震災で改めて考えるIT-BCP
大震災で再認識するリスク
今回の震災で、BCPの計画実施の有無に関らず、事業やITにおける災害時に向けた「備え」の重要度を思い知らされることになりました。
この原稿を執筆中の現在(2011年5月)、BCPの有効性や、ITの事業継続に対する影響や、そのITに対する災害対策の有効性については、まだ総括ができていない状況のようです。ただし、近いうちに多くの調査機関やメディアが、これらの情報を調査、整理し、いったいこれまでの企業における災害対策はどうであって、それがどう有効に働き、もしくは何が原因で有効ではなかったのかが明らかになると思います。
このように、まだ震災後の全体像が明らかではない状態ですが、その評価は、今後公表される各メディアからの調査報告にゆずるとして、今回は、この震災を経てあらためて考えるべき、ご自身の職場でのIT環境に対する災害への備えや、見直しのポイントについて取り上げてみようと思います。
まず、今回の震災が想定できていたかについて、いかがでしょうか? どこを震源にして、どのくらいの震度、規模で起こるかといった詳細レベルはともかくとして、地震については、ある程度の認識は持っていたかもしれません。津波、原発事故・・といった危機が重なって大規模な、そして日本国レベルで見た場合には複合的な災害になりました。実際、今回の災害の引き金を引いたのは紛れもなく地震であったわけです。
言うまでもなく、日本は地震の多発国であり、気象庁の資料を援用すると、明らかです(図1)。マグニチュード6クラスの世界で発生する地震の20%が日本で発生しているとのことです。
地震による直接的な建物の倒壊等や、津波による被害は自然災害としてくくることができますが、地震・津波の影響による原発およびこの関連での停電といったように地震の発生場所、周辺の環境によって、災害の度合いや被害の内容が変わってしまうことにもなりました。
いずれにしても、事業やITを止めるリスクとして、地震国である日本に住む我々は常に地震を意識する必要があり、その引き金で発生する災害によって事業やITに及ぼされる影響を考えておく必要があるわけです。
図1:1990年から2000年までの世界の地震の震央分布(気象庁資料) |
ITのリスク管理と危機管理をあらためて考える
前回の連載において、(事業を支える)ITを止めてしまう要素について簡単に触れ、災害の前後における対応のアプローチとして、リスク管理と危機管理を取り上げました。今一度、その視点の違いを明らかにしてみようと思います。
例えば、システムの2重化や、耐震補強や耐震設備への移設といった箱モノでの対応など、多額の費用がかかる施策が考えられます。これはリスクを回避する、軽減するという点における行動であり、その多くは、経営的な観点で経済(コスト)的に大きくなる対応となります。
もう1つの視点を考えてみます。それは、「災害が起こってしまった時点以降」の視点です。先述した「箱モノ」(耐震設備への移転など)に代表されるような対応が「災害が起きる前の視点」であるのに対して、次の視点は、「システムが止まってしまった後の復旧」についての考え方になります。
今回の連載においては、ITが止まらないように手を打つ「リスク管理」の部分と、ITが止まってしまったことを前提にして、どのように復旧するか、そのための備えは何かという点を踏まえてお話を進めていきたいと思います。
この後、具体的に必要的に整理したいと思います。