2. ギャップを解消するための方法

さて、それではそもそもギャップを発生させないようにするにはどうすればよいのでしょうか。

これからデータサンタ―やクラウドサービスを導入する、という場合であれば、まずは自組織のBCPを主管している総務や経営企画部門に、その存在を確認してください。一方で、BCP主管部門は、BCPの策定や見直しに際して、必ずIT部門を巻き込み、現状のシステム対策との整合について、意見を聴取してください。自分たちの業務を継続するために必要なシステムなのですから、IT部門に任せっきりではなく、自分自身で状況を把握しておくことが重要です。

一方、すでに平行して対策導入が進んでいる場合、ITシステムの復旧目標が業務要件を満たしていれば問題ありませんが、大抵は多くのギャップが発生しているというのが現状です。

その際には以下の順にギャップを特定し、対策を検討していきます。

【BCPとシステムのギャップ特定手順】
①ビジネス要件の確認
②システムの依存関係の確認
③現状のシステム対策と復旧ポイントの確認
④BCP要件とシステムの復旧ポイントとのギャップの確認

①ビジネス要件の確認
ここでは、自組織のBCPの対象事業や業務、必要なシステムを確認することを意味しています。BCP要件としては、「RTO(Recovery Time Objective:目標復旧時間)」「RLO(Recovery Level Objective:目標復旧レベル)」「RPO(Recovery Point Objective:目標復旧時点)」を押さえておく必要があります。経験上、BCPの中ではRPOまで定義している例は少ないため、その場合にはどの時点までさかのぼってデータを取得する必要があるか(どれくらいの頻度でバックアップを取る必要があるか)、業務責任者に確認します。

②システムの依存関係の確認
次に、BCP対象業務で使用するITシステムと、当該システムへITサービスを提供しているシステムとの依存関係を調べます。これは、システム間の依存関係を明確に認識しておかないと、基盤となるシステムの停止により、業務が再開できない可能性があるためです。

③現状のシステム対策と復旧ポイントの確認
ここでは、②で特定されたシステムに対して、システムごとに復旧にかかる時間を洗い出します。その根拠として、現状取っているDRやバックアップソリューションの確認も併せて行います。

④BCP要件とシステムの復旧ポイントとのギャップの確認
③の結果と、①のビジネス側の要件を比較し、①のRTOよりも短い時間でシステムが復旧できるか、また回復時点に問題ないかを確認します。

このように特定されたギャップについて、それを解消するための対策を検討していきます。しかしコストの問題があり、システム側でギャップを埋めることができない、ということも考えられます。その場合、システム停止から復旧までの間、ビジネス側で乗り切るしかありません。手作業が現実的でないのであれば、システム停止によりサービス停止にどこまでの影響があるのかを特定し、迅速に社外周知するなど、手順や内容、発信先など、あらかじめどう対応するかを考えておく必要があります。

なお、こうした調整を実現するためには、部門間でのBCPに関する情報共有が必須となります。それには場当たり的な対応で進めるのは困難ですから、トップダウンでリスク管理委員会やBCP運営委員会など横断的な組織を作り、風通しの良い環境を整えることです。加えて効果的に機能させるためには、BCPの責任者としてCRO、IT側の責任者としてCIOなど明確な役割を定めることが挙げられます。組織内のギャップを解決するのは常にコミュニケーションであり、そのギャップを解決する仕組み・枠組みを用意しましょう。

全3回の連載を通して、「BCP担当者が知っておくべきデータセンターの選定ポイント」というテーマについてお話ししてきました。データセンターやクラウドサービスは、これからさらに需要が増すと考えられます。繰り返しとなりますが、こうしたサービスの活用は、「ビジネスを止めない」ことが最大の目的です。そのため、自組織にはどのようなサービスが適しているのか、BCPと融合して考えることが重要です。