【其の十二】「電源確保とセキュリティ対策が事業継続の命綱」、ソフトウェア開発会社のBCP
自然災害や感染症、セキュリティ事故などへのリスクマネジメントの一策として策定する企業が増えているBCP(事業継続計画)。重要なのはわかるけれど、実際どうやって作ったり使ったりするの?とわからないことだらけな方も多いハズ。このコラムではそんなBCPの策定・運用に取り組む大阪の中小企業のエピソードをご紹介します。
「電源確保とセキュリティ対策が事業継続の命綱」、ソフトウェア開発会社のBCP
「人を介さずに提供できる製品」を強みのひとつに、土木設計ソフト・土木積算ソフトの開発と販売を手がけている株式会社綜合システム。同社のホームページからは24時間365日、製品のライセンスを取得してソフトをダウンロードできる。
顧客は主に測量会社や設計会社。「当社のシステムは公共事業の一端を担っているので、災害復旧の際に使えないと困るんです」と代表の吉本氏。必要な時にすぐ買える。製品の販売や発送に人を介さないからこそ、仕組みを万全に整えておくことが同社の事業継続には不可欠である。
そんな同社がBCPに取り組んだ。地震や台風、大雨などを想定して事業を見直したところ、「電気がなければ何もできない」と気がついた。ノートパソコンと携帯電話は一定時間使えるものの、日常業務の大半はデスクトップ型のパソコンで行っているため、電源がないとあっという間に業務が停止する。「ホームページに“現在被災中です”という情報をあげようにもパソコンが動かない」という事態を知ることになった。
そこで非常用電源のひとつとして、電源の確保も可能な防災用ラジオとLEDライトを購入して各部署に設置した。パソコンもデスクトップ型からノート型に買い換えていくことを検討中だ。
もうひとつ、同社のようなソフトウェアの開発会社にとって情報資産の管理は事業の要である。災害対策も重要だが、セキュリティインシデントのリスクに対しても万全でなければならない。同社では大阪本社と鳥取開発室の2か所でデータのバックアップを行っているが、それだけでは不十分だとクラウド上でバックアップする仕組みをつくった。
「開発した製品のソース(プログラムコード)を守ることは、われわれの心臓部を守ること」と吉本氏。平常時の最新データの保護とマルウェア(※)対策を両立する体制として、社内でのバックアップはネットワークを常時接続する仕組みを取り、社外クラウドへはバックアップの時だけ接続する設計とし、万一、社内ネットワークで感染が発覚しても、2週間以内の感染前の状態に戻せる仕組みを構築した。
※マルウェアとはユーザーのデバイスに不利益をもたらす悪意のあるプログラムやソフトウェアを総称する言葉。ウィルスやワーム。
BCP策定後は運用のための訓練も行っている。吉本氏と総務部主任の波平氏が“サプライズ”と称し、社内に事前の告知なく緊急時の警報を鳴らして対策チームに集合をかける。対策室に集まったメンバーたちは想定シナリオに基づいてシミュレーションを行う方法だ。
想定シナリオに基づいてシミュレーションする。
たとえば、
・地震発生。ラジオで情報収集してください
・ネットワークがダウンしました。どうしますか?
・エレベーターが停止しています。社員の○○さんが戻ってきません。どうしますか?
・社員の○○さんが自宅に帰りたいと言っています。どうしますか?
・鳥取の拠点と電話が通じません、どうしますか?
・ネットがつながるようになりました。どうしますか?etc.
矢継ぎ早に出されるシミュレーションの前半はもっぱら人命救助。後半になると事業回復に着手できる。「どうしますか?と問われた時に皆が一斉に行動を起こすことが大事なんですが、対策室に集まっても、まずBCPの書類のどこに記載されているのかを探すところから始まるんです」と波平氏。スピーディに具体的なアクションに移せないという問題点が浮かび上がった。とはいえ、「BCPの策定によって、われわれが事業を続ける上で大切なものが明確になった。電源があってネットがつながれば事業はできる。社員の命を守ることに集中ができる」と、訓練で気づいた問題点の改善に取り組んでいる。
今後の課題はなにか。「BCPでは緊急時のセキュリティ対応に力を入れてきたが、これからは情報漏えいなどテレワークを含めた日常業務の中でのセキュリティ強化を考えなければならない」と吉本氏。そのためにISO/IEC 27001(情報セキュリティマネジメントシステムに関する国際規格)の取得を考えている。
(取材・文/荒木さと子)
≪【無料テンプレ有】BCPを始めるなら≫
