法人のお客さま総合 > Business ADVANCE > ICT用語ガイド > GUIDE 007 BCP(Business Continuity Plan)
パート2 【インタビュー】企業のBCP対策としての取り組みについて
ICT化が進む現在、BCPの中でも特に注目されているのが、「ディザスタ・リカバリ(DR)」です。「ディザスタ」とは災害や事故のこと。災害やテロ、事故などが発生した場合に、被害を最小限に食い止め、短時間でシステムを復旧させるための運用体制のことです。今やどんな企業でも「システムとデータ管理」が事業をスムーズに継続させるための鍵を握っているといっても過言ではありません。そこで今回は、災害対策に使われる回線サービス(WIDESAN)を担当しているNTTコミュニケーションズ ITマネジメントサービス事業部の高尾司さんにお話を聞きました。
BCP(事業継続計画)について、最近の企業の取り組みやその動向について教えてください。
BCPもディザスタ・リカバリ(以下DR)も同じようにICTシステム主体なイメージで語られることが多いのですが、私個人は少し違った解釈をしていまして、BCPというのは、システムについてのみ考えるのではなく、運用する人をどうするか、どのように継続していくかといった、事業全体から幅広くアプローチしていくべきモノだと思っています。DRに関してはもう少し狭い意味で捉えてよいのかなと。DRの上位レイヤーにあるのがBCPだというように考えています。
その方が話が現実的だし、企業側にとってみても、投資がしやすいのかもしれません。(高尾)
今までは、そうではなかったと?
もちろん、法的整備が整う前から、高い意識を持ってDR対策に取り組んできた企業もたくさんあります。実際に私がお付き合いいただいているお客さまの中には、非常に高いレベルで災害対策を実行し、4半期に1度か、少なくとも年に1回はリハーサルを行い、定期的にBCPなりDRのプランをブラッシュアップしているところもあります。しかしながら、継続的にDRを行っていくというのは、会社が赤字でも黒字でも関係なく、そのコストは固定費として出ていきます。ですから、「備えあれば…」というようなスタンスでは、今一歩踏み切れなかったのかもしれませんね。検討に何年もかかるお客さまもありましたし、とりあえず形式だけ…というスタンスで、段階的に導入するケースも過去にはありました。しかし、個人情報保護法や日本版SOX法も成立しましたから、内部統制やコンプライアンスが、法的に規制されるという状況になっているわけです。最近は本当にいろんな災害が実際に起こります。起きてから、「本当はおざなりな対応でした。ごめんなさい」では市場からの退場を命じられかねません。その危機意識があるため最近では急激に実効性のあるDRの方向に、企業の意識が高くなって来ているように感じます。(高尾)
では、具体的にどのようにDR対策がなされているのか、その事例をご紹介いただけますか?
例えばデル株式会社さまの事例なのですが、川崎の本社と関東某所に作ったバックアップサイトを、我々が提供する「WIDESAN」という100Mbpsの広域ストレージネットワークサービスを使ってDRしています。
データを2拠点に置くことで、新鮮なデータの安全性を確保しているのですが、この事例をお話すると、なぜバックアップサイトが本社と同じ関東圏内なのか?もっと遠くに置いた方が安全性は高くなるのではないか?と、お尋ねになるお客さまもいらっしゃいます。確かにイメージとしては、近くにあるよりは、距離が離れたところに置いた方が安全のような感じがするのかもしれませんね。でも、実際に本社サーバが被災して、バックアップセンターに切り替えなければならくなった場合、「誰がそのシステムを動かすのか」を第一に考えなければなりません。バックアップサイトを動かすのも、結局本社側のシステム担当であることが多いのではないでしょうか。ですからその担当が移動可能な距離内になければなりません。交通手段が絶たれて、電車も車もダメとなったら、歩いていくか、自転車か、よくてバイクを使うといった方法で現地に向かうことになりますが、現実感があるのはせいぜい50Km以下だと思われます。これが100Kmも離れていたのでは、行くだけでも大変です。多くのお客さまは、現実的に移動可能な距離を想定して、バックアップサイトの場所も選定しています。(高尾)
これからのBCP/DR対策のポイントはどこだとお思いですか?
そうですね。やはり最初にお話したように、コンプライアンスやSOX法への対応が重要なポイントとなっていくと思います。今まではデータの管理方法もルールが決まってなかったとしても、今後は「それではコンプライアンスにひっかかる」ということで、どんどん見直されていくと思います。
データには、当然、重要度というものがあります。簡単にいうと、顧客に近いデータほど重要だと考えます。しばしば、DRというと基幹システムを考えがちですが、基幹システムとは、財務、経理をさしていることが多々あります。それよりも、顧客との取引に関するデータ、次に自社にとって機密性の高いデータなどが重要でしょう。
たとえば、CADで作った設計図のデータが、工場のPCファイルサーバに蓄積されているとします。もちろんデータは管理されているし、バックアップも取ってある。でも肝心なサーバの保存場所が、誰でも見られる机の上だったら、意味がありませんよね。
具体的なコンプライアンスの手順を挙げると、万が一データが、破損や流出したら、どういうリスクがあるのか評価し、ならばこのサーバはどこに置いて管理するべきなのかを定義し、文書化することが第一歩になります。次に適切に管理されているか、管理・監査ログを文書として残します。このふたつがDRを織り込んだコンプライアンスといえると思います。
さまざまな評価手法がありますが、定義がなされていて、それが運用されているか、という考え方は同じです。
一方、アクセスする側で注目されているのが、「Thin Client」という考え方です。企業にとって重要なデータの半分は、サーバになく、個々のパソコンの中にある、という話もあります。そこで、「そもそも大事なデータをローカルな環境に置いておく方がいけない」という考えから、ディスクのないパソコンの存在が話題になっているのです。データはすべてデータセンターで管理する。クライアントPCにはOSすら入っておらず、データはもちろん、アプリケーションまでネットワークからダウンロードして使うというシステムです。
パソコンのハードディスクの大容量化が進む一方で、危険なことに、バックアップをほとんど取ってないところが多いんです。大企業で、きちんとしたシステム管理がなされているところでも、末端のクライアントマシン1台1台のデータまで、管理できているところは?といったら、非常に難しいのが現状です。個人のパソコンといえども全社レベルでは毎日のように、どこかでOSやファイルなどが破損しており、言い方を変えれば、小規模な災害が毎日のように起きているのです。
そこで、すべてのデータをセンターに置いて、厳重に管理しておけば、集中的にバックアップも取れるし、遠隔地にデータをまとめて送ることだって可能ですからね。データは社内には置かない。そういう時代になりつつあるように感じています。(高尾)
ICT用語ガイド「GUIDE005 日本版SOX法〜その傾向と対策〜」で、日本版SOX法が成立し、企業に求められるものが変わっていくであろうことはお伝えしましたが、これがBCP/DR対策においても重要なポイントになっています。しかし、日本版SOX法が適用されない中堅・中小企業のBCP事情はどうなのでしょうか? ここからは同じくITマネジメントサービス事業部の山口吾郎さんに聞きました。
中堅・中小企業がBCP/DRに取り組むポイントはどこでしょうか?
先ほど高尾の方から話が出ましたが、BCPに本格的に取り組むには、非常にコストがかかります。たとえば自社でファイルサーバを持とうとしたら、サーバの構築に何千万円とかかりますし、月々の保守料金でも数十万円からの出費がかかります。また、外部に設置するにしても、専用線を利用したストレージサービスなどを構築するとなると、これもまた大きな話になってしまいます。企業の体力に対して、これだけのコストをかけてやるべきなのか?という点が一番の問題ですよね。さらにコスト以外にも運用面における人員の問題も出てきます。それを考えると、やはり現実的ではないと思うんです。
このところ、中堅・中小クラスのお客さまにご好評をいただいているのが、お客さま専用のサーバをご用意、提供する専用型ホスティングサービスです。弊社の「パワープラットフォーム ホスティングサービス」なら、月額3万円以下、セキュリティなどいろいろな機能がついている「パワーパック」で月々10万強です。このコストパフォーマンスに魅力を感じていただいているようです。また運用面でも、専用ホスティングなら特別な要員も要らず手間が省け、中小クラスでも保守要員を雇う必要がなく、さらには深夜にかけつけなくていい、という点もうけています。
このようにデータ管理をアウトソーシングするというのも、確かに中小企業の負担を軽減するひとつの方法ですが、BCP対策に取り組む前に、どうすべきか徹底すべきこともたくさんあると思います。たとえば、データの管理法やバックアップのタイミング、PCの使い方のルールなど、まだまだ手つかず状態の企業も多いんですよ。そういう意味では9月1日の防災の日をきっかけとして、社内ルールを作り、業務の効率化を図るところからスタートしていただければと思います。(山口)
ホスティングサービスが人気ということですが、実際にはどんな業種の方が、利用されているんでしょうか?
バラエティーに富んでいますね。社員1人という会社から大企業まで規模も、業種もさまざまで、製造業や小売業、美容院の予約システムを提供している企業などもあります。
わかりやすい事例でいうと、株式会社KOUZIRO様というお客さまがおられるのですが、コンピュータの製造・販売をされている老舗メーカーで、自社のWebサイトを"ショールーム"として活用し、多くの顧客に商品を提供しておられます。ホスティングサービスを利用する前はWebサーバを自社で管理しておられましたが、大手家電量販店の株式会社ヤマダ電機様に、オリジナルパソコンを提供することが決まり、さぁこれから!というときに大型台風が直撃。広範囲に渡る停電と回線の不通に見舞われ、3日間は完全な業務停止状態。その被害はかなり深刻なものだったそうです。
そんな苦い経験があって、弊社のサービスにお申し込みいただいたのですが、「社内にサーバがあるのと変わらないレスポンス」と、非常に高い評価をいただいています。スタートはWebサーバをASP化したものでしたが、今後は社内の基幹業務システムもホスティングサービスを利用しようか、とご検討いただいています。(山口)
中堅・中小企業こそ、大事なデータは外部で管理すべきなのでしょうか?
そうですね。自社管理はやはり限界があると思いますので、データの安全性という点でも、社外のシステムを利用することは有効な手段だと思います。
しかし、情報の漏洩などの問題を考えると、やはり大事なデータは手元に置いておきたいという心理も働くようです。もちろんそのお気持ちもよくわかります。ただ、我々は回線の保守やデータ管理においてはプロなので、餅は餅屋に任せるという発想をしていただけたら、というところでしょうか。NTTコミュニケーションズのホスティングサービスは、サーバもデータも海外のデータセンターを使っていますので、当然国内で発生する被害とは無縁ですし、セキュリティの面でも、BCP/DR対策に合っていると思っています。
結局、データ管理をアウトソーシングするかどうかは、企業の規模にかかわらず、「自社システムが動かなくなったらどうなるか?」という被害規模の問題だと思います。システム停止が死活問題だったら真剣に考えますよね。実際に某大手マスコミ企業さまにも使っていただいているんですが、仮に日本が壊滅状態になってもメール機能だけは活かしておきたい、という目的で、メールサーバを海外に置いているところもあります。
メールサーバを海外に置くかどうかは別にしても、まずはデータのバックアップという意味合いで、データを複数の場所に置いておく、というところから、BCP/DR対策を行っていくといいと思います。大上段に「BCPをやらねば!」と構えるのではなく、セキュリティ対策など、身近なところから始めてみるのはいかがでしょうか。会社の規模にあった方法をチョイスして欲しいですし、我々もまたお勧めしていこうと考えています。(山口)
(※このインタビューは2006年7月に実施したものです)
インタビューの中でもデータセンターやホスティングサービスの話が出たように、これからのBCP、DRにおいて、「データはローカルで管理するにあらず」というのが、これからの主流になっていくようです。データはデータセンターできっちり管理。まずはこのようなところからBCPへの取り組みをスタートするとよいのではないでしょうか。しかしながら、大切なのは企業に適したサイズでの危機管理を目指すことでしょう。
そんな時代を反映して、今年の6月28日、BCPを標準化することをめざして「事業継続推進機構」というNPOが設立されました。今後はBCPに関する勉強会やシンポジウムを活発に行い、教科書などを作る構想もあるとのことで、BCPの啓蒙を牽引していくことが期待されます。
日本版SOX法の成立などによって、今その必要性が急速に見直されているBCPですが、「適切なBCP対策を持っている会社企業が社会的に信頼できる」と評価される時代がやってくるのも、そう遠いことではないようです。
●NTTコミュニケーションズのBCP関連サイト
経営課題とICT(ITトレンド)
経営課題を解決する最新ICTを具体的に解説
ICT = Information & Communication Technology
