【解説】
ビジネス・コンティニュイティでIT/IS部門が果たす役割

目指すは、ディザスタ・リカバリと事業継続マネジメントの“統合”

（2008年10月14日）

近年、情報システムにおけるディザスタ・リカバリ（DR）技術の進歩は目覚しく、製品やサービスの充実ぶりには目をみはるものがある。しかし、数あるDR製品／サービスの中から、自社にとってふさわしいものをどのように選べばよいのか。また、導入済みのDRの有効性をどのようにして検証すればよいのか。本稿では、こうした疑問に対する解の1つとして、事業継続マネジメント（BCM）への取り組みを通じて、事業継続戦略とのマッチングからDRの有効性を検討していくというアプローチを紹介する。後半では、すでに情報セキュリティ・マネジメントやITサービス・マネジメントに着手している企業において、BCMを合理的に進めていくうえでのポイントを挙げていく。

田代邦幸
インターリスク総研コンサルティング第二部 BCMチーム主任研究員

あなたの会社のトップ・マネジメントは、DRを理解、納得しているか

　読者の中には、正にこれからディザスタ・リカバリ（DR：Disaster Recovery）製品の導入を検討される方やすでに導入を終えた方など、さまざまな方々がおられることと思う。そうしたDR製品／サービスが導入される（されている）ことに関して、自社のトップ・マネジメントは十分に理解、納得しているだろうか。一度、この点を見つめ直していただきたい。

　トップ・マネジメントとは言うまでもなく、社長をはじめとする企業の経営層のことである。CIO（最高情報責任者）が置かれている企業であれば、CIO以外の経営層の皆さんも、DRについて理解されているかどうかを考えていただきたい。おそらく、「うちのトップ・マネジメントがITをよく知らない」「ITについてはわれわれIT/IS部門にまかせっきりで関心がない」などと嘆く方も少なくないであろう。しかし、DRの導入が多額のコストを要し、またシステム障害の発生時にDRが有効に機能するかどうかが、企業経営に大きな影響を与えるのであれば、トップ・マネジメントとしてもこの問題を軽視することはないはずである。

　では、どうすればトップ・マネジメントが自社のDRについて理解し、その投資を決断できるようになるのだろうか。そのためには、DRを導入した結果（もしくは導入しなかった結果）が、最終的に自社の経営にどのような影響を及ぼすのかが明確にされることが必要だ。その際、少なくともトップ・マネジメント主導の事業継続戦略と、IT/IS部門主導のDRとがきちんとマッチしていなければならない。

　事業継続戦略においては、大規模な事故や災害などが発生したときに、自社のビジネスをどのようなやり方で継続または復旧・再開させるかが定められることになる。事業中断を招くような事故や災害が発生した場合、どのような方法で、どの事業から、どの程度の期間のうちに復旧・再開させるのか（もしくは中断させずに継続させるのか）ということを、企業がそれぞれの事業内容や事業環境、取引先との関係、企業理念や価値観などに基づいて独自に考える必要がある。そして、対象システムに導入されたDR、およびその運用管理を行うIT/IS部門は、自社の事業継続戦略を支える重要な役割を担うことになる。

　したがって、トップ・マネジメントに対する説明では、まず、「自社が描く事業継続戦略を具現化する」という観点から、どのようなDRを、どのシステムにどれくらいのコストをかけて導入すべきかをわかりやすく伝える必要がある。その際には、技術的な問題にあまり深入りすることなく、災害が発生した後の結果と、そこに至るストーリーを明確に示すことが重要である。

　ただし、IT/IS部門がトップ・マネジメントとの間で上のようなコミュニケーションを図るにあたっては、当然のことながら、そもそも自社の事業継続戦略が定まっていなくてはならない。そこで次節からは、事業継続マネジメント（BCM：Business Continuity Management）の進め方を説明しながら、事業継続戦略の検討・策定プロセスと、これに対するIT/IS部門の関与について述べていきたい。

｜1｜2｜3｜4｜5｜6｜7｜8｜ > 次のページへ