万一の備え、事業継続計画策定のススメ（第3回） 企業防災をBCPの観点から考える

　震度7を2度観測し大きな被害をもたらした熊本地震や、相次ぐゲリラ豪雨による水害など、社会生活や企業活動を脅かす自然災害が後を絶たない。さらに首都直下型地震や南海トラフ地震など、近い将来の発生が懸念されている。現時点では大規模な自然災害を未然に防ぐ有効な手立ては難しいものの、地域社会や企業、家庭が一体となって災害への備えを徹底すれば、被害を減らすのは不可能ではない。

　企業防災は、建物の損壊や従業員の安全など災害の被害を最小化する防災の観点と、災害時にも企業活動を継続する事業継続の観点の2つを合わせて考える必要がある（内閣府 防災情報のページ）。ここでは事業継続計画（BCP）に絞って考えてみよう。

情報資産を守るデータバックアップ体制

　規模の大小にかかわらず、企業には社会的な責任が求められる。例えばサプライチェーンを構成する製造業の場合、部品などを供給する企業が災害で業務を停止することになればサプライチェーン全体に大きな影響を及ぼしかねない。

　先の熊本地震でも自動車部品工場が被災し、自動車メーカーの生産ラインの一部が操業停止を余儀なくされたことは記憶に新しい。こうした事態を回避するためにも、自然災害で被害を受けたとしても業務が停滞しない仕組みや、業務が中断しても可能な限り短期間で業務を再開できる仕組みが必要になる。

　それでは、BCP策定でどんな点に留意すればいいだろうか。内閣府防災担当が公表している｢平成27年度 企業の事業継続及び防災の取組に関する実態調査｣（平成28年3月）によれば、中堅企業の場合、リスクを特に回避したい経営資源として｢社員・従業員等人的資源｣｢情報（データ、重要文書）｣｢情報システム｣｢事務所・店舗｣｢通信手段（固定電話、携帯電話、インターネット等）｣が回答の上位を占める。経営資源として人、モノ、金、情報の重要性が指摘されて久しいが、災害から企業の情報資産をいかに守るかが経営課題となる実情が浮かび上がる。

情報資産への“守り”

　情報資産に関わるBCP対策として重要なのが、データバックアップ体制の整備だ。地震による建物の損壊や浸水などの被害で、オフィスのコンピューターに保存したデータを消失するといったニュースはよく耳にする。取引情報や顧客情報、技術情報などの重要データが消失した場合、早期の事業再開は困難になる。それだけでなく、顧客や取引先にも影響を与える。もちろん自然災害に限ったことではない。システム障害やコンピューターの誤操作、不正アクセスなどが重要データ消失の原因となる場合もある。

　こうしたリスクを回避するデータバックアップの方法の1つにNASがある。本社などに設置したストレージ専用機にネットワークを介して各拠点のデータを自動的にバックアップすることで、万一のデータ消失時にも復旧が可能だ。また、クラウド上のストレージにデータを分散保管するバックアップサービスもあり、災害対策として有効だ。

　データのバックアップとともに、事業継続の観点からも欠かせないのがセキュリティー対策の強化だ。災害時の混乱に乗じてサイバー攻撃が仕掛けられ、不正アクセスや情報漏えいの被害に遭う恐れもある。東日本大震災のときには、放射線量に関する情報提供を装ったスパムメール攻撃が発生した。

　近年、多発しているのは標的型攻撃メールだ。企業の関心が高い防災情報などをかたった悪意のあるメールが送りつけられ、うっかり開いて攻撃を仕掛けられるリスクもないとはいえない。また、災害時には従業員が自宅待機になったり、安否確認のために社外からインターネット経由で本社と情報を交換したりする機会も増える。社内と社外の通信時のセキュリティーを強化しておかなくてはならない。

　インターネットと社内ネットワークの出入り口で脅威を防ぐセキュリティー対策にはUTM（統合脅威管理）がある。ウイルス対策やスパムメール対策、ファイアウォールなど複数のセキュリティー機能を1台の機器に統合し、集中的な対策が行える。遠隔でUTMの設定変更など運用監視をサポートするサービスも提供されており、専任のIT担当者を配置しにくい中小規模の企業に適するといわれている。

　セキュリティー対策は通常時の安全・安心な情報活用の基本となる。防災やBCPの策定・見直しを契機に災害やサイバー攻撃から情報を守り、いかに自社の事業を継続、発展させていくか考えてみてはどうだろうか。