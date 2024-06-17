事業継続性とは、危機が発生した場合に重要なビジネス機能を維持し、混乱を最小限に抑え、通常の業務を再開する組織の能力を指します。このような危機には、サイバー攻撃、機器やサプライチェーンの障害、自然災害、停電、その他の予期せぬ出来事などが含まれます。
事業継続計画がない企業は、多くのインシデントに対して脆弱なままになります。2020年に新型コロナウイルスの感染拡大が発生したとき、世界の51％の企業は事業継続計画を用意していませんでした。1
こうした事業継続管理（BCM）の欠如は、大きなコスト高につながります。例えば、IBMのデータ侵害のコストに関する調査によると、2023年にデータ侵害でかかった平均コストは445万米ドルでした。 2このような多額の被害が出ると、企業は経営を立て直すのが困難になる場合があります。実際、こうした被害を受けた40％以上の企業は、事業を再開することはできないでしょう。3事業継続計画への投資は、脅威が発生する前から復旧戦略が策定されているため、長期的には節約につながります。
事業継続計画（BCP）は、災害が発生した場合に組織が通常の業務機能に戻るための手順について詳述したものです。BCPは、企業がさまざまな潜在的な脅威に直面できるように準備することを目的として、広範なアプローチを採用しています。
事業継続計画と災害復旧計画はどちらも緊急時対応計画ですが、危機管理へのアプローチはそれぞれ異なります。ビジネス継続性管理がより広範な準備に重点を置いているのに対し、災害復旧計画（DRP）は、インシデント発生時にデータとITシステムを保護することに特に重点を置いています。
BCPは、事業の中断前、中断中、中断直後にビジネス機能を維持するための積極的な事業継続戦略です。一方、DRPは、災害に効果的に対応し、災害から回復するための事後対応戦略です。
これら2つの計画は別々に扱われることが多いですが、事業継続性と災害復旧に対して部門横断的に協力し合うことにより、組織のレジリエンスをさらに強化できます。
計画外のインシデントが発生した場合、事業継続計画によって今後の対応策が示され、対応および復旧プロセスに構造が導入されます。
強力なBCPの作成に投資する企業が期待できるメリットをいくつか紹介します。
壊滅的なイベントは、混乱を招くダウンタイムにつながる可能性があります。混乱が生じた場合、チームはシステムを再び稼働させようと奮闘することになるでしょう。事業継続性プログラムは、危機管理計画と緊急管理手順を整備して短時間で事業を復旧させ、こうした混乱を最小限に抑えるのに役立ちます。
重要な事業機能が復旧すると、チームは通常業務の再開に集中できます。BCPでは、計画外のインシデントが発生した後に業務復旧するのにかかる時間である、復旧時間目標（RTO）を指定します。厳格なテストを経て合理的なRTOを設定したBCPを実行すると、迅速な事業再開が実現し、顧客、投資家、利害関係者の信頼が向上します。
ビジネスの混乱は大きな損失を招きかねません。企業のシステムが停止するたびに、収益の損失につながる可能性があります。BCMは復旧コストを大幅に削減できます。例えば、IBMのデータ漏洩コストレポートによると、組織は事業継続計画の一環として、セキュリティー向けのAIやオートメーションなどのサイバーセキュリティー・ソリューションに投資することで、平均176万ドルを節約する可能性があります。2しかも、BCPにより、その後に起こり得る評判の低下の影響を軽減することもできます。
特にヘルスケアや個人金融などの業界では、事業継続性が規制要件となる場合もあります。これらの分野で事業を展開する企業にとって、堅牢なBCPは不可欠であるだけではなく、コンプライアンス基準を満たすのに役立ちます。
事業継続計画に関しては、組織ごとに独自のニーズがあります。すべての企業に最適な単一のフレームワークはありませんが、効果的なBCPを作成するために企業が実行できる4ステップを以下で説明します。
ビジネス影響分析（BIA）は、リスク管理の重要な部分で、計画プロセスの第1ステップです。さまざまな部署を評価し、起こり得るリスク、脅威、脆弱性を判断するためのリスク評価を行います。BIAでは、これらのイベントの発生確率と事業運営への潜在的な影響を推定し、組織がそれに応じて優先順位を決定することも必要です。
特定された各イベントに対して、企業は適切な対応を設計する必要があります。対応には、脅威に対処するための明確なプロトコルと詳細なアクションを含めることが重要です。
イベントによって必要な対応レベルは異なります。たとえば、停電やサイバー攻撃によって停電が発生した場合、企業はまずミッションクリティカルなITインフラストラクチャーをオンラインにし、その後で他の重要なアプリケーションを稼働させる必要がある場合があります。
このステップでは、特に復旧ポイント目標（RPO）を設定するときに、テクノロジーの注意事項も考慮されます。組織のRPOとは、災害時に失われても回復可能なデータの量を指します。RPOに応じて、企業はデータのバックアップと復元ツールを検討する場合があります。これらのツールは、データ損失の修復、リモート・データセンターにオフサイトでデータを保存するバックアップおよび災害復旧ソリューション、災害復旧サービス（DRaaS）などのサード・パーティー・サービスに役立ちます。
このステップでは、ビジネス・リーダーと利害関係者が、計画を実行し、対応と復旧の取り組みを指導する主要なチーム・メンバーを指名します。効果的なBCPでは、各チーム・メンバーの責任が明確に定義され、役割を遂行するために必要なリソースの概要が示されます。また、これらのチーム・メンバーの連絡先情報や、障害により接続が切断された場合の代替通信手段も記載されます。
BCPの有効性を証明するために、組織は定期的にテストを行い、必要に応じて改善すべき箇所を改善する必要があります。潜在的な脅威について従業員を教育するにはトレーニングが不可欠ですが、現実的なシナリオを頻繁に試行することで、問題点や改善の機会を正確に特定するのに役立ちます。事業継続計画を定期的にテストし、改良することで、企業は実際の災害発生時に対する最大限の備えをすることができます。
