掲載月:2007年3月
金融機関では多くの場合、地震を想定した事業継続計画(BCP:Business Continuity Plan)の一部として、情報システムの災害対策を実施され、最近では日本版SOX法の観点から既存の災害対策システムを見直された場合もあるのではないでしょうか。被災時においても金融機関は社会的責任の観点から、早急に代替システムを立ち上げて業務を再開させ、ビジネスを止めないことが求められています。
昨今では、規制緩和による新規参入やビジネス拡張のための業務提携、新チャネルの開発など、ビジネス・モデルが今までになく変化してきています。消費者ならびに提携先から、信頼される金融機関として評価されるためには実行可能なBCPがあることが重要であり、以下にその考慮点をご紹介します。
BCP国際標準の観点での考慮点
図1 概要図
昨年より検討が開始されたBCPの国際標準(ISO化)では、第三者機関による認定も考えられています。情報システムの災害対策はBCPの一部にあたりますが、代替システムを遠隔地に準備しデータを伝送しておくだけではなく、それらのインフラを使って実際にシステムが立ち上がり、業務継続が可能かどうかという視点で評価されるものと思われます。BCPを策定する目的は、被災時を想定したインフラの準備だけではなく、継続的な要員の訓練やプロセス・手順の整備というマネジメント・システム(BCM:Business Continuity Management)がきちんと実行されていることが重要です[図1]。
「9.11」でのBCP実践例
2001年9月11日の米国同時多発テロで、ある米国の大手証券会社では1機目の航空機がビルに撃墜した7分後に緊急指令センターを立ち上げ、関係従業員9,000人の避難を指示したと言われています。その間、安全確認を行いつつも、業務継続を行うために関連部署と連絡をとり、翌日にはCEO名で「当社は問題なく業務を行なっている」いうメッセージを顧客宛に配信しています。緊急指令センターは総勢180名に及び、BCP自体もハリケーンを想定したものだったと言われていますが、このような危機的な状況においても冷静に判断し実行に移せたのは、平常時から繰り返し行われた訓練や手順の見直しによるものであることは言うまでもありません。準備したインフラとそれを動かす人と手順とが有機的に統合できた例と言えます。
災害対策システムの見直しポイント
図2 概要図
業務継続に情報システムは不可欠であることから、現在準備されている災害対策システムに対する投資が本当に有効かどうかは、被災時に稼働できるかどうかにかかっています。以下の見直しポイントを参考にしていただき、懸念点があれば早急な改善が望まれます[図2]。
1. 目標復旧時間内にシステムが再開できるか?
システムの目標復旧時間(RTO)やデータの目標復旧ポイント(RPO)を基に、インフラを準備しておくのは言うまでもありませんが、代替システムへの切り替えは人による状況判断で行っているケースがほとんどです。被災の程度によっては本番センターを使用し続けることも可能なため、被害状況の情報収集を迅速に行い、切り替えを判断するための基準を明確にしておかないと、システム停止時間が長引き業務への影響も拡大します。また被災時にはコミュニケーション手段が絶たれたり、本来指示を出すべきリーダーが負傷などにより連絡を取れない場合があります。担当者は指示により行動する場合だけでなく、一定時間経過しても指示がない場合はどう判断し行動すべきかをあらかじめ決めておくことも重要です。被災後に代替センターへ担当者が移動する場合は、移動ルートと移動時間を確認しておき、担当者が移動できない場合も想定して代替センターで初動対応ができるように準備・訓練しておくことも重要です。
2. 被災後に業務は継続できるか?
業務を継続するには複数のアプリケーションが必要であり、個々のアプリケーションは複数のシステム(ハードウェア、インフラストラクチャー)を使用してサービスを提供しています。被災時にはあらかじめ決められた業務単位でアプリケーションが再開されるため、業務に必要なすべてのデータが整合性を保ってリカバリーできるか、被災時のサービス・レベルを業務側と協議し、必要なシステム・リソースが準備されていることを確認します。他にもシステムの中断により損失したデータの復旧手順、縮退されたシステムを使用しての運用手順、外部からのテープ授受や帳票の出力・配送などの外部データ交換に関しても漏れがないかを確認しておきます。要員に関しては、被災した本番センターの回復要員と代替センターでの運用要員、臨時のヘルプデスクや業務サポートなども考慮して必要な人数を確保する方法を検討し、訓練しておきます。
3. 本番センターに復帰できるか?
被災時に代替センターのシステム・リソースを拡充し、本番センターとして使用し続ける場合もありますが、多くの金融機関の場合、本番センターを修復し切り戻すことを想定されているのではないでしょうか。切り戻しに関しては「センター計画切替」あるいは「センター移転」に類似した手順・テクノロジーを検討しますが、異なる点は被災時に稼働させなかったアプリケーションの再開です。たとえば、テスト・開発中のプログ
ラムも金融機関にとっては重要な資産であるため、被災前の状態に戻せなかった場合のインパクトは多大です。また、システムを使わず代替手段で業務継続していた場合は、復帰時のデータの再入力方法なども検討しておく必要があります。
動かせる災害対策システムを目指して
既存の災害対策システムに対して、被災時に「本当に動かせるのだろうか」と不安に思われたことはないでしょうか。万が一の場合でも、インフラ、プロセス・手順、人がきちんと機能する「動かせる災害対策システム」を構築するにはBCPの策定と維持管理(BCM)が不可欠です。IBMはグローバルに培った数多くの復旧経験とノウハウでそのご支援をさせていただきます。
本事例は特定のお客様での事例であり、すべてのお客様について同様の効果を実現することが可能なわけではありません。
本事例中に記載の肩書や数値、固有名詞等は初掲載当時のものであり、閲覧される時点では、変更されている可能性があることをご了承ください。
IBM、IBMロゴ、GDPS、System zは、IBM Corporationの商標。
その他の製品名および会社名は、それぞれ各社の商標または登録商標です。
