デジタル時代におけるIT管理の高度化の必要性～経営インフラとして重要性が高まるIT～

東南アジア地域の日系企業においても、新型コロナウイルス感染症の拡大以降、デジタルの導入が進み、オペレーションを支える経営インフラとしてITの重要性が高まっています。事業継続性の確保という観点においてITの安定運用態勢の確保は不可欠となっています。これまではITを適切に運用するという意味合いでは、システム障害の対応やIT部門の管理態勢の強化を中心に語られることが多かったのですが、昨今ではサイバーアタックが増加するなど外部の脅威から自社をどう守るのかという観点も考慮する必要が出てきています。

本稿では、事業継続性の確保に向けた取り組みとして、BCPの再整備およびITサービス継続計画の見直しのポイントについて解説します。

ITサービス継続計画の策定ステップ

システム障害などによるITサービス（ITにより提供される業務の遂行に必要な機能）の停止は、業務の中断につながり、顧客との取引に影響を与え、企業の信用を失墜させかねません。しかし、東南アジア地域の日系企業では、IT運用に十分なリソースを配分できていないケースもあります。障害発生時の対応においても、事前に指揮令系統が定められておらず、場当たり的な対応となるケースも散見されます。ITサービス停止の影響を最小化するためには、BCPの一環として、ITサービス継続計画の策定が必要となっています。

Step1: ITサービスの棚卸

すべてのシステムやネットワークを二重化して有事に備えるという対策は現実的でなく、ITサービス停止が事業継続に与える影響、求められるサービスのレベル、対応策の導入・運用に必要なコストを勘案する必要があります。そのためにまずは現在利用しているITサービス（システム名、ネットワークなどインフラに加えて、システム管理者・外部委託先など含む）を洗い出した上で、業務との紐づけの整理を行います。

Step2: 優先順位の決定

サービス停止時に発生する潜在的な損失の大きさ（業務への影響、顧客への影響）を把握・評価し、ITサービスの優先順位・維持すべきレベルを決定します。

Step3: リスクの特定・評価

ITサービス提供の阻害要因となるリスクを特定する必要があります。ここで特定するリスクは、ネットワークの不具合、ソフトウェアの不備、データの欠陥、IT人員の不足などの社内要因だけでなく、停電などの自然災害や外部委託先などの社外要因が挙げられます。リスクは頻度・発生の可能性やその影響度をもとに定量的に評価するとともに、代替手段の有無・確保や導入の難易度などを勘案することがポイントです。

Step4: 対応計画の検討・導入

対応計画は大きく (1)事前対応計画と(2)事後対応計画に分類できます。いずれの計画においても、ハード面だけでなく、ソフト面についても検討しておく必要があります。

たとえば、(1)事前対応計画にはデータのバックアップ、サーバールーム消火設備の設置の他、システム担当者教育計画やITサービスの継続性のための維持改善計画などが含まれますが、Step2で定めた危機発生時のITサービスの維持レベルを確保するための資源を確保しておく必要があります。危機発生時までは、この計画に従い、事前対策の導入・有効性のモニタリングなどを行っておくことになります。無論、自社の経営資源だけで対応が難しい場合には、社外リソースの活用の検討も必要ですが、業務継続性の重要性と対応コストの経済性との比較が必要となります。(2)事後対応計画は、危機発生後の影響を最小化するための対応体制、プロセスや手順を定めたものです。危機発生時には、想定外の事態が生じるため、危機発生時の意思決定プロセス（誰が、何を決めるのか）を明確化し、柔軟に対応できる体制にすることが必要です。(2)については、形式的に文書で手順を整備するのみならず、定期的に実際のリスクが発現した際の対応について関係者が集まり、演習用のシナリオに沿って手順の読み合わせやシミュレーションを行うような実効性のある訓練の検討も望まれます。

また、上記の対応に加えて、サイバーアタックといった外部の脅威への対応も不可欠です。東南アジア地域においても、各国の政府や関連機関の公表結果を見ると、サイバーアタックの脅威は高まっています。一方、これまでの日本企業における対応は、機密情報の持ち出しといった内部の脅威をどう防ぐのかという点に力点が置かれており、外部の脅威への対応は遅れています。サイバー空間におけるリスクは、物理的空間におけるリスクよりもよりスピーディーに、かつ、より広範囲に影響を与えることが特徴であり、海外子会社でのインシデントがグループ全体に大きなダメージを与える可能性を秘めています。サイバーアタックの脅威に対して、どのように組織を防御するのかというテーマは、インフラとしての重要性が高まる中においては、IT部門の課題というレベルを超えて、経営上の重要なアジェンダになっています。加えて、予防の観点だけでは、もはや十分とは言えず、万が一防御線を突破されたときにどう対応するのかという「有事対応(クライシスマネジメント)」の観点も取り入れ、全社的に取り組んでいく必要があります。

まとめ

海外拠点においては、「IT領域については専門外であるため、IT担当者に丸投げしている」という日本人駐在員も多いのが実態です。IT領域であったとしても、「リスクを顕在化させない、顕在化したときには早期に発見し、影響を最小化する」というリスクマネジメントの基本的な考え方は変わりません。業務オペレーションにおけるITの重要性・依存度が高くなればなるほど、万が一、何かあった際のITにかかわる対応策を予め検討しておく必要性が増していることは明らかです。事業環境が大きく変化する現在、組織のリスク対応能力を高めるための方策として、予想されるリスクの棚卸、影響度の把握、対応策の事前検討・導入・運用という「事業継続マネジメント」の基本的な考え方は有効であり、自社の事業継続性の再評価・見直しをお勧めします。

本稿に関連するデロイト トーマツのサービスのご紹介

• ITリスク：サービス・ナレッジ紹介
• サイバーセキュリティ：サービス・ナレッジ紹介