ITと事業継続－その1－

先回まで5回にわたり東日本大震災と事業継続管理(BCM)について報告いたしました。企業活動を支える要素の中でもITシステムとその維持は今日、事業継続に欠かせない要となっています。この度の大震災においても、インフラサービスや金融機関等におけるITシステムの回復がサービスの復旧に極めて重要なポイントになっていました。

本コラムでは、今回の大震災をITシステムの観点から考察し、特徴的な被害の状況やIT産業との関連を踏まえ、期待のかかるクラウドコンピューティングの適用を中心とした今後の事業継続活動について、数回にわたり触れて行きたいと思います。

1. 特徴的な被害の状況

―サプライチェーンの寸断―

かつてない広域で大規模な東日本大震災では、大企業のみならず多くの中小企業が被害に遭い、日本の産業自体にも大きな影響を与えています＜＊1＞。サプライチェーンも広範囲にわたり寸断され、自動車の完成車工場は被災を免れたものの、部品メーカーの被災によって部品の一部が調達できないことから、自動車の生産が長期にわたり停止しました。また、紙やインキの供給不足などにより大手の製紙工場では生産再開が遅れ、印刷業界や新聞・出版業界など幅広い業種に影響が広がりました。

＜＊1＞東日本大震災による影響を開示した主な企業一覧

―ハイテク産業への影響―

東北地方では、IT産業を支える企業も多く、ハイテク産業に与える影響も大きかったと言われています。この影響は国内に止まらず、世界的にも大きな影響を及ぼしており、世界のハイテク製品供給の流れが正常化するには、震災直後の予想では、6ヶ月以上かかるとされ、特に半導体のパッケージングに使われる基板の供給に支障が出るだろうと見られていました＜＊2＞。
内閣府は、東日本巨大地震による住宅や工場、道路などのインフラ(社会基盤)の被害額が16兆～25兆円にのぼるとの試算を公表しました。今後も集中化された大都市圏での地震の発生が予測される中で、災害に強く、被害に遭遇した際の回復力に優れたシステムの構築が必須になってきています。
東京商工リサーチによると東日本大震災の関連倒産が、震災発生から6ヶ月を迎えた時点で330件(9月9日現在)に達したとしています＜＊3＞。

＜＊2＞米国投資アナリストが予測―ハイテク業界が混乱から回復するには6カ月かかる
＜＊3＞「東日本大震災」関連経営破綻

2. ITと事業継続

米国では、従前より事業継続管理(BCM)への取り組みが積極的に進められていました。特に9.11のテロや、大型ハリケーンによる甚大な被害の発生を契機として、事業継続計画(BCP)の策定が促進されているようです。流通業界を代表するウォルマートでは、数百のサプライヤーに対しBCPの策定を要請、フォーマットの提供と共同訓練を実施しています。また、金融機関はBCP策定が必須条件になっており、米国投資銀行のメリルリンチは既に取引企業にBCP策定を要求しています。自動車業界では、安定かつ継続的な製品納入が強く求められており、業界ガイドラインに沿ったBCM構築が進んでいます。
同時多発テロでは、金融系の大企業が多く被災しました。このうちBCPを用意していた企業ではいち早くサービスを再開させたこともあり、米国におけるBCM体制の構築の機運はさらに高まっています。

―バックアップセンタによる早期回復―

9.11テロで米Lehman Brothers社ではいち早く業務機能を復旧させ、6日後の株式市場再開までにトレーディング機能を復旧させたということです。当時、同社では「事前計画とネットワーク強化が功を奏した」と語っています。同社の財務部門はテロ攻撃のあった当日に、バックアップ用の復旧サイトへトレーディング機能を移行し、現金管理業務を行っています。その翌日には、確定金利商品を販売し、ニューヨーク証券取引所が再開したときには、オンラインでの株式売買を行っていました。同社は攻撃を受けたビルに5000台のデスクトップPCを設置、また、データ・センター機能なども置いていたということです。テロ攻撃でその全ては一瞬にして失われました。それにも関わらずいち早く業務を復旧できたのは、ニュージャージー州に完全なバックアップ・サイトを設け、周到に用意されたBCPがあったからです。ニューヨークで稼動する全てのアプリケーションは、ニュージャージー州のサイトでも同時に稼動しており、自動的に互いのサイトでバックアップを取り合うようになっていました。しかも広域リンクも全て冗長化されていたということです＜＊4＞。
被災した他の会社の中には、とにかくホームページを更新し、営業状況などを早期に掲載したことで会社の評価を上げたという例もあるそうです。

＜＊4＞9.11の米国同時多発テロで事業継続計画の威力を実証

―クラウドによる支援―

東日本大震災に際しては、多くのクラウドサービスプロバイダーから、安否確認、情報共有、行政情報発信等の用途に、無償のサービスが提供されました。IPAでは支援やIT機能の提供事例を収集・整理し、リスト化したものを以下のように整理しています。
【支援例(IPA調べ)】＜＊5＞

• 情報共有・流通基盤(P2P)：被災者・関係者間安否情報、物流向け道路情報
• 災者救援活動の情報インフラ：被災者・避難所の状況把握、救援物資の集積・配布システム
• 行政情報提供サイトの拡張：政府の情報サイトのミラー
• 被災企業等の緊急情報発信・業務処理：メールサーバーの代替、グループウェア・Web会議等の提供、被災状況画像の発信

また緊急支援に役立てられたクラウドサービスの事例リストもIPAから紹介されています＜＊6＞。

＜＊5＞震災時の緊急支援に役立てられたクラウドサービスの事例と、復旧･復興に向けたクラウドサービス安全利用に関する資料の公開
＜＊6＞2011年東日本大震災に際して提供されたクラウドサービスの事例

3. 行政の動き

(1) ITサービスの事業継続

経済産業省を中心として、情報技術(IT)に焦点を当てた事業継続の検討が進められ、平成20年には「事業継続計画(BCP)策定ガイドライン」のITにかかる部分について、企業をはじめとするユーザ組織を念頭に実施策等を具体化した「ITサービス継続ガイドライン」を策定し、公表されました＜＊7＞。
また、経済産業省の「情報システムの信頼性向上に関するガイドライン(以降、信頼性向上ガイドライン)」＜＊8＞との関係は、信頼性向上ガイドラインが、情報システム利用者及び情報システム供給者を対象として、未然防止と事後対策の双方の観点から取りまとめられたものであるのに対して、「ITサービス継続ガイドライン」は、事故が発生することを前提として、情報システム利用者における事後対策に重点を置き、より具体化したものとの位置づけであり、相互補完的なものとなります。
情報処理技術やネットワーク技術の発達と低コスト化が進む中、ITの広範な利活用は急速に進んでいます。このように、ITへの依存関係が急速に増大している現状においては、その潜在リスクや依存関係に起因する脆弱性をできる限り正確に認識することが重要で、先の２つのガイドラインの効果も期待されるところです。IT活用に伴うリスクに能動的な対応を行わなければ、ITに依存している個別組織の業務や、サプライチェーンの先にあるその組織が提供する商品・サービスの利用者、ひいては国内外の社会経済にまで、より大きな影響を及ぼす恐れがあります。

＜＊7＞ITサービス継続ガイドライン
＜＊8＞「情報システムの信頼性向上に関するガイドライン」

(2) クラウドの普及・促進

大震災の経験を介し、事業継続におけるITのリスクへの有効性が期待されるクラウドコンピューティングについては、従前、その普及・促進を図るための検討が経済産業省で進められていました。平成22年8月には「クラウドコンピューティングと日本の競争力に関する研究会」の報告書が取りまとめられています＜＊9＞。今後、経済産業省では、本報告書をもとに、クラウドコンピューティングの普及・促進を図るため、

• 　①市場の健全な発展を通じたクラウド基盤の整備・充実
• 　②データの外部保存・利活用を促す制度整備と社会的コンセンサス形成
• 　③クラウドを活用したビジネスの国際展開に繋がるイノベーション創出の後押し

の三位一体の政策を進めていくとしています。

＜＊9＞「クラウドコンピューティングと日本の競争力に関する研究会」報告書の公表