2016/06/07
COP徹底解説~危機管理を自動化せよ!~
秋月 雅史
1963年7月生まれ。1989年日本アイ・ビー・エム入社。IT業界で災害対策システム・無停止システムの構築、セキュリティ体制構築などの経験を積み、2011年から「想定外の起こらないBCP」を提唱。その概念を更に推し進めて、2013年からはCOPを活用した「危機管理の自動化」を提唱し、企業向けBCPコンサルティングを行っている。
これまでの連載では、第1回~第3回においてCOPの基礎となる設計の考え方とポイント、第4回においてCOPの運用イメージをお伝えした。第5回目の本稿では、1)危機管理を自動化する前提としての標準化と実装における課題、2)COPを運用する仕組みとしてのIT化の課題、について述べる。
IT化の課題については、弊社がまさに研究段階であること、その知見の一部は特許出願中であることから、今回は全体の枠組みをお伝えすることでお許し願いたい。
編集部注:「リスク対策.com」本誌2015年11月25日号(Vol.52)掲載の連載を、Web記事として再掲したものです。(2016年6月7日)
災害対応を自動化する前提としての標準化
まず読者の皆様に認識いただきたいのは、「自動化」を行うためには、標準化・定型化が前提であるということである。改めて指摘するまでもなく、危機のタイプ・発生時刻・場所などの諸元が変わるたびに実施手順が変わっていては、自動化はおぼつかない。では、そのような標準化は可能であろうか?
答えはすでに存在している。ISO22320(社会セキュリティ/緊急事態管理―危機対応に関する要求事項)と米国ICS(Incident Command System)である。ICSのレギュレーションの中には、災害対応を実施するための帳票類が標準型として準備されていて、これらは日々、実践的に活用されている(ICS-201)。
つまり我々は、これらの危機管理における叡智の結晶を用いて自動化についての詳細を構築すれば良い。本稿ではISO22301およびISO22320の一部を用いて、災害対応の標準化と情報処理について検討を進める。
実装における主な課題
図1は、私が企業の災害対応アクションの実装を支援する過程で感じた、お客様の課題である。 災害対応とは、自然災害など突発的に起こった事象の結果、本来あるべき姿とは異なる状態になってしまった組織・環境・使命を更なる被害から守り、本来の姿に戻そうとする活動である。
このプロセスを詳細に定義・仕様化しているのがISO22320である。4.2.5指揮統制プロセスを見てみよう。
標準化の作業とは、このプロセスすべてに必要となる処理と情報項目を定義することである(例:「観察」という行為を行う実施担当者、観察対象、実施方法、必要リソース、実施のタイムライン、アウトプットの形式などを策定すること)。
さらにこのプロセスには、COPのような情報共有のためのツールを運用することが必須となる。
現在弊社では、標準化された災害対応アクション(COPなどのツールを含む)を策定し、社会に還元してゆくための有志による評議会の開催を検討している。これについては次号でご紹介したい。
それでは、図1を用いて主要な実装の課題と解決手法についてポイントを述べる。
課題①:災害対応における「目標」とは?
実装における最初にして最大の難関が、実は目標設定というプランニングである。目標が曖昧なままでは、具体的なアクションが実装できないのだ。
一般的な企業においては、「いつ、どこで、どのぐらいの規模で起こるかわからない災害」への対応目標を作ることが意外と難しい。その困難さは、お客様が策定されたBCPマニュアルを拝見すると想像できる。
私は、事業継続コンサルティングの依頼があった際には、まず現状のマニュアルを拝見するところから仕事を始める。私の経験では、基本方針の文章のなかに、その組織の重要なステークホルダーとミッションについての明示的な記述がない限り、マニュアルの内容には曖昧さが残っていることが多いようだ。
一言で言えば「誰/何を、何から護るのか?」が決まっていなければ、災害が起こるたびに、その場その場で一から目標を考えることになる。これはたいへん非効率的である。
第1回連載で書いたように、この基本方針が定まっていない限り、災害時の組織の情報要求も明確にならない。つまり情報収集も曖昧になり、忙殺されている災害対策本部に「花瓶が割れました」という報告が上がってくる遠因となる。
手法①:組織の背景に合わせた目標設定方法
ではこれをどう解決すればよいだろうか? 基本は「誰/何を、何から護るのか?」を決めることから始まる。この最初のプランニングに曖昧さを残してはならない。
ISO22301の仕様のなかに、の設定に向けた重要なレギュレーションがあるので、紹介する。
つまり基本方針を策定する際に、盛り込むべき重要な対象は、以下の3つである。
(1)利害関係者
「誰を」に相当する。例を挙げると「お客様」という記述レベルでは全く不足である。対象が「災害発生時に建設中のお客様」なのか「サービス契約を締結していて被災されたお客様」なのかによって、実施する行為は大きく変わる。この部分が曖昧なままBCPを策定しているケースがあまりにも多い。
(2)事業活動
「何を」に相当する。事業活動は複数あるので、上記(1)で定めた利害関係者への活動を中心に、重要度を決める必要がある。言うまでもなくこれは事業継続に関する基本方針となる。
(3)インシデントとその影響
「何から」に相当する。インシデントそのものは想定困難だが、インシデントから派生する自社への影響については、リソースが有限であれば設定が可能である。
例を挙げると、「地震発生」がインシデントで、「建物の破損」がインシデントの影響である。
そして対応自動化のためにここが最も重要なポイントになるのだが、護るべきものが決めたあと、これら3つの目標についての状況がわかるよう、COPに抜け漏れなく項目を割り振ることが重要である。
課題②:災害対応における「情報」とは?
BCP策定のご支援をしていると「災害発生時にどんな情報を集めればよいですか?」と訊かれることがよくある。そして資産と人の被害に関する情報を集めるための、やや曖昧な帳票への意見を求められる。もちろん情報収集の項目はこれだけでは足りない。
私が見るに「災害対応は非定型業務であるから、起こってみなければわからない。そのため事前に詳細な情報収集の項目など決められない」という思い込みがあるのではないか。さにあらず、ということは本稿の読者であればご理解いただいていると信じる。
手法②:災害時に行う効率的な情報収集手法
上記手法①により、(1)利害関係者、(2)事業活動、(3)インシデントとその影響、の3つについて目標を設定し、対応を実施するにあたって必要な情報要求を具体化してCOPに実装することは容易である。
情報要求の具体化については、以下の例をご覧頂きたい。これは「社員」「社員家族」という利害関係者に対する目標を設定し、情報収集のアクションとして定めたものである。
・設定された目標:社員および社員家族の安否確認を3日以内に行う。
・収集するべき情報と手段:本人が無事か、家族は無事か、出社は可能か等の情報を、安否確認システム、メール、電話で実施する。
課題③:災害対応における「対応」とは?
「災害発生時に組織は何をするか?」という課題への答えは、たとえば「A社にお金を支払うためには何をするか?」への答えと同じぐらいのレベルで具体的かつ詳細に手順化できる。
ところが一般的な企業における自社の災害対応についての課題はかなり漠然としているようだ。それはマニュアル類の密度と、年間を通じて避難訓練しか行われていない訓練計画からも推察できる。
前述したように「何をすればよいのかわからない」のは、事前の目標設定が曖昧であるからに他ならない。危機発生前に護るべきものを明確にし、それぞれが毀損した場合の具体的な目標をCOPに設定できれば、平時から基本的な対策を準備することはできる。目標なくして対策なしと知るべきである。
手法③:目標に応じた対応策定方法
ここでいう対応とは、インシデントの悪影響への回避・軽減策、業務リソースの復旧・代替策が中心となる。
インシデントの悪影響への対応については、例えば「大地震による建物被害への対応」として、建物被害のチェック(構造物は無事か、内装と什器は無事か)とその結果への対応(構造物の破損があった場合は退避、など)のような例がわかりやすいだろう。
業務リソースの復旧・代替策はBCPそのものなので本稿では割愛する。
ITによる災害対応支援の課題
続いて、これらの一連のプロセスをITで支援する場合の基本的な考え方を述べる。全体の課題としては、図2のような内容を想定している。
災害対応は「業務」である以上、迅速かつ品質の良いアウトプットが求められる(品質が悪い場合は最悪の場合、人命にかかわる)。
企業が行う危機管理の場面では、複数の人間が関わり、さまざまな判断を行い、数多くの施策を実施することになる。では仮に、同じインシデントに対する判断や対応が人によってバラバラであるとしたらどういう事態にいたるだろうか?
結論を先に言う。災害対応における組織の判断は、同一条件での同一インシデントであれば、担当者が違っても一定範囲の品質に収まらなければならない。そして誰がいるかわからない災害現場で、複数の人が安定した品質のアウトプットを出し続けようとするなら、組織全員が訓練で十分な経験を積むか、定型化・リスト化された事前の判断基準をCOPに実装して活用するしか方法がない。
訓練は言うまでもなく非常に重要である。しかしながら、災害対応担当者は、各所から大量の情報を入手してその分析を行い、短時間で意思決定をしなければならないことを考えると、IT支援なしでの活動は相当困難であると思われる。
ここ数年でCOPの仕様について研究してきて思うのは、これほどたくさんの情報項目が必要だとは、数年前には的確に認識していなかった、ということである。これはエクセルの紙帳票でどうにかなるレベルではなく、データベースによる情報処理が必要とされるレベルである。
そしてそれに気づいた瞬間に解決策はITしかない、それも災害時にも稼働する強固なクラウド・サービスを活用するしかない、というのが私の結論であった。
災害対応の標準化・自動化の評議会の開催
以下の内容は次号で詳細をご紹介するが、前述したように、災害対応の内容をISOに準拠した標準プランとして作成す評議会の開催を検討中である。
標準プランを作成したあとは、対応そのものを自動化するために、クラウド・サービスに搭載して運用できるようにする。また並行して、ICT-BCPをクラウドで実装する具体的なソリューション開発も行う予定でいる。
なお弊社が開発したBCP運用、COP運用ツールであるKlothoでは、既にこのような運用が一部可能であるが、この評議会では、より基礎的で汎用的なサービスを開発する予定である。
世界初のCOP策定クラウド・システム「Klotho」(特許出願中)
http://www.bcpcloud.net
COP徹底解説~危機管理を自動化せよ!~の他の記事
おすすめ記事
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2024/12/03
パリ2024のテロ対策期間中の計画を阻止した点では成功
2024年最大のイベントだったパリオリンピック。ロシアのウクライナ侵略や激化する中東情勢など、世界的に不安定な時期での開催だった。パリ大会のテロ対策は成功だったのか、危機管理が専門で日本大学危機管理学部教授である福田充氏とともにパリオリンピックを振り返った。
2024/11/29
なぜ製品・サービスの根幹に関わる不正が相次ぐのか?
企業不正が後を絶たない。特に自動車業界が目立つ。燃費や排ガス検査に関連する不正は、2016年以降だけでも三菱自動車とスズキ、SUBARU、日産、マツダで発覚。2023年のダイハツに続き、今年の6月からのトヨタ、マツダ、ホンダ、スズキの認証不正が明らかになった。なぜ、企業は不正を犯すのか。経営学が専門の立命館大学准教授の中原翔氏に聞いた。
2024/11/20
ランサム攻撃訓練の高度化でBCPを磨き上げる
大手生命保険会社の明治安田生命保険は、全社的サイバー訓練を強化・定期実施しています。ランサムウェア攻撃で引き起こされるシチュエーションを想定して課題を洗い出し、継続的な改善を行ってセキュリティー対策とBCPをブラッシュアップ。システムとネットワークが止まっても重要業務を継続できる態勢と仕組みの構築を目指します。
2024/11/17
セキュリティーを労働安全のごとく組織に根付かせる
エネルギープラント建設の日揮グループは、サイバーセキュリティーを組織文化に根付かせようと取り組んでいます。持ち株会社の日揮ホールディングスがITの運用ルールやセキュリティー活動を統括し、グループ全体にガバナンスを効かせる体制。守るべき情報と共有すべき情報が重なる建設業の特性を念頭に置き、人の意識に焦点をあてた対策を推し進めます。
2024/11/08
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
![危機管理2022[特別版]](https://risk.ismcdn.jp/mwimgs/f/6/160wm/img_f648c41c9ab3efa47e42de691aa7a2dc215249.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方