リモートワークの定着による経営インフラとしてのITの重要性の高まり

コロナ禍に発生したIT関連のトラブル事例

COVID-19の発生に伴うリモートワークの導入以降、ITに関連したトラブルの事例として、主に以下のようなケースが挙げられます。

(a) マルウェア感染を起因とするネットワークの停止・メールの送受信の停止による業務の停止

(b) ネットワーク負荷の高まりによる業務遅延、顧客へのサービス提供の停止

(c) 不正アクセスによる個人情報などの重要情報の漏洩、顧客からの信頼の失墜

(d) 不正アクセスによるシステム停止を起因とする生産活動の停止、出荷の遅れ

ITサービス継続計画の策定ステップ

前述のシステム障害などによるITサービス（ITにより提供される業務の遂行に必要な機能）の停止は、業務の中断につながり、顧客との取引に影響を与え、企業の信用を失墜させかねません。しかし、インドネシアや他の東南アジア地域の日系企業では、IT運用に十分なリソースを配分できていないケースもあります。障害発生時の対応においても、事前に指揮命令系統が定められておらず、場当たり的な対応となるケースも散見されます。ITサービス停止の影響を最小化するためには、BCPの一環として、ITサービス継続計画の策定が必要となっています。

Step1: ITサービスの棚卸

すべてのシステムやネットワークを二重化して有事に備えるという対策は現実的でなく、ITサービス停止が事業継続に与える影響、求められるサービスのレベル、対応策の導入・運用に必要なコストを勘案する必要があります。そのためにまずは現在利用しているITサービス（システム名、ネットワークなどインフラに加えて、システム管理者・外部委託先など含む）を洗い出した上で、業務との紐づけの整理を行います。

Step2: 優先順位の決定

サービス停止時に発生する潜在的な損失の大きさ（業務への影響、顧客への影響）を把握・評価し、ITサービスの優先順位・維持すべきレベルを決定します。

Step3: リスクの特定・評価

ITサービス提供の阻害要因となるリスクを特定する必要があります。ここで特定するリスクは、ネットワークの不具合、ソフトウェアの不備、データの欠陥、IT人員の不足などの社内要因だけでなく、停電などの自然災害や外部委託先などの社外要因が挙げられます。リスクは頻度・発生の可能性やその影響度をもとに定量的に評価するとともに、代替手段の有無・確保や導入の難易度などを勘案することがポイントです。

Step4: 対応計画の検討・導入

対応計画は大きく (1)事前対応計画と(2)事後対応計画に分類できます。いずれの計画においても、ハード面だけでなく、ソフト面についても検討しておく必要があります。

たとえば、(1)事前対応計画にはデータのバックアップ、サーバールーム消火設備の設置の他、システム担当者教育計画やITサービスの継続性のための維持改善計画などが含まれますが、Step2で定めた危機発生時のITサービスの維持レベルを確保するための資源を確保しておく必要があります。危機発生時までは、この計画に従い、事前対策の導入・有効性のモニタリングなどを行っておくことになります。無論、自社の経営資源だけで対応が難しい場合には、社外リソースの活用の検討も必要ですが、業務継続性の重要性と対応コストの経済性との比較が必要となります。(2)事後対応計画は、危機発生後の影響を最小化するための対応体制、プロセスや手順を定めたものです。危機発生時には、想定外の事態が生じるため、危機発生時の意思決定プロセス（誰が、何を決めるのか）を明確化し、柔軟に対応できる体制にすることが必要です。
 

まとめ

海外拠点においては、「IT領域については専門外であるため、IT担当者に丸投げしている」という日本人駐在員も多いのが実態です。IT領域であったとしても、「リスクを顕在化させない、顕在化したときには早期に発見し、影響を最小化する」というリスクマネジメントの基本的な考え方は変わりません。業務オペレーションにおけるITの重要性・依存度が高くなればなるほど、万が一、何かあった際のITにかかわる対応策を予め検討しておく必要性が増していることは明らかです。事業環境が大きく変化する現在、組織のリスク対応能力を高めるための方策として、予想されるリスクの棚卸、影響度の把握、対応策の事前検討・導入・運用という「事業継続マネジメント」の基本的な考え方は有効であり、自社の事業継続性の再評価・見直しをお勧めします。
 

本稿に関連するデロイト トーマツのサービスのご紹介

• 事業継続計画(BCP)見直し支援
• 事業継続マネジメント態勢(BCM)高度化支援
• 情報セキュリティリスク診断・成熟度評価