BLOG POST

事業環境の変化とBCP/DR再考

/

2020年3月のコロナ・パンデミック勃発の際、米国では州知事の権限でエッセンシャル・ワーカー以外は在宅勤務が強制されました。金融業界では、2001年のWTCテロ事件(9-11)のような事態に備えたBCP/DR体制(=オフィスが無くなってもビジネスを継続できる)を構築してきたため、各社は数日でなんとかリモート・ワークへの対応が可能だったようです。Aite-Novarica Group(ANG)では、その後の事業環境の変化を踏まえ、現時点でのBCP/DRの考え方をレポート「Business Continuity Planning and Disaster Recovery: CIO Checklist」として発刊しました。ここではその概要をご紹介します。

■ 事業環境の変化
コロナ・パンデミック勃発から2年を経た現在の事業環境を考えると、サイバーセキュリティ/ランサムウエア攻撃がより身近な話題となっている。加えてロシアのウクライナ進行を考えるとその矛先がいつ同盟国の企業に向いてもおかしくない。更に、異常気象による災害(洪水や台風、気温上昇など)がビジネスに影響する可能性も高まっている。

システム面では、クラウド・コンピューティング(SaaS/IaaS)利用増に加え、カスタマー・エクスペリエンス向上を目指して、アジャイル開発やデータ活用が活発化しているが、これら新機軸のアプローチには、BCP/DRが考慮されていないケースもあるだろう。更に、恒常的な先端IT人材の不足や人材流動性の高まり(=すぐ転職する人が増えている)も、暗黙知が継承されにくくBCP/DRにプラスとは言えない。

■ 検討すべき主要項目
ANGでは、これら事業環境の変化を踏まえ、BCP/DRのアプローチを再考してみた。
(1)シナリオ・プランニング
BCP/DRの歴史を振り返ると、過去に経験した事件を前提にBCP/DR施策が構築されることが多いが、現実には同じインシデントが二度生じる可能性は低い。ここでは発想を転換して、起こりうる可能性の高いシナリオを想定し、現在の対策ではどのような支障が起こるのか、どのような追加施策が必要なのかを考え、BCP/DRのレベルアップに対する(経営レベルでの)合意が必要だと考える。

(2)経験VSテスト
これまでインシデントが起こった場合、BCP/DR計画で不足している部分を長く在籍している社員の経験や暗黙知で補って対応していた。ただ、インシデントの複雑化や新技術の導入、社員の在籍期間の短縮傾向などを受け、前述のシナリオ・プランニングとテスト、更にその結果をBCP/DR施策へ反映することの繰り返し(=問題点の洗い出し/改善/文書化)に置き換えていく必要があるだろう。

(3)サプライチェーンへの配慮
製造業では、BCP/DRを検討する際、サプライチェーンを考慮することが常識となっているが、金融業界では、まだ配慮が限定されているように思われる。ビジネス・サイド(金融商品の仕入れやサードパーティーを利用した商品販売)と、ITサイド(アウトソーサー/ITベンダーの活用)双方で、外部企業を巻き込んだ計画策定とテストが必要だろう。

(4)クラウド対策
クラウド・コンピューティング(SaaS/IaaS)利用が増えるにつれ、それを前提したBCP/DR対策となる。またクラウドを使ったカスタマー・エクスペリエンス(CX)向上策が導入されていることも多いことから、その対策不足は被災時のCX悪化につながる可能性もある。

(5)本社機能の分散化対策
インシデントが発生した場合、これまでは本社の対策本部に必要なメンバーが集まり、迅速な意思決定を行う体制が一般的だったが、リモートワークが定着した現在、該当メンバーが一か所に集まれる可能性は下がっている。その対策としてキーメンバー間の情報共有手段の確保が重要となる。

■ 次世代のBCP/DR
企業が提供するサービスは、システムに依存する度合いがこれまで以上に高まっている。更に、顧客のエクスペクテーションが高まる一方、自然災害やサイバー攻撃の可能性も高まっている。そのような環境下でのBCP/DRは、IT部門/ビジネス部門/サードパーティーの更なる協力体制が必須であり、その実現のためには、経営陣のより一層の関与が必要であることは間違いないだろう。