Comments
Description
Transcript
想定外では済まされない! 事業継続とIT災害対策
想定外では済まされない! 事業継続とIT災害対策 日本ビジネスコンピューター株式会社 SI事業部 コンサルティング部 木村 義昭 Copyright (C) 2011 JBCC Holdings Inc. アジェンダ 「想定外では済まされない!事業継続とIT災害対策」 東日本大震災を振り返って 震災からの教訓 今、求められる事業継続(Business Continuity) 事業継続の必要性が高まっている理由や背景 事業継続を考える視点 事業継続計画(BCP)を機能させるために IT災害対策(ITサービス継続) IT災害対策(ITサービス継続) ITサービス継続を実現するIT基盤 ITサービス継続を実現するマネジメントサービス ITサービス継続を機能させるために JBグループのとりくみ Copyright (C) 2011 JBCC Holdings Inc. 「想定外では済まされない!事業継続とIT災害対策」 東日本大震災を振り返って Copyright (C) 2011 JBCC Holdings Inc. 震災からの教訓 想定していた災害対策と東日本大震災で求められた対策 従来の災害対策 災害の種類 東日本大震災における対策 直下型地震 広域型地震、津波 主な影響範囲 震源から30キロ圏内 東北地方、関東地方 主な影響地域 地震の揺れ、特定地域の停電、 通信障害 地震の揺れ、特定地域の停電、 通信障害、放射能不安、 交通不安、燃料・資材不足 影響期間 1ヵ月から2ヵ月程度 半年以上 ・データセンターの冗長化 ・リモートアクセス用システムの構築 ・バックアップ用オフィスで使うシステムの整備 ・データセンターの冗長化 ・リモートアクセス用システムの構築 ・バックアップ用オフィスで使うシステムの整備 ・日常的な停電への対応 ・省電力化 ・防災用具を整備し訓練を実施 ・緊急マニュアルや連絡体制の整備 ・計画停電時の業務プロセスの整理 ・勤務形態やセキュリティポリシーの見直し システム関連の 主な対策 システム関連 以外の対策 Copyright (C) 2011 JBCC Holdings Inc. 出典:日経コンピュータ 2011/04/14号 「緊急特集 東日本大震災」 震災からの教訓 震災を受けてわかる 事業継続計画の見直し 長期的な影響 • 生産ラインの操業再開/安定稼働が困難に (東北、関東地方) ‒ 緻密な制御が必要な半導体製造 ラインが再び動き始めても、微調整を終えて本格生産に移るまで1週間 • サプライチェーンへの対策 (全国) ‒ 部品調達の難航による減産(自動車、電機、半導体) 想定外の計画停電 • ワークスタイルの見直し(時差出勤、在宅勤務) • 自家発電用燃料の確保 • データセンターへシステム移設、UPS増設 想定外では済まされない、 事業継続計画(BCP)の見直しを! Copyright (C) 2011 JBCC Holdings Inc. 「想定外では済まされない!事業継続とIT災害対策」 今、求められる事業継続 (Business Continuity) Copyright (C) 2011 JBCC Holdings Inc. 事業継続の必要性が高まっている理由や背景 事業継続は企業経営戦略の不可欠要素 出典:BCAO標準テキストからの定義 Copyright (C) 2011 JBCC Holdings Inc. 事業継続の必要性が高まっている理由や背景 サプライチェーン把握の現状 製造業 ○1週間以内に自社のサプライチェーンへの影響(調達先の被災状況、部材調達の可否 等)を把握した企業の割合は、素材業種で6割強、加工業種では4割。 自社のサプライチェーンへの影響確認にかかった日数 調査期間:平成23年4月8日∼4月15日 ※品目により異なるとして複数回答した企業あり 一週間以内 Copyright (C) 2011 JBCC Holdings Inc. 二週間以内 三週間以内から 四週間 現時点で確認 できていない 出典:経済産業省「東日本大震災後の産業実態緊急調査」 (4月23日発表) 事業継続の必要性が高まっている理由や背景 原材料、部品・部材の調達困難の背景 製造業 ○原材料、部品・部材の調達が滞っている原因は、 −「調達先が被災」や「調達先の調達先が被災」が主因。 (調達先が被災:素材業種の企業の9割、加工業種の企業の8割) (調達先の調達先が被災:加工業種の企業の9割) −計画停電の影響も小さくない。 (加工業種の企業の5割) 原材料、部品・部材の調達が困難な理由 (複数回答) 調達先企業が 被災 Copyright (C) 2011 JBCC Holdings Inc. 調達先企業の 調達先が被災 調達網の 不全 計画停電の 影響 その他 出典:経済産業省「東日本大震災後の産業実態緊急調査」 (4月23日発表) 事業継続の必要性が高まっている理由や背景 サプライチェーンを構成する企業間で事業継続計画の構築へ 自社 一次調達先 調達先 調達先 二次調達先 調達先 三次調達先 Copyright (C) 2011 JBCC Holdings Inc. 調達先 調達先 調達先 調達先 一次調達先、二次調達先を複数 社にし、リスクを軽減が出来ている と思っていても、その先の調達先 が一社に絞り込まれていることも あります。サプライチェーンの構図 は決してピラミッド型になっている とは限りません。 事業継続を考える視点 事業継続計画(BCP)を作っただけで満足していませんか? BCPはドキュメントを作成してあればよい というものではありません。 作成してから見直していますか? 防災計画になっていませんか? リスク発生場所、起こりえる事象を特定した上で、 その限られた中での対応しか考えていないということはありませんか? 現在BCPを策定済みの企業も見直しを行うことをお勧めします。 いざというとき、きちんと役立つBCPの策定を! Copyright (C) 2011 JBCC Holdings Inc. 事業継続を考える視点 事業継続(BC)実現のための経営資源 事業継続を考える上での4つの視点 生命の安全確保 二次災害の防止 事業の継続 地域貢献・ 地域との共生 重要業務を支える経営資源 システム ワーク スペース 人 (要員) 重要業務 Copyright (C) 2011 JBCC Holdings Inc. もの 事業継続計画(BCP)を機能させるために 事業継続計画(BCP)を成功に導くポイント 経営者自らが率先して取り組む! ポイント 1 2 3 る え 考 て し そのためにはあきらめなければならないものは何か と 略 戦 投資額 経営 何が出来ないといけないか 自社内だけでなくサプライチェーンで考える ポイント 1 自社のサプライチェーンを構成する企業を知る 実効性を確保する訓練の実施 ポイント 1 相互依存関係にある会社間での共同訓練(ストリートワイド訓練) Copyright (C) 2011 JBCC Holdings Inc. 事業継続計画(BCP)を機能させるために 事業継続計画(BCP)を見直すポイント ポイント サプライチェーン と 想定外 サプライチェーンのなかの自社 で考える 1 代替製品は?他社からの調達は? 2 同業他社との災害時の共助の取り決め 3 被災した調達先の業務復旧支援活動体制 4 緊急の対策を行うための速やかな情報の収集と分析 ポイント 想定外はあってはならないように 1 発生確率が低いが、影響度の非常に大きいリスクへの対応 2 リスクが発生した後の対策のプロセス管理の検討 Copyright (C) 2011 JBCC Holdings Inc. 事業継続計画(BCP)を機能させるために 柔軟なサプライチェーンへの対応 事業継続を考える上で、サプライチェーンにおける調達、生産、物流、 販売の情報共有や一元管理が今まで以上に求められる。 【例えば】 ・ 調達先の変更、サプライチェーンで利用する商品コードの統一 ・ ビジネスプロセスの変更に対応可能 ・ 変更等に柔軟かつ短いサイクルでの対応 ・ 業務の変更に対する柔軟性の確保 変化に柔軟に対応可能なITシステムの必要性 ビジネスプロセスを定義し、システムに落とし込んでいくビジネスプロセス管理(BPM)の強化 それを推進する上で業務の実施状況やパフォーマンスを監視するBAM(ビジネスアクティビ ティモニタリング) 業務を1つのサービスとしてとらえた、SOA化等の推進 標準的なERP・PKGの利用 Copyright (C) 2011 JBCC Holdings Inc. 「想定外では済まされない!事業継続とIT災害対策」 IT災害対策(ITサービス継続) Copyright (C) 2011 JBCC Holdings Inc. IT災害対策(ITサービス継続) 全社 事業継続とITサービス継続 事業継続 ITサービス 継続 ITガバナンス IT戦略 ITサービス継続、事業継続、IT戦略との関係※ ITサービス継続は、事業継続の一環であり IT戦略の一環でもあります。 Copyright (C) 2011 JBCC Holdings Inc. ※出典:「IT サービス継続ガイドライン」 平成20年9月 経済産業省 IT災害対策(ITサービス継続) 業務とITサービスの関連 業務のIT サービスへの依存度は非常に高くなっており、 ITサービスは必要不可欠な存在となっています。 情報共有 顧客情報 ITサービス データ 受発注システム 物流システム メールシステム ワークフロー 受発注 情報 在庫 情報 Copyright (C) 2011 JBCC Holdings Inc. 出荷 入金 取引先 金融機関 発注 仕入 仕入先 IT災害対策(ITサービス継続) 災害対応に関する考慮点 社会インフラの混乱を伴う大規模災害 地震、火山、隕石、伝染病 地震、火山、隕石、伝染病 等 等 通信手段関係 通信手段の併用、通信回線の多重化 など ファシリティ関係 バックアップサイト/遠隔地センターとの連携、ワーク・エリアの確保 物流関係 業務に通常必要な物資および生活用品や食糧など 電源装置、燃料関係 広域停電、インフラ関係の復旧の遅延 技術対策 運用対策 要員の確保、交通手段の確保 優先すべきは人命の確保 外部関係機関との連携・連絡 地方自治体や警察・消防への連絡や監督当局への報告、取引先への業務復旧状況、 業務復帰見込み連絡 リスクコミュニケーション 業務復旧の途中経過や復旧見込みの開示 Copyright (C) 2011 JBCC Holdings Inc. ITサービス継続を実現するIT基盤 システム障害対策 広域災害を想定した冗長化されたシステムイメージ オフィス 取引先 ブランチオフィス 社内 ネットワーク 本番系 社内 ネットワーク 待機系 本番環境 社外接続 ネットワーク クラウドサービス バックアップ環境 バックアップ ネットワーク 開発用 ネットワーク 運用監視 開発環境 監視 ネットワーク Copyright (C) 2011 JBCC Holdings Inc. ITサービス継続を実現するIT基盤 システム障害対策 広域災害を想定した冗長化されたシステムイメージ オフィス 取引先 ブランチオフィス ①二重化対策 ソリューション 社内 ネットワーク 本番系 社内 ネットワーク 待機系 本番環境 社外接続 ネットワーク クラウドサービス バックアップ環境 バックアップ ネットワーク 開発用 ネットワーク 運用監視 開発環境 監視 ネットワーク Copyright (C) 2011 JBCC Holdings Inc. ITサービス継続を実現するIT基盤 システム障害対策 広域災害を想定した冗長化されたシステムイメージ オフィス 取引先 ブランチオフィス ①二重化対策 ソリューション 社内 ネットワーク 本番系 本番環境 社内 ネットワーク ②データ 待機系 バックアップ・復旧 ソリューション 社外接続 ネットワーク クラウドサービス バックアップ環境 バックアップ ネットワーク 開発用 ネットワーク 運用監視 開発環境 監視 ネットワーク Copyright (C) 2011 JBCC Holdings Inc. ITサービス継続を実現するIT基盤 システム障害対策 広域災害を想定した冗長化されたシステムイメージ オフィス 取引先 ブランチオフィス ①二重化対策 ソリューション 社内 ネットワーク 本番系 本番環境 社内 ネットワーク ②データ 待機系 バックアップ・復旧 ソリューション バックアップ ネットワーク 社外接続 ネットワーク クラウドサービス ③クラウドサービス バックアップ環境 (外部リソース) の活用 開発用 ネットワーク 運用監視 開発環境 監視 ネットワーク Copyright (C) 2011 JBCC Holdings Inc. ITサービス継続を実現するIT基盤 システム障害対策 広域災害を想定した冗長化されたシステムイメージ オフィス 取引先 ブランチオフィス ①二重化対策 ソリューション 社内 ネットワーク 本番系 本番環境 社内 ネットワーク ②データ 待機系 バックアップ・復旧 ソリューション バックアップ ネットワーク 社外接続 ネットワーク クラウドサービス ③クラウドサービス バックアップ環境 (外部リソース) の活用 開発用 ネットワーク 運用監視 開発環境 監視 ネットワーク Copyright (C) 2011 JBCC Holdings Inc. ITサービス継続を実現するマネジメントサービス 従業員・ワークスペースに関わるリスク リソースに関するリスク エリア 立ち入り禁止 建屋 立ち入り禁止 電力不足 出社/帰社困難 オフィスイメージ 電子施錠の 緊急開錠 記録システムの 停止 監視カメラの 停止 Copyright (C) 2011 JBCC Holdings Inc. セキュリティに関するリスク ITサービス継続を実現するマネジメントサービス 従業員・ワークスペース 対策 在宅勤務およびリソースのアウトソースを利用したシステムイメージ 開発環境 本番環境 自宅 VPN ネットワーク 開発用 ネットワーク バックアップ ネットワーク バックアップ環境 自宅 Copyright (C) 2011 JBCC Holdings Inc. (クラウドの利用) 外部からの監視 ネットワーク 運用監視 (アウトソース) ITサービス継続を実現するマネジメントサービス 従業員・ワークスペース 対策 在宅勤務およびリソースのアウトソースを利用したシステムイメージ 開発環境 本番環境 自宅 開発用 ネットワーク (クラウドの利用) ①在宅・サテライト ソリューションの活用 VPN ネットワーク バックアップ ネットワーク バックアップ環境 自宅 Copyright (C) 2011 JBCC Holdings Inc. 外部からの監視 ネットワーク 運用監視 (アウトソース) ITサービス継続を実現するマネジメントサービス 従業員・ワークスペース 対策 在宅勤務およびリソースのアウトソースを利用したシステムイメージ 開発環境 本番環境 自宅 ①在宅・サテライト ソリューションの活用 VPN ネットワーク ③データセンター マネジメントサービス の活用 自宅 Copyright (C) 2011 JBCC Holdings Inc. ②節電対策 ソリューション 開発用 ネットワーク (クラウドの利用) バックアップ ネットワーク バックアップ環境 外部からの監視 ネットワーク 運用監視 (アウトソース) ITサービス継続を実現するマネジメントサービス 従業員・ワークスペース 対策 在宅勤務およびリソースのアウトソースを利用したシステムイメージ 開発環境 本番環境 自宅 ①在宅・サテライト ソリューションの活用 VPN ネットワーク ③データセンター マネジメントサービス の活用 自宅 Copyright (C) 2011 JBCC Holdings Inc. ②節電対策 ソリューション 開発用 ネットワーク (クラウドの利用) ④クラウドサービス バックアップ(外部リソース) ネットワーク の活用 バックアップ環境 外部からの監視 ネットワーク 運用監視 (アウトソース) ITサービス継続を実現するマネジメントサービス 従業員・ワークスペース 対策 在宅勤務およびリソースのアウトソースを利用したシステムイメージ 開発環境 本番環境 自宅 ①在宅・サテライト ソリューションの活用 VPN ネットワーク ③データセンター マネジメントサービス の活用 自宅 Copyright (C) 2011 JBCC Holdings Inc. ②節電対策 ソリューション 開発用 ネットワーク (クラウドの利用) ④クラウドサービス バックアップ(外部リソース) ネットワーク の活用 バックアップ環境 外部からの監視 ネットワーク 運用監視 (アウトソース) ITサービス継続を機能させるために IT サービス継続体制の運用及び維持に関する考慮点 教育、周知、訓練 自主点検 テストの種類と概要※ 机上チェック • 計画の内容をレビューし、不具合を修正する。 • 計画に定めた各種内容の有効性を検証する。 ウォークスルー • 計画に定めた各種内容の有効性を検証する。 シミュレーション • 計画発動時に予想される状況を前提として、計画の実行に必要 かつ十分な情報が記載されていることを確認する。 ロールプレイング • テスト実施の途中で状況を追加付与し、参加者の状況判断や意 思決定の可否、連絡体制などを検証する。 実機訓練 • 実際の設備などを用いたテストを実運用及び実作業で行えるこ とを検証する。 Copyright (C) 2011 JBCC Holdings Inc. ※出典:「IT サービス継続ガイドライン」 平成20年9月 経済産業省 「想定外では済まされない!事業継続とIT災害対策」 JBグループの取り組み Copyright (C) 2011 JBCC Holdings Inc. JBグループの取り組み JBグループの事業継続・災害対策 取組み グループ内活動 事業継続コンサルティング ︵ 安否確認、監視、バックアップなど︶ JBクラウドサービス お客様へのご提案 ピーク時 節電20% オフィス ショーケース ・データセンター・マネジメントサービス ・二重化対策ソリューション ・データバックアップ・復旧ソリューション ・在宅・サテライトソリューション BCP ・製品開発製造・工場 →(月)休日、(土)稼働 ・オフィスの一部close →横浜・門前仲町 ・グループ内節電 →節電ビズ、空調設定 CSR 世の中(国) ・停電、免震、耐震ソリューション ・節電対策ソリューション Copyright (C) 2011 JBCC Holdings Inc. •電力需給緊急対策本部 •節電国民運動 •計画停電のリスク・・ JBグループの取り組み トータルサービスをワンストップでご提供 事業継続マネジメント 方針 計画 実施及び 運用 教育 訓練 点検 是正処置 経営層による 見直し 継続的改善 継続的改善 JBグループ サービス体系 事業継続コンサルティング 事業継続計画(BCP)策定 支援 インテグレーションサービス 高可用性システムの設計・構築 支援 マネジメントサービス 保守・運用(アウトソース) 支援 •コンサルティングの実施 •システム/ネットワーク構築 •システム運用支援 •フレームワークの提供 •セキュリティ構築 •クラウド運用支援 •情報収集・分析・文書化のご支援 •クラウド構築 •データセンター Copyright (C) 2011 JBCC Holdings Inc. 最後に 事業継続はグローバル社会において生き残る為に必要不可欠 事業継続対策といっても、企業が取り組むべき事項は多岐多様にわたります。 短期的、中長期的視点で、ステップを踏んで段階的に基盤作りを していくことが現実的であり、最善策であると思われます。 BCP(事業継続計画)、BC(事業継続)は、英略語の好きなIT産業が創り出した 一過性のブームといって片付けられるものでは決してありません。 事業継続の取り組みは自然災害のリスクの大きい日本経済がグローバルなボーダレス社会 にあってサプライチェーンの中で弱点を強みに変えて、生き残る為に不可欠なものです。 Copyright (C) 2011 JBCC Holdings Inc. 35 ご清聴ありがとうございました Copyright (C) 2011 JBCC Holdings Inc. 参考資料 Copyright (C) 2011 JBCC Holdings Inc. 事業継続に関連する企画・ガイド類1 法令、ガイドなど(国内・官公庁) 発行官公庁 中小企業庁 内閣府 中央防災会議 経済産業省 名称 発行年月 中小企業のBCP策定・運用方針 平成18年2月 中小企業新型インフル対策BCP策定指針 平成21年4月 事業継続ガイドライン 第一版 平成17年8月 事業継続計画策定ガイドライン 平成17年6月 新型インフルエンザ業務継続計画 平成21年12月 国土交通省 建設会社のための災害時の事業継続簡易ガイド 平成19年12月 総務省 地方公共団体におけるICT部門の業務継続計画(BCP) 策定に関する ガイドライン 平成20年8月 経済産業省 ITサービス継続ガイドライン 平成20年9月 新型インフルエンザ対策ガイドライン 平成21年2月 新型インフルエンザ対応中央省庁業務継続ガイドライン 中央省庁における情報システム運用継続計画ガイドライン ∼策定手引書(第1版)∼∼雛型(第1 版)∼ 平成21年8月 保険会社向けの総合的な監督指針 平成21年4月 内閣官房 金融庁 Copyright (C) 2011 JBCC Holdings Inc. 平成23年3月 事業継続に関連する企画・ガイド類2 法令、ガイドなど(各種業界・団体) 発行団体 名称 発行年月 金融機関における業務継続体制の整備 平成15年7月 業務継続体制整備の具体的な手法 平成20年6月 金融情報 システムセンター 金融機関等におけるコンティンジェンシープラン(緊急時対応計画)策定 のための手引書(第3版) 平成18年3月 日本経団連 日本証券業協会 企業の地震対策の手引き 証券市場全体のBCP整備のための取組みについて 平成15年7月 平成16年2月 日本情報処理開発協会 事業継続管理(BCM)に関する利用ガイド 平成16年2月 日本建設業団体連合会 建設BCPガイドライン 平成18年7月 BCAO 中小企業BCPステップアップ・ガイド 平成18年12月 不動産協会 不動産協会事業継続計画ガイドライン∼オフィスビル賃貸事業編∼ 平成19年11月 CIAJ&JEITA 電機・電子・情報通信産業BCP策定・BCP導入のポイント 日本銀行 東京商工会議所 JEITA 平成20年1月 中小企業のための新型インフルエンザ対策ガイドライン ∼命を守り、倒 平成20年10月 産をまぬがれるために∼ 新型インフルエンザ対策における情報システム関連企業連携の進め方 平成21年5月 ガイド 全国建設業協会 災害時事業継続の手引き 平成21年6月 日本工業技術振興協会 IT サービス業務継続ガイドライン 平成23年3月 Copyright (C) 2011 JBCC Holdings Inc. 事業継続に関連する企画・ガイド類3 法令、ガイドなど(国際的)・認証 発行団体 イギリス BCI NFPA(米国全国防火協会) アメリカ NIST (米国国立標準技術研究所) 国際規格 名称 発行年月 GPG2010:Good Practice Guideline 2010 BS25999-1:事業継続マネジメント:実践規範 BS25999-2:事業継続マネジメント:仕様 BS 25777:2008:ICT の継続性マネジメントに関する実践規 範 NFPA1600:災害・緊急時の管理・事業継続プログラム 2010年3月 2006年11月 2007年11月 2008年11月 2007年秋 SP800-34:ITシステムのための緊急時対応計画ガイド 2002年6月 SP800-61:コンピュータインシデント対応ガイド 2008年3月 SP800-83:不正プログラムインシデント防止・対応ガイド 2005年11月 SP800-53:連邦政府情報システムにおける推奨セキュリティ 管理策 2007年12月 ISO/IEC 27031:ICT の業務継続 2011年3月 認定制度 BCI 建設業界 BS25999 建設会社における災害時の事業継続力の認定制度 第三者認証として『ISO22301』が、2012年春頃に発行される見込み。 Copyright (C) 2011 JBCC Holdings Inc.