東日本大震災にみるBCPの勘所とは？：どこで明暗が分かれたのか

属人性の排除やデータの保護が肝心――東日本大震災で被災した企業などの事例を基に、「事業継続性計画」（BCP）のポイントなどをシマンテックがアドバイスしている。

[國谷武史，ITmedia]

　シマンテックは7月21日、「事業継続性計画」（BCP）をテーマにした記者説明会を開き、東日本大震災で被災した企業などの事例から、有効性の高いBCPを実施するためのポイントを紹介した。復旧作業における属人性の排除やデータの悪用対策が重要と提起している。

　説明はシステムエンジニアリング本部の星野隆義氏と米澤一樹氏が担当した。

星野隆義氏（右）と米澤一樹氏

　まず情報資産を保護するという観点で、星野氏は2001年9月11日に発生した米国での同時多発テロと東日本大震災との比較を交えながらBCPでの推奨施策を紹介した。

　BCPは同時多発テロを契機に注目されることとなった。当時の教訓から、（1）BCPは大企業の義務であり、業務の復旧を最優先する、（2）対策を行うリモートサイトは現場から60キロメートルが目安、（3）リスクを認識し、BCPを導入する――という3つの点が重要とされた。

　しかし現状では、（1）についてはBCP導入が一部の大企業にとどまり、（2）では近隣地域内に拠点を構築するケースが目立つ。（3）ではBCPの導入かリスク認識にとどまるかの二者に分かれ、2008年の金融危機の影響で導入を見送ったケースも多いという。星野氏は、同時多発テロから10年が経過してもBCPが十分に講じられていない状況を指摘した。

　そうした中で東日本大震災が発生し、BCPを発動できた企業とそうでなかった企業の明暗が分かれることとなった。福島県伊達郡が出身という星野氏は、甚大な被害に見舞われた地元に何度か足を運び、この明暗を強く実感したという。

　仙台市で被災した顧客企業は、震災後の早い時期にインターネットアクセスの手段を確保して、自社サイトを更新し、被害状況や業務などの情報を取引先などの関係者に発信することができた。しかし、星野氏の地元の役場のWebサイトがしばらくの間更新されず、「状況が分からないので不安を感じた」（星野氏）という。また都心に本拠を置くある企業は、電車でわずか数駅離れた場所にバックアップサイトを構えていた。2地点間は非常に近い距離にあり、「地震の際に計画通りに機能したかどうかは言うまでもないだろう」という状況だった。

　今回の震災でBCPが機能したケースとして、中小企業では業務システムやメール、PCのデータバックなどにクラウドを活用し、データのリストアや代替PCの操作が容易にできる準備が整っているという特徴がみられた。在宅勤務が確立され、セキュリティレベルも維持されていたという。

　大企業では中小企業にみられた特徴に加え、遠隔地へのデータバックやレプリケーションが機能していた。「津波の被害を受けた大船渡市のある企業は、関東地方のデータセンターにデータをバックアップしていたので、この危機を無事に乗り切ることができた。拠点にあるファイルサーバを危険の少ない場所に一元化しておくことも大切だ」と星野氏はアドバイスしている。

　一方、BCPが機能しなかったケースとして目立つのは、人に依存する部分がボトルネックとなった点だという。例えば震災時に遠隔からサーバを停止させたが、その後の計画停電の混乱から担当者が出社できず、サーバを起動できなかった。バックアップデータがあるにも関わらず、業務に当たる社員がそのリストア方法を知らないために、復旧まで多くの時間を費やしたといったケースである。

東日本大震災から学ぶことができるというBCPのポイント

　BCPではクラウド環境の活用やバックアップの体制を確立が重要だが、それ以上にITの復旧を誰も容易にできるようにすることがポイントと星野氏。「できるだけ属人性を排除することが望ましい」としている。

　米澤氏は、BCPを実施する際のセキュリティ対策についてアドバイスした。前述のクラウド活用では有事の場合に、日常的に利用していた端末が失われるなどの事態が想定される。代替端末などでクラウド環境にアクセスすることになるが、第三者がユーザーになりすましてアクセスする危険があり、複数の認証手段で確認する仕組みが求められる。

　またオフィスが倒壊したり、今回の震災のように津波で流出したりすれば、PCやサーバ、ストレージなどが手元になくなってしまう。拾得した第三者によってデータが盗み出されるなどの危険性が高まるため、暗号化などで悪用されない対策を講じておくべきであるという。

有事の際のIT環境では認証やデータ保護が肝心