WebサイトのBCP対策について 第13回 14年09月 / 最終更新:2014.09.09

こんにちは、鈴与シンワートでマーケティングアドバイザーをしている吉政忠志と申します。

私はもともとBCPのコンサルタントや社内のBCP・BCM担当者ではなかったのですが、数年前BCPに関する製品の営業を担当することとなり、そのご縁で年間40回以上もBCPガイドラインの解説をセミナー等で行ってきました。今はBCP関連の会社を退職し独立しましたが、それでも年間5回ほどの解説を行っています。そのような業務経験から感じた様々な事をこのコラムでお伝えしていきます。

次に、既にご存知の方も多いかと思いますが、BCPに関する基礎的な事を分かり易く解説いたします。ここでは初心者の方向けに解説しますので、専門家の方からみると言葉の定義が甘く見えるかもしれませんが、極力分かりやすく書きたいため、その点はご了承ください。

 

BCPとBCM
BCはBusiness Continuity(事業継続)の略でPはPlan(計画)でMはManagement(管理)です。つまり、「BCPとBCM」は「事業継続計画とその管理」という意味です。この二つは対になっており、両方実行できて初めて機能します。

詳細は専門書をご覧いただきたいのですが、ここで覚えておいて頂きたいことは、以下の2点です。

1. BCP/BCMは震災に限らず、事業継続を阻む全ての事象に備えなければならない
システム障害、クラッキングなどの他、日本ではあまりなじみのないテロや戦争もその事象の一つです。

2. 予行演習なしにBCP/BCMはなしえない
有事の際に連絡がつかない、指示も無ければ許可もない…、そんな状態において事業を復旧させるためには、予行演習が重要です。しかし、この予行演習を実際に行っている会社がほとんどないのも事実です。

=ミニ知識=
以下にBCP関連でよく出てくるキーワードを紹介します。参考にして下さい。

RPO(Recovery Point Objective=復旧時点目標です。これはバックアップを取るタイミングを意味します。システム復旧時は最後にバックアップを取った時点に戻るため、このような用語が使用されています。

RTO(Recovery Time Objective=復旧時間目標です。これはシステムダウンから、復旧するまでの目標時間を意味します。WebシステムのRTOを短縮する場合は、遠隔地への二次バックアップ等が重要になります。

RLO (Recovery Level Objective=目標復旧レベルです。主に、システムパフォーマンスや復旧の優先機能など、どのレベルまで復旧させるかということです。

MTPD(Maximum Tolerable Period of Disruption=最大許容停止時間です。これはシステムがダウンしてから復旧するまで、どれくらいの時間を許容できるかということです。

 

BCP対策の必要性
ところで、このコラムの読者として多くを占めるWebサイト管理者やマーケティング担当者の方々が担当するコーポレートサイトにはBCP対策は必要でしょうか?

必要か不要かで質問すれば、必ず「必要でしょう」というのが普通です。しかし、実際のBCPプロジェクトでは、優先順位は低いのが現状だと思います。BCP対策で一般的に重要視されるのは金額的なインパクトが大きい営業系、生産ライン系のシステムであり、メールサーバなどのコミュニケーション系のシステムがこれに続きます。これらに大きな予算が投じられます。これらの議論は非常に複雑であり、非常に多くのパターンでの想定とシミュレーションが繰り返されるため、どうしてもWebサイトは後回しになってしまいがちです。

WebサイトのBCP対策はシンプルで、予算も業務系のシステムと比べると安価であると思いますので、是非、チェックして頂きたいです。

有事におけるWebサイトの役割
読者の方には釈迦に説法ですが、そもそもWebサイトの役割は何でしょうか?私は「24時間稼働する、会社の公式情報の掲載の場」であると定義します。有事に社外に対して告知しなければならない情報は非常に多いと考えます。

例えば、皆様は、先日の大震災の際に早々にWebサイトで会社の状態説明とその対応を表明できた会社についてどう思われたでしょうか?逆に、Webサイトが全く更新されていない会社について、またはWebサイトがダウンしている会社についてはどう思われたでしょうか?

当然ながら、有事に際し、会社の状態と対応を早期に表明できた会社は社会的信頼を獲得し、(有事に全く関係が無い場合は別ですが)そうでない会社は信頼を失うでしょう。また、Webサイトがダウンしている場合は、その会社の事業継続について心配になるでしょうし、既存のお客様が取引の継続を検討するようなことになってもおかしくないと思います。

さらに、皆様もご存じと思いますが、震災などの有事の際に一番強いコミュニケーションインフラはTwitterやFacebookなどを含む広義のインターネットでした。個人レベルでの震災情報の収集や関係者の安否確認であれば、TwitterやFacebookで十分ですが、組織にとってはWebサイトでの対応も重要となります。特に病院や警察、消防署などライフラインに関わる組織はもちろん、B2Bで取引先が多い組織や広域に事業を展開していて部分的な事業エリアが被災する可能性がある組織などはその必要性が高いと思います。

 

WebサイトのBCP対策とは?
ここでは低コストで実施できる最低限のWebサイトのBCP対策を紹介したいと思います。以下の対策は読むと当たり前のことですが、実行できている会社は意外に少ないと思います。基本的には運営上のシングルポイントを排除し、復旧作業を迅速に行うための対策になります。

1. 複数拠点に在籍する社員もしくは複数の社員がWebサイトのコンテンツを更新できるようにする
これも良くある話ですが、特定のWeb担当者しかコンテンツを更新できなくなっているサイトは比較的多く見受けられます。とくに技術力が高いWeb担当者が管理しているWebサイトには良く見受けられる事態です。万が一の場合に備え、他の社員がWebサイトのコンテンツを修正できるようにしておく必要があります。

2. Webサイトの遠隔地二次バックアップを実施する
サイトが設置されているサーバもしくはそのデータが消失してしまった場合に備え、遠隔地での二次バックアップやWebサイトの多重化を実施しておく必要があります。実際に「東北地方太平洋沖地震」や「新潟県中越沖地震」では多くの企業の情報システムデータが消失しています。対岸の火事ではありません。

3. 有事のコンテンツ・サンプルを予め用意しておく
有事では、だれがコンテンツを更新することになるか分かりません。予めいくつかのサンプルページがあるだけで、コンテンツの更新作業は迅速に行えるはずです。

4. BCMマニュアル(震災マニュアルなど)を有事にアクセスできる場所に保管しておく
BCMを実行している企業の方にお聞きします。BCMマニュアルはどこに保管していますでしょうか? これは実際にありそうな話で怖いのですが、総務部や部門長の机に鍵をかけて保管していたりしませんか?外部からアクセスできないファイルサーバにアクセス権限付で保管されていないでしょうか?もしくは保管場所を知らない社員がほとんどだったりする場合もあると思います。正しい保管場所は有事に社員の居場所やアクセス方法を選ばずに閲覧できる場所が一番です。最善の場所は社内外のPCや携帯端末からアクセスできるグループウェア(日々アクセスする習慣があるサイト)の文書管理のフォルダに保管しておくことがセキュリティ面でも、閲覧性の面でも一番よいと思います。

5. 前述を踏まえた有事の予行演習を定期的に実行していること
これは、多くの政府発行のBCPガイドラインでも必ず述べられている重要事項であり、また、最も実行されていない事項のひとつでもあると個人的に感じています。避難訓練は良く行われていますが、その後の復旧訓練については行われていないことが現実だと思います。有事は非常時であり、非常時に普段から予行演習を行っていないことを迅速に実行できるはずがありません。BCP策定を行った経験がある方はご存知と思いますが、BCP策定では実際に起こりうる最悪の事態を想定します。昨日まで一緒にいた同僚が行方不明になったり、特定拠点のリソースがすべて消滅・消失する場合を想定します。その状況を想定した、予行演習を是非ともお願いします。

 

有事に備えたWebサイトのあるべき姿とは?
有事に備えたWebサイトのあるべき姿については以下が重要だと思います。

1. システム上のシングルポイントを作らない
Webサイトの多重化や遠隔地二次バックアップをすることはそれなりにコストがかかりますが、Webサイトをデータセンター等外部のサーバに設置するだけでも非常に安全になります。設置するデータセンターやホスティングサービスにもよりますが、一般的にはオフィスビルよりも耐災害性は高いと思われます。データはローカルにバックアップを取り、Webサイト自身はデータセンターなどに設置することでシステム上のシングルポイントを排除する事ができます。

2. 有事でも使用できるサイト構成にしておく
Webサイト経由でのお問い合わせはメールではなく、入力フォームで行えるようにしておくことや、携帯端末からもアクセスできるようなサイトを用意しておく必要があります。

いかがでしょうか?少しでもBCP対策の参考になればと思います。前述の通りWebサイトは会社の看板でもあり有事には重要な役割を果たします。ただ、サーバの場所がBCP対策にふさわしい場所でないと機能しない場合があります。鈴与シンワートのS-Portは自社所有の堅牢なデータセンターを災害時に最も安全な立地とされている地域危険度特性評価AAAの場所に建設されおり、場所も東京、埼玉、大阪とBCPや二次バックアップにも最適な複数拠点を構えております。

S-Portサービスに興味がある方は是非以下をご覧ください。
https://s-port.shinwart.com/

###
鈴与シンワートではS-PortのFacebookページも運営しています。
Facebookのアカウントをお持ちの方は是非以下のFacebookページもチェックください。
https://www.facebook.com/sport.shinwart