2011年といえば「東日本大震災」は、日本人の心に深い傷を残した被害として、歴史に刻まれるだろう。そして多くの企業が震災に際して、被害からどのように立ち直り、事業を継続していくかという方法・仕組みについて改めて考えさせられた。
「2012年は、サイバーアタックに対するBCPはどうするのか、というところが注目されるでしょう」と語るのは、「リスク対策.com」の編集長、中澤幸介氏だ。「BCPと明らかに違うのは、アタックを受けた後に継続する体制を整えるのが難しいのではないかというところです。特定のURLが攻撃を受けた時の代替策を最初から取るわけにもいきませんから、このあたりの議論がなされるのではないでしょうか」と語る。
自社のWEBサイトが攻撃を受けてマルウェアに感染してしまった場合、「代替サイトはここになります」というアナウンスも難しい。BCPでは、基本的に「代替策を立てておく」というのが基本ですが、サイバーアタックには有効ではない。これはBCPの議論にはまだ入ってきていない。
 |
| BCPでのIT利用では、電力問題がトップとなった。HH News & Reports特集「東日本大震災とIT」より (クリックすると拡大します) |
もう1つは電力不足による停電対策だ。「首都圏が完全にブラックアウトの状態になると、完全復旧するのに1ヶ月近くかかると言われています」と中澤氏は話す。
金融業で対策がなされている代替発電も72時間程度のものだという。「東日本大震災で明らかになったのは、発電に必要な重油の優先契約もひとたび災害が起これば病院などに回されて行く、ということです。こうした課題を金融機関だけで解決することはできません。個別の企業で対策を立てるのは非常に難しいですね」(中澤氏)。
こういった不安を解消するべく、欧米の金融機関では「ストリートワイド訓練」というものを定期的に行っている。「金融機関と関係する様々な企業を集めて、『1週間停電があった場合を想定する』などの訓練です。現金輸送車ですとか、発電機の重油供給など、サプライチェーンを巻き込んでやっています」(中澤氏)。
英国では2003年から、テロを想定したストリートワイド訓練を行っている。2006年は「新型インフルエンザの感染拡大」を想定して金融当局が音頭を取り、金融機関や取引所、警察、通信業者、鉄道、電気ガスなどの企業や組織が参加した大規模なものとなっている。
 |
| 大規模な海外のストリートワイド訓練(出典:日本銀行) |
米国でも、民間金融団体が主催し、証券会社・ベンダーを交えたストリートワイド訓練が行われている。企業をまたいでの訓練であるため、半年程度の準備期間を設けて綿密にシナリオを立てた上で実施している。
訓練シナリオを立てる際「金融機関が他の企業にどれくらい依存しているか」などが明確になるメリットもある。また、どのような災害を想定するのが現実的なのか、というのもサプライチェーン間で共有される。「特定の中小企業に複数の大企業が業務を依頼していた」ということなども判明するため、具体的なリスク分散をすることも可能だ。
東日本大震災では、データのバックアップとして海外にデータセンターの拠点を求める企業もあるが、逆に政治情勢などの地政学的リスクが増える恐れもある。「保護すべき情報資産の特定」「情報を守るレベル」、これらを決めてから使う技術など、具体的な選択をすることが求められる。
日本国内においても、最低限、中枢を担う大企業間だけでも、ストリートワイド訓練を行う必要があるだろう。こうした連携の仕組みができていけば自然と自治体でも、地域全体が停電になっている中で優先的に重油を回すべき場所・企業が判別可能となる。
行政機関の事業継続という点では、どこに誰が住んでいるかを把握する必要がある。これが分からないと、災害が発生して広い地域で家屋が倒壊した際に、自力での脱出が難しい高齢者や体の不自由な人を助け出すことができないからだ。一方で「どこに誰が住んでいる」という個人情報のため、扱いが難しい。緊急時には機密性を下げ、時間の経過に従い、情報を悪用できないように機密度を戻すような細かい仕組みづくりが必要となってくるだろう。
今回、気になるIT3分野の2012年の動きを予想した。2012年は2011年と同じく、強い変化が予想されるため、動向には常にアンテナを張り続けたい。
この特集のキーワード
