えること(この両面で考え、費用対効果で経営者が何とか納得できるスレスレの着地点を定める。決まれば即日から実施する)
実際に作成を進める上でのポイントを紹介します。
1.緊急事態を具体的に明示する(シナリオの作成)
例えば、「本社のある東京で震度7の地震が発生。支社は福岡、大阪、名古屋、札幌にあり、支社は被災を免れた。関東大震災級規模であり、類似している。関東大震災と同じように熱海で12メートル、房総半島で9メートルの津波が発生し、横浜も相当な津波の被害を受けた。本社は津波で3メートルほど水没し、津波が引いてからしばらくして停電になった」とします。
このようなシナリオを幾つか作成します。さらに、「本社近くの発電所が火災」とか、「100メートルも離れていないガソリンスタンドが炎上」といったケースを組み合わせるといいでしょう。「発電不足のため30%の需要削減が発令された」などのケースも加えるとより具体的になります。
いたずらにシナリオを想定することはいけませんが、柔軟な発想でライフラインの供給が断たれたケースをイメージし、万一の場合に実効力のある対策(事前対策、事後対策)をきちんと検討しておきます。これにはある程度のコストが伴いますが、経営者を含めて関係者が相談し合い、企業の体力に見合った対策をすぐにでも進めることが一番重要です。
2.被害を想定する
幾つかの想定ケース(シナリオ)ができたら、その場合に会社にはどういう被害が起きるのかをなるべく論理的に想定します。当然ながら、もっとも重要なことは「人的被害」がどうなるのかという点です。そして、会社が成立するための重要なもの(会社の実印や社印、機密情報、経理上の書類、人事情報など)の被害はどうなるのか、また、製造業ならば工場の稼働状況からサーバ、施設、ネットワーク、通信網、端末、営業車、製品など、多くの視点で被害を想定します。重要なライフライン――電気、ガス、水道、インターネットなどの被害もできる限り資料を取り寄せて、その被害を想定しておきます。
3.優先順位を策定
経営者として「何を優先するのか?」という視点も不可欠です。これは業種、業態、規模、環境、経営者の考え方などさまざまな要素で異なります。
例えば、
- 社内システムは、シナリオ発生後の3日程度は自前で動作できる体制をとる。そのためにサーバ、電源、回線などに余裕を持たせる。クラウドも検討
- 自前のリソースで1週間は本社工場内部で製品を製造できる状況とする
- 当社にとって移動手段が極めて重要だ。ガソリンは本社の専用施設に常備し、10日間程度は持ちこたえる量を確保する。車両は常時、耐震災専用車庫に保管し、30台はいつでも稼働できる状態にする
- 支社同士の緊急連絡網は専用回線でつながるようにしておく。経営者は万一のことを考慮して、副社長を平時から大阪や福岡などに常駐させる
4.3で決めた優先順位を実現するための「事前準備」を検討する
優先順位に基づく施策をどう進めるかについて、期間を区切って検討します。1週間以内で準備できるものは「短期策」、1カ月程度なら「中期策」、数カ月から数年かかるものは「長期策」です。しかし、優先順位が極めて高いものを長期策とすべきではありません。
ここでは、経営の3つの要素(人・物・金)のパラメータに従って、経営者がその順位を決定します。震災の場合では、「震災直後」「当日」「3日後」「1週間」「1カ月」「長期」という時系列に応じて、各部門が事業継続させるための作業項目、そして、生きながらえるために最低限必要な備蓄や防犯対策、ビルの強化工事といった面を含めて検討することになります。
5.シナリオ発動時の組織と緊急連絡網の確認
万一の場合に備えた「緊急組織」「緊急連絡網」が必ず機能し、その体制に適切に移行できるかを普段からチェックしなければなりません。
6.全社員への「啓蒙・教育+きめ細かな運用」
経営者の意思や万が一に備えた体制も、従業員の意識が希薄では機能しません。いかに会社を存続させ、それが企業関係者の生活を保障するものであることを意識させなければなりません。全社一丸となって、緊急時には団結した行動が重要でることを啓蒙・教育を通じて理解してもらうようにすることが重要です。
コンティンジェンシープランは、このように今すぐ取り組むことができる災害対策です。長期的にはBCPも視野に入れていくことになりますが、日本の大部分を占める中小企業ではそこまで手が回らないのが実態ですので、まずはコンティンジェンシープランから検討されてはいかがでしょうか。
萩原栄幸
一般社団法人「情報セキュリティ相談センター」事務局長、社団法人コンピュータソフトウェア著作権協会技術顧問、ネット情報セキュリティ研究会相談役、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格した実績も持つ。
情報セキュリティに関する講演や執筆を精力的にこなし、一般企業へも顧問やコンサルタント(システムエンジニアおよび情報セキュリティ一般など多岐に渡る実践的指導で有名)として活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
過去の連載記事一覧はこちらから
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
ITmediaはアイティメディア株式会社の登録商標です。