キンドリルをフォローする

事業継続計画(BCP)によるリスクへの適応と対応

事業継続計画とは

事業継続計画(BCP)とは、計画外のサービス中断中に企業が業務を継続するための方法の概略を示す文書のことです。 事業継続計画は、災害復旧計画よりも包括的であり、ビジネス・プロセス、資産、人材、ビジネス・パートナーなどの、サービス中断によって影響を受ける可能性のある企業のあらゆる側面の不測の事態を網羅します。

通常、この計画には、資材や設備、データ・バックアップ、バックアップ・サイトのロケーションを含む、チェックリストが含まれます。 また、この計画から計画の管理者を特定し、緊急時対応要員、主要な担当者、バックアップ・サイト・プロバイダーの連絡先情報を入手できます。 計画では、短期と長期の両方の障害において業務を継続する方法についての詳細な戦略が提供されます。

事業継続計画(BCP)の重要な構成要素の1つが、ネットワーク、サーバー、パーソナル・コンピューター、モバイル・デバイスのIT障害に対処するための戦略を含む、災害復旧計画です。 この計画では、主要なビジネス・ニーズを満たせるようにオフィスの生産性とエンタープライズ・ソフトウェアを回復させる方法が取り扱われます。 ここでは、コンピューター・システムを復元できるまで業務を継続できるようにするために、手作業で急場をしのぐ手段を概説しておく必要があります。

主要なアプリケーションとプロセスの事業継続計画には、次のような3つの主要な側面があります。

  • 高可用性: 局部的な障害にかかわらず、企業がアプリケーションにアクセスできるように、機能とプロセスを提供します。 このような障害は、ビジネス・プロセスに存在する場合、物理的施設に存在する場合、そしてITのハードウェアまたはソフトウェアに存在する場合があります。
  • 連続稼働: 中断中や、スケジュールされたバックアップや計画保守などのような計画停止中にも、作業の実行を維持する機能を保護します。
  • 災害復旧: 災害によって1次サイトが破壊された、あるいは操作不能になった場合に、データセンターを別のサイトで復旧させる方法を確立します。

 

 

事業継続計画の進化

 

事業継続計画は、1970年代初頭に災害復旧計画から生まれました。 銀行や保険会社などの金融機関が、代替サイトへの投資を行うようになります。 バックアップ・テープは、コンピューターから離れた、保護されたサイトに保管されるようになりました。 復旧作業の必要性が生まれた原因は、ほとんどの場合、火災、洪水、嵐などの物理的な破壊でした。 1980年代には、共有のコンピューター・サービスを提供する商用復旧サイトの成長が見られましたが、重点は依然としてIT復旧のみに置かれていました。

1990年代になると、企業のグローバリゼーションとデータ・アクセスの広汎性が急激に高まりました。 企業は、災害復旧の枠を超えて事業継続プロセス全体について、より総合的に考えるようになります。 企業は、完全な事業継続計画がなければ顧客と競争上の優位性を失うかもしれないことに気付いたのです。 その一方で、分散アプリケーション、分散処理、分散データ、ハイブリッド・コンピューティング環境などのアプリケーション・アーキテクチャーを考慮する必要性に直面した事業継続計画は、より複雑さを増していきました。

今日の組織は、ビジネス活動をまひさせてそのITシステムを永続的に破壊する可能性のあるサイバー攻撃に対する自組織の脆弱性を、ますます意識するようになっています。 また、デジタル・トランスフォーメーションとハイパーコンバージェンスが、リスク、脆弱性、攻撃、障害に対して意図せず隙を作ってしまう可能性もあります。 事業継続計画には、企業が破壊的なサイバー・インシデントに対処するための、サイバー・レジリエンス戦略を組み込む必要があります。 この計画には通常、これらのリスクに備え、重要なアプリケーションとデータを保護し、管理された測定可能な方法でセキュリティー侵害や障害から復旧するための方策が含まれます。

急速に増加するデータ量の問題もあります。 意思決定支援、データウェアハウジング、データ・マイニング、カスタマー・リソース管理などのアプリケーションでは、オンライン・ストレージへのペタバイト規模の投資が必要になる場合があります。

データ・リカバリーはもはや1次元的なアプローチでは対処できなくなりました。 大多数のインストール・システムのITインフラストラクチャーの複雑さは、ほとんどの店舗で数年前に行われていたような方法で対処できるレベルを超えてしまいました。 複数の調査研究で、適切な計画を行っていなかった企業は、当面の災害イベントから何らかの方法で回復したとしても、中長期的には生き残れなかったことが多いと判明しています。

 

 

事業継続計画が重要な理由

 

事業継続計画を導入して、ビジネス・プロセス、アプリケーション、ITインフラストラクチャーの間のレジリエンシーの同期を特定して対処することが重要です。 IDCによると、平均して、インフラストラクチャーの障害には1時間当たり10万米ドルのコストが、また重要なアプリケーションの障害には、1時間当たり50万米ドルから100万米ドルのコストが発生する可能性があります。

これらの多くの脅威に耐えて成功するためには、企業の成長を支えてデータを保護する信頼性の高いインフラストラクチャーを構築するだけでは足りないということを、企業は認識しています。 企業は今、事業の継続、データの保護、ブランドの保護、顧客の定着、さらには長期的な総運用コストの削減を可能にする、包括的な事業継続計画を策定しています。 事業継続計画を導入することにより、ダウンタイムを最小限に抑え、事業継続、IT災害復旧、企業危機管理機能、法規制への適合における、持続可能な改善を実現できます。

しかし、複数のハイブリッドIT環境にまたがったシステムの統合と分散がますます進んで、潜在的な脆弱性が生まれていることによって、包括的な事業継続計画の策定はより難しくなっています。 より高度なサービスへの期待に応えるためにより多くの重要なシステムをつなげると、それに伴って、災害復旧、レジリエンシー、法規制への適合、セキュリティーと共に、事業継続計画の複雑化が進みます。 チェーン内の1つのリンクが壊れるか攻撃されると、その影響が企業全体に波及する可能性があります。 リスクやオポチュニティーに迅速に適応し、対処する中で、ビジネス・レジリエンシーの維持に失敗した場合、企業は収益の損失と顧客の信頼低下に直面します。

 

 

事業継続計画のためのコンサルティング、ソフトウェア、クラウド・ベースのソリューションの活用

 

多くの企業が、今日のハイブリッドIT環境と変化するビジネス要件に対応できるだけのスピードで、そのレジリエンシー戦略を進化させることに苦戦しています。 「常時オン」の、24時間365日稼働の世界では、ITリソースがどれほど確実に中核的なビジネス・ニーズに対処できるかによって、グローバル企業は競争上の優位性を獲得できる可能性も、市場シェアを失う可能性もあります。

一部の組織では、ビジネス・プロセス、アプリケーション、ITインフラストラクチャーの間のレジリエンシーの同期を特定して対処するために、社外の事業継続性管理(BCM)コンサルティング・サービスを活用しています。 コンサルタントは事業継続と災害復旧に関する柔軟なコンサルティングを提供して、アセスメント、計画、設計、実装、テスト、包括的な事業継続性管理などの、企業のニーズに対応できます。

企業によるリスクの特定を支援し、障害の検出、障害への対応、障害からの復旧に企業が備えられるようにする、kyndryl ITインフラストラクチャー・リカバリー・サービスなどのプロアクティブなサービスがあります。

サイバー攻撃の増加に伴い、企業は従来型の手動によるリカバリー手法から、自動化されたソフトウェア定義のレジリエンシー手法に移行しています。 kyndrylサイバー・レジリエンス・サービスの手法では、先進的なテクノロジーとベスト・プラクティスを使用して、リスクの評価や、ビジネスに不可欠なアプリケーションとデータの優先順位付けと保護を支援します。 これらのサービスは、サイバー攻撃の発生中とその後に企業がITを迅速に復旧するのにも役立ちます。

IT障害後の迅速な復旧のために、kyndryl Disaster Recovery as a Service(DRaaS)のようなクラウド・ベースのバックアップ・サービスを利用して、重要なアプリケーション、インフラストラクチャー、データ、システムの継続的な複製を行っている企業もあります。 また、重要なサーバーをリアルタイムで保護する、IBM Cloud Virtualized Server Recoveryなどの仮想サーバー・オプションもあります。 これにより、kyndrylレジリエンシー・センターでのアプリケーションの迅速なリカバリーが可能になり、保守期間中または予期しないダウンタイム中も業務を継続できます。

より多くの組織が解決策として採用するようになっているのが、レジリエンシー・オーケストレーションです。これは、災害復旧の自動化と、ハイブリッドIT環境向けに特別に設計された一連の事業継続性管理ツールを活用する、クラウド・ベースのアプローチです。 例えば、kyndryl Resiliency Orchestrationは、アプリケーション、データ、インフラストラクチャー・コンポーネント全体にわたる、ビジネス・プロセスの依存関係の保護に役立ちます。 ビジネス・アプリケーションの可用性を高めて、企業が目標復旧時点(RPO)、目標復旧時間(RTO)、およびIT継続性の全体的な正常性について、一元化されたダッシュボードから、必要な概要レベルのまたは詳細なインテリジェンスにアクセスできるようにします。

 

 

効果的な事業継続計画(BCP)の主要な機能

 

事業継続の構成要素は以下のとおりです。

  • 戦略:事業継続を確保しながら、日常的な活動を実施するために企業で使用される戦略に関連するもの
  • 組織:従業員の構成、スキル、コミュニケーション、責任に関連するもの
  • アプリケーションとデータ:業務の実行に必要なソフトウェアと、そのソフトウェアの実装に使用される、高可用性を提供するための手法に関連するもの
  • プロセス:業務の実行に必要な重要なビジネス・プロセスと、業務が確実にスムーズに行われるように使用されるITプロセスに関連するもの
  • テクノロジー:アプリケーションとデータの継続的な操作とバックアップを可能にするために必要なシステム、ネットワーク、業界固有のテクノロジーに関連するもの
  • 施設:1次サイトが破壊された場合の災害復旧サイトの提供に関連するもの

事業継続計画は、事業継続にかかわる事象や危機の際には参照文献となり、そうした事象や危機に対処するための戦略と戦術の青写真となります。

以下の図に示すのは、kyndrylグローバル・テクノロジー・サービスが使用する事業継続計画策定プロセスです。 これは、継続的な反復と改善を目的とした、閉ループのプロセスとなっています。 計画策定プロセスは、以下の3つの主要な部分で構成されています。

  • ビジネスの優先順位付け:さまざまなリスク、脅威、脆弱性を特定し、優先順位を付けます。
  • ITへの統合: ビジネスの優先順位付けから情報を取り込んで、事業継続プログラムの全体的な設計を行います。
  • 管理: 評価および設計されたものを管理します。

 

ビジネスの優先順位付け, ITへの統合, 管理