来るべき大地震や水害などの災害に備え、今取るべきBCP対策とは

重要性が増している事業継続計画の策定

不測の事態に備えた事業継続計画（BCP）の重要性が増している。BCP（Business Continuity Plan）とは、自然災害やテロ、基幹システムのトラブルなどの緊急事態に遭遇した場合に、企業活動への影響を最小限に抑え、早期復旧を図るための計画である（図1）。
BCPは、被害を受けた拠点や工場の代替施設・要員の確保、データのバックアップ、指揮系統の確認、社員の安否確認を含む初動対応や復旧目標などを事前に定め、事業停止などの経営リスク低減を図ることを目的に策定される。
2011年の東日本大震災を機に、企業はBCPの大幅な見直しを迫られることになったが、今年6月18日に大阪府北部を襲った震度6弱の地震をきっかけに、改めて危機管理体制の重要性が浮き彫りになった。

（図1：災害時におけるBCPの導入効果イメージ）

日本は、世界でも類のない「地震大国」である。世界で起きるマグニチュード6以上の地震のおよそ20％が日本で発生するといわれており、近年では、1995年の阪神・淡路大震災、2004年・2007年の新潟県中越地震、2011年の東日本大震災、そして2016年に発生した熊本地震など、大きな地震が繰り返し発生している。また、今後30年以内に70～80％の確率で最大震度7クラスの首都直下地震と南海トラフ地震が発生するとされており、想定される経済的被害の大きさに懸念が広がっている。

さらに、地球温暖化や気候変動の影響で、台風や集中豪雨による大規模な水害・土砂災害も頻発しており、洪水などにより施設そのものが被災してしまった企業も少なくない。

これらの地震や水害のほか、大雪や火山の噴火といった自然災害は、いつ、どこで発生するか分からず、正確に予測することは不可能である。想定外の被害をもたらす自然災害が増加し、企業側の対策も難しくなる中、さまざまなリスクを想定したBCPの策定が求められている。

事業の早期復旧に求められるIT環境への対策

内閣府が2017年度に行った実態調査によると、大企業で約6割、中堅企業では約3割がBCPを策定している。大規模な災害が発生するたびにBCPの整備は進むものの、BCP策定は一度整備したら終わりというわけではない。災害のリスクに加え、従業員の働き方も変化し続けている現状を考えれば、災害対策も定期的にブラッシュアップする必要があるだろう。
特に昨今、BCP策定において重要なポイントになるのが、事業遂行に必要不可欠なIT環境の災害対策である。
たとえば、通信サービスを支えるインフラやネットワークに甚大な障害が発生した場合、業務やサービスの継続が困難となり、最悪の場合には事業そのものが停止に追い込まれる可能性もある。
そのような状況を踏まえ、災害時に安定的な通信環境を確保し、事業の早期復旧を実現するために、ネットワークの冗長化とデータセンターの活用によるBCP対策が有効な手段となる。

インフラの耐災害性を高めるためには、極めて信頼性の高いネットワークを構築し、拠点間あるいは拠点とデータセンターをつながなければならない。災害などにより、特定の経路が分断されることを想定すると、複数の経路を通る形で回線網を用意し、冗長化を図ることが重要になる。
さらに、メインサイトから離れた場所や、自然災害リスクが少ない安全な場所に立地したデータセンター、巨大地震にも耐えられる免震・耐震構造や、無停電電源装置・非常用発電機などの電源設備、冗長化された通信設備を有するデータセンターを利用するなど、データやシステムをより確実に守るための環境を確保することも必要になってくる。

BCP対策として着目されるクラウド活用

また、昨今は、重要なデータのバックアップサイトとして、クラウドの有用性に着目する企業も増えてきている。
理由は、サーバやストレージなどのハードウエア、ウイルス対策、業務系システムや情報系システムといった各種アプリケーションが充実し、必要なリソースだけを柔軟かつスピーディーに調達できるため、運用・保守などの手間とコストを低減できるからである。

企業特有の要件が少ないメールやグループウエアなどのシステムについては、クラウド上のサービスを活用することで、災害時には避難先や自宅から、モバイルやインターネットを介して情報交換を行えるようになる。
クラウドであれば、高額な広帯域ネットワークを使わなくても堅牢なDRサイトを確保できるため、とりわけ災害対策の予算確保が困難な中小企業などでは、BCP対策として検討する価値は大いにあるだろう（図2）。

（図2：BCP対策としてのIT環境）

リスクを分散する工夫

では、前述のような回線の冗長化やデータセンターやクラウドによるデータ保護の取り組みがないがしろにされていた場合、具体的にどのようなリスクが想定されるのだろうか。

たとえば、大規模な災害が発生した際に、ネットワークの冗長化がされておらず、データセンターやクラウドにつなぐ回線が断線してしまえば、サーバを運用するDRサイトがどんなに堅牢であっても、情報システムを利用できなくなるという最悪の事態を招いてしまう恐れがある。
実際のところ、東日本大震災のときには、回線の断絶や停電によりパソコンやスマートフォンなどの通信機器が使えなくなり、復旧後も余震により度々断絶されたほか、輻輳や通信障害が発生するなどネットワークの接続が不安定な時期が続き、多くの企業のITインフラに影響を及ぼした。

また、自社システムが社内のサーバルームに置かれている場合には、災害によりサーバのハードウエアが損傷し、業務に必要なデータが消失してしまうなど、事業の継続が不可能になるといった事態が起こり得る。さらに、そのような事態に備えて保存しておいた重要なバックアップデータも、サーバと同じ場所に保管されていれば、拠点と一緒に被災してしまい、バックアップから復旧できなくなるといったシナリオも考えられる。

災害対策では、事業継続の観点から、複数のアクセス経路を確保するとともに、社内にすべてのITシステムやデータを置くのではなく、データセンターやクラウドなど外部の設備・サービスを利用することで、可能な限りリスク分散を図る工夫が必要になってくる。

増大する経営リスク

日本企業が情報システムのBCPに取り組み始めたのは、1995年の阪神・淡路大震災がきっかけであった。その後、世界最大級の東日本大震災を経験し、多くの企業でBCPの整備が進んだとはいえ、中小企業を中心に「BCPの必要性を感じない」「スキルやノウハウがない」といった声もあり、依然としてBCPの策定が進んでいないというのが現状だ。
残念なことに、未曽有の災害を経験し、たとえBCPの必要性を痛感したとしても、時間が経つにつれて企業の危機意識や関心は次第に薄れていってしまう。そして、被害想定は小さくなり、いざという時に対応できない企業は非常に多い。
しかし、自然災害のみならず、サイバー攻撃によるセキュリティリスクの増大など、企業を取り巻く環境は大きく変化してきている。そのような状況を鑑みれば、あらかじめ災害や事故発生時の対応措置などを準備しておくことの重要性は、日に日に高まっているといえるだろう。

◎製品名、会社名等は、各社の商標または登録商標です。