生半可なBCP対策は失敗するだけ ガートナーのアナリストが語る
今年3月に起きた大震災によって、企業の危機管理に対する意識は上がった。しかしながら、安易な考えでBCPやDRに取り組むべきではないという。
8カ月前に発生した東日本大震災は、日本企業がBCP(事業継続計画)やDR(ディザスタリカバリ)の対策を見直す大きな契機となった。例えば、データセンターの選定に関して、これまでは、緊急時にすぐ駆けつけられるという理由でオフィスに近い立地が好まれたり、電力の安定供給を背景に発電所付近のデータセンターが注目されたりしていた。
震災後、その様相は一変。今では、リスクを分散するために多くの企業はオフィスから極力離れた場所(本社が首都圏であれば、関西や九州、沖縄など)への設置を検討するほか、福島第一原発事故の影響などで原子力発電所の周辺にデータセンターを構えるという発想はなくなったに等しい。
震災以降の企業の取り組みについて、具体的なデータを見てみよう。IT調査会社のガートナー ジャパンが今年5月に発表した企業のIT部門に対する調査結果によると、「データセンターあるいはサーバルームの移設」について6割以上の企業が計画を実施、あるいは検討中であるほか、回答企業の約半数が「100キロメートル圏を超える災害対策サイトを活用」していたり、検討していたりすることが分かった。
また、企業情報システムのBCPおよびDR対策において、効果を発揮すると期待を集めているのがクラウドサービスである。上記の調査では、「災害対策としてのクラウドや外部サービスの利用」について、計画通りあるいは一部を実施済み、近いうちに実施すると回答したのは合わせて24%に上り、計画を策定中または検討中の企業は35.9%となった。
こうした結果を見ると、企業におけるBCP/DR対策と、それに伴うクラウド活用が進んでいるように見えるが、ガートナーのリサーチ部門でITインフラストラクチャ&セキュリティ セキュリティ担当 リサーチ ディレクターを務める石橋正彦氏は、「実際にうまくいっている企業はまだ少数だ」と指摘する。クラウドに関して、プライベートクラウドの構築事例はほとんどなく、パブリッククラウドではSalesforceの活用例は増えているものの全体としては限定的だという。
BCPは専門家に任せろ
ガートナー ジャパンの石橋正彦氏BCPの取り組みについては、実は震災前から策定していた企業は多かったが、内容は有効活用できるものではなかったという。「多くの企業はISMS(情報セキュリティマネジメントシステム)の情報セキュリティポリシーに関する雛形を基にBCPを作成していたが、これはリスク評価がないものだった」と石橋氏は説明する。
また震災後、企業でBCPを策定し直す動きが出てきたが、石橋氏は「専門家に任せないと以前と同じ轍を踏むだろう」と指摘する。石橋氏によると、多くの企業では経営トップからコスト抑制のためにBCP策定を自社で内製化せよという指示があるが、これが大きな過ちで、BCPやリスクマネジメントは認定を受けているコンサルタントや、過去に携わった経験がある人でなくては難しい。実際、ガートナーへの相談や問い合わせも増えているという。
情報システムに関するDRについては、2008年に起きた「リーマンショック」などの影響によるコスト削減によって、セカンダリサイトや災害対策サイトを撤去した企業が多かった。ところが、撤去して1年程度で震災が発生したため、再び災害対策サイトの立ち上げを検討している企業もあるという。
ただし、こうしてITに投資できるのは一部の企業であり、「今年度に予算がとれていない企業は来年度も通常の予算内で災害対策を施さないとならない」(石橋氏)のである。
オフィスや業務システムを一部移設する企業も
一方で、予算が獲得できた企業では、BCPやDRに投資し、データセンターとオフィスのセカンダリ機能を真剣に検討し始めているという。例えば、東日本大震災によって「津波」あるいは「放射能」の脅威が露呈した格好となった。多くの企業ではこれまで地震というリスクを想定したときに、建物の堅牢性だけを重視していたが、今回の被害を目の当たりにし、企業の意識改革が進むこととなった。また、企業の情報システムそのものについても、製品のライフサイクルが短縮化される傾向にあるという。
オフィスに関しては、震災直後、外資系企業はオフィスを東京から関西や九州に移転するという動きが見られたが、日本企業はすぐにそうした決断をできなかった。そこで、新たに予算をつけて、オフィスや業務システムを一部移設している企業も出てきているという。
日ごろからの危機意識があってこそ
ところで、予算を獲得できた企業と、そうでなかった企業の違いは何か。獲得できた企業の特徴は、「CIO(最高情報責任者)、CISO(最高情報セキュリティ責任者)、CRO(最高リスク管理責任者)といった役職者を設置していることだ」と石橋氏は強調する。ITやBCP、DRの重要性を認識するCxOクラスのステークホルダーが経営会議で予算について言及することで、投資に対する経営者の理解を得られやすくなるのだという。
ただし、こうした意識は震災によって急に高くなるのではなく、以前からBCPやDRに対する危機意識があって、ずっと検討していたからこそ、予算獲得など具体的な行動に移すことができるのだ。これはBCPを念頭に置いたクラウド導入についても同様だという。
「今回の震災を境に、BCPやDRに対する企業間意識の差がますます広がっていくのは間違いないだろう」(石橋氏)
関連記事
- 【特集】本当にクラウドは企業BCPの救世主となるのか?
ITアナリストが語る:3段階で取り組む企業のBCP、まずはコミュニケーション強化から
このたびの大震災を受けて、多くの企業は事業継続計画に対して目の色が変わってきている。具体的な対策として、ITRの金谷シニアアナリストは大きく3つのポイントを挙げる。
クラウド×事業継続計画:「SaaS利用だけで十分なBCP対策に」――ITR・甲元シニアアナリスト
震災直後から多くの企業ではBCP対策の一環としてクラウドサービスの導入検討が進められている。そのポイントについて専門家が語った。
Weekly Memo:震災から学ぶ事業継続の勘所
企業が事業継続を図っていくうえで、今回の震災から学ぶべきことは何か。先週、記者説明会を行ったPwC Japanの話をもとに考えてみたい。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
- OTセキュリティ関連法改正で何が変わる? 改正のポイントと企業が今やるべきこと
- Google、ゼロデイ攻撃を分析した最新レポートを公開 97件の攻撃から見えたこと
- 約半数の企業は“初期段階” アイデンティティーセキュリティに関する調査が公開
- 生成AIは便利だが“リスクだらけ”? 上手に使いこなすために必要なこと
ITmediaはアイティメディア株式会社の登録商標です。