地震や火災などの自然災害、またサイバー攻撃。これらは、いつ起こるか分かりません。緊急時でも事業を早期に復旧し継続するため、多くの企業では「BCP対策」の重要性が叫ばれています。
BCP対策ではクラウド環境の利用が有効とされており、もはや必須と言っても過言ではありません。この記事では、BCP対策の基礎知識と、BCP対策でクラウドが選ばれる理由をご紹介します。
 |
目次 |
BCP対策とは
BCP対策とは「Business Continuity Plan」の略で、事業継続計画のことです。具体的には、災害やテロなどの緊急事態が起こった際に、早期に事業を立て直し継続できるよう、事前に計画を立てておくことを言います。
帝国データバンクが2022年3月に発表した「東日本大震災関連倒産動向調査(2022年)」によると、東日本大震災に関連して倒産した企業は累計2,085件。また、継続している企業の中でも、売上が震災前の水準に戻っているところは65%で、事業を継続できても約4割の企業は厳しい状況が続いていることが分かります。加えて国土交通省の「国土交通白書」では、M8~M9の地震が30年以内に70%~80%で起こるとされている「南海トラフ地震」への警告も出されています(2020年1月24日時点)。
こうした緊急事態への対応として、企業では早急なBCP対策が必要です。しかし帝国データバンクが2022年6月に公表した「事業継続計画(BCP)に対する企業の意識調査(2022年)」では、BCP対策を策定している企業は17.7%と、8割以上の企業がBCP対策を行っていません。これは、策定に必要なスキル・ノウハウがない、また策定のための人材確保ができないことが原因のようです。
なお、BCP対策と似た言葉に「BCM」があります。BCMは「Business Continuity Management」の略で、事業を継続するために普段行うべきことを意味します。つまり、緊急時にBCP対策を実行するため、平常時から実施する訓練や教育、管理です。BCP対策を有効に活かすためにはBCMも重要です。
【関連記事】改めて考える「災害対策(DR)の必要性」クラウドを活用した災害対策とは?
BCP対策の手順
緊急事態は、基本的に予測できません。いつ起こるか分からない事態に備えるためにも、BCP対策は急務です。ここからは、BCP対策を策定するための手順をご紹介します。
①基本方針の決定
まずは、BCP対策の基本方針を決めましょう。BCP対策を策定する目的、策定までのスケジュール、担当者、教育や周知の方法などの方針を、主に経営陣で話し合って決めます。
方向性を明確に定めておくことで優先順位が決まり、策定がスムーズに進みます。
②BCP策定の社内体制を整える
基本方針が決まったら、BCP策定の社内体制を整えます。BCP対策では、策定のためのプロジェクトチームを作り、BCP対策を推進するのが理想です。緊急時には各部署でそれぞれ違う問題が発生するため、複数の部署から人材を集めてチームを結成するのが良いでしょう。
同時に中小企業では、他企業や地域と連携することも事業の早期回復、継続に必要となります。BCP策定の社内体制はもちろんですが、社外とも素早い連携がとれるよう、普段から関係性を深めておくことが重要です。
③自社の事業を分析し、中核事業を決める
チーム結成後に最初に行うことは、自社事業を分析して中核事業を決定することです。緊急時には、ほとんどの経済活動や機能が停滞します。限定された人材や設備では、すべての事業を同時に回復させることは不可能です。そのため、複数の事業を行っている企業では、中核となる事業を決め、それを最優先で回復させることに注力しなければなりません。
中核事業は、以下のような観点で判断しましょう。
- 自社にとって利益が大きい事業
- 損害を受けた場合に自社の評価や市場シェア、顧客からの信頼を大きく落とす事業
- 法的・財務的にダメージの大きい事業
いずれも、売上や利益といった数字をもって判断し、客観的に選定することが重要です。
④中核事業復旧のための分析をする
中核事業が決まったら、中核事業を復旧させるための分析を行います。具体的には、以下の項目を分析しましょう。
- 中核事業を復旧・継続させるために必要な資源(人・物・金)
- 中核事業に損害を与えるリスク(自然災害、パンデミック、サイバー攻撃、事故など)
- リスクによって起こる課題(火災によって書類が失われ、これまでの取引が分からなくなる、サイバー攻撃によって顧客の情報が盗まれ信頼を失うなど)
上記を分析し洗い出したら、復旧までの目標時間と復旧のレベルを設定します。目標時間と目標レベルの設定には、顧客の意向が大切です。いつまでに、どの程度の復旧を求められているのかを平常時から確認しておきましょう。
⑤BCPを策定する
中核事業を深く分析したら、いよいよBCPの策定に入ります。分析結果を元に、緊急時の具体的な対策を固めていきましょう。
BCP策定の際に考えておきたいのは「代替案」「発動条件」「BCP発動時の社内体制」です。
■代替案
緊急時には、人材や設備、資金といったあらゆるものが不足します。不足している状態でも目標とした復旧時間に間に合うよう、事前に不足を補うための代替案を定めておきます。
例えば、人が不足した場合は、グループ会社やOB・OG、同業他社などに協力を仰ぎ人材を確保する、設備が不足した場合には、同社の別拠点を利用する、アウトソーシングで他社に依頼するなどの方法もあります。
事前に依頼や調整が必要なものに関しては、策定の段階で契約や協定を結ぶなどして対応しましょう。
■発動条件
BCP策定時には、BCPの発動条件を明確にしておきましょう。発動条件をはっきりさせておくことによって、社員が緊急時にすぐに動けるようになります。
例えば「震度6の地震が発生したらBCP発動」と事前に周知しておけば、社員は地震が震度6であると知ってすぐ、定められた行動をとることができます。逆に発動条件を社員が知らない状態では、たとえBCPを策定していても緊急時の行動をとるべきなのか、裁量を仰がなければなりません。初動が遅れることによって、被害が拡大したり、早期回復が難しくなったりするため、発動条件を明確にすることは非常に大切です。
■BCP発動時の社内体制
BCP策定時には、BCPを発動した際の社内体制を定めておくことも重要です。緊急時に誰が何をするのか明確になっていないと、復旧が遅れる可能性が高くなります。
事前に社員を以下の4チームに分けておきましょう。
- 設備やデータの復旧など内部の課題を解決する「内部チーム」
- 顧客への連絡や調整を行う「外部チーム」
- 復旧のための資金調達を行う「財務チーム」
- 社員の安全管理や必要物資の確保などを行う「後方支援チーム」
⑥社内で共有
BCPを策定したら、マニュアル化して社内で共有します。先述したように、BCP対策は策定しただけでは意味がありません。緊急時に問題なく利用できるよう、BCMを行うことも重要です。
マニュアルは常に見直して、社会情勢や経済状況によって随時変更。訓練や講習会なども行って、社員一人ひとりが緊急時に何をすべきなのか、自覚できるような活動を行いましょう。
BCP対策にはクラウドの利用が最適
BCP対策で特に重要なのが「情報の保護や共有」です。先述した帝国データバンクの調査でも「事業の継続が困難になると想定しているリスク」として「情報セキュリティ上のリスク」が39.6%と、想定リスクの3位に挙がっています。
緊急時でも情報を守り、共有するにはクラウドの利用が適しています。ここからはBCP対策にクラウドを活用するメリットとデメリットをご紹介します。
クラウドを活用するメリット
■重要データも遠隔管理で安全性を確保できる
クラウドを利用すれば、緊急時でも重要なデータを守れます。クラウドのデータを預かるデータセンターはBCPの意識が高く、災害リスクの低い場所を選んで設置されています。また企業によっては大規模災害を想定し、地理的に離れた複数箇所にデータセンターを設置していることもあります。万一自社が被災したとしても、データセンターが無事であればデータを失うことはありません。
■バックアップデータを自動取得できる
クラウドには、バックアップデータを自動で取得するサービスがあります。
先述したように、クラウドを提供している企業は複数のデータセンターを持ち、定期的にバックアップをとって別々の場所に保管しています。万一、東日本にあるデータセンターが大きく被災したとしても、被害のなかった西日本のデータセンターにバックアップが保存してあれば、バックアップデータを取得して早期に事業の復旧が可能です。
ただし、データセンターの数や置かれている地域は、企業によって異なります。バックアップや分散管理も、すべての企業が行っているわけではありません。必ず事前に確認してから利用を決めましょう。
■テレワーク実施の助けになる
クラウドは、テレワークにも活用できます。オンプレミスの場合、自社が被災してパソコンやシステムなどの自社設備が利用できなくなれば、事業継続は不可能です。加えて、災害時には公共交通機関が麻痺し、社員が出社できない状況も考えられます。
一方、クラウドはインターネット環境さえあれば、どこからでもアクセスできます。仮に自社が被災したり社員が出社できない状況になったりしても、自宅や別の場所からアクセスして復旧作業を進めることが可能です。
■低コストで導入できる
クラウドは、低コストで導入できることもメリットです。自社でデータの管理を行う場合には、災害リスクを検討してデータセンターを設置し、地震や火災への対処、セキュリティ対策を行うなど、膨大な時間とお金がかかります。設置に加えて維持費用もかかるため、特に資金調達力の弱い企業にとって、自社で徹底したデータ管理を行うのは現実的ではありません。
一方、クラウドサービスは定期的に料金を支払うだけで利用できます。加えて、常に最新のセキュリティ対策を行ってくれるため、自社でセキュリティを更新する必要もありません。
ただし、自社のネットワーク環境や人為的ミスなどは、クラウドサービスを提供している側ではカバーできません。低コストで利用できるメリットを最大限に活かすためには、自社の環境や社員教育など、自社で管理すべき部分にしっかり対応する必要があります。
クラウドを活用するデメリット
■インターネット接続に障害が発生すると使用できない
クラウドはインターネット環境さえあれば、場所を問わずにアクセスできます。しかし、災害などによってインターネット環境に障害が発生すると、アクセスができません。
BCP対策でクラウドを利用する際には、インターネット環境に障害が生じた場合の行動も考えておく必要があります。また、万一に備えて、バックアップは複数の場所に保管しておきましょう。
■容量が多くなるほどコストがかかる
クラウドは一般的に、容量が多くなるほどコストがかかります。データの安全性を高めるには、2つ以上のバックアップをとって、それぞれ別の場所に保管するのが良いとされていますが、多くのバックアップがあるほど利用料金は高くなります。
すべてのデータをクラウドに預けるのではなく、早期復旧に必要となる重要なデータを選んで保管する、重複するデータは削除するなどの対策が必要です。
クラウドを利用したBCP対策には補助金も活用できる
BCP対策でクラウドを利用する場合、活用できる補助金もあります。例えば、東京都中小企業振興公社では、BCPを策定した中小企業者向けに助成金を提供しています。助成額の上限は1,500万円で、うち450万円まではクラウドサービスによるデータのバックアップなど、クラウド化への利用が可能です。
▼東京都中小企業振興公社「令和4年BCP実践促進助成金 申請案内」
https://www.tokyo-kosha.or.jp/support/josei/setsubijosei/bcp.html
このほかにも「IT導入補助金」など、クラウドサービス導入のための支援もあります。自治体や商工会議所などに相談すると、自社に合った補助金を紹介してもらえるでしょう。
クラウド利用によるBCP対策事例
ここからはクラウド利用によるBCP対策事例をご紹介します。
「Microsoft Azure」を導入した大学
ある大学では、2021年10月に「Microsoft Azure」を導入。もともとハードウェアのリプレース時期だったこともあり、BCP対策の観点から研究支援や財務システムをクラウド化することにしました。
2022年7月現在まで問題なく稼働しており、今後もクラウド化を進めてオンプレミスは最小にしていく予定と報じられています。
自治体のデジタルファースト
ある自治体では、災害に強い職場環境作りのため、デジタル化を推進しています。以前豪雨によって庁舎が被災し、業務が滞った経験から、災害に強いクラウド型コンテンツ管理基盤を導入。災害の影響を受けない文書の保管が可能になった上、業務の効率もアップしました。
具体的な事例もご紹介「クラウド相談会」
ここまでBCP対策におけるクラウドの有用性をご紹介しましたが、実際の導入方法や導入すべきツールに悩む方も多いと思います。
JBCCの「クラウド相談会」では、BCP対策に適したクラウド移行の相談が可能です。基本的にはコスト削減を重視しておりますが、お客様の目的を伺い、それぞれに適したクラウド移行の計画を立てていきます。
すでに600社以上の実績を持ち、9割以上のお客様にご満足いただいている無償の相談会です。
クラウド(IaaS)相談会
 |
オンプレからクラウド移行の方・すでにクラウド利用の方に「コスト30%削減を実現」Azure/AWS/Google Cloudからお客様に最適なクラウドサービスをご提案、相談会では具体的な事例もご紹介します! |
まとめ
ビジネスで情報が重視される現代、データの保守・管理はBCP対策において非常に優先度の高い項目です。クラウドを利用することで、緊急時でもデータを守り、事業の早期復旧と継続を目指しましょう。
BCP対策におけるクラウド利用について、不安な点がございましたら、JBCCにお気軽にご相談ください。
 |
JBCC株式会社JBCC株式会社は、企業のデジタル・トランスフォーメーション(DX)を支援する総合ITサービス企業です。クラウドサービスを中心にシステムの設計から構築、運用までを一貫して手掛けており、クラウド 2,150社、超高速開発による基幹システム構築 440社、セキュリティ 1,100社の実績があります。 |
