【朝コラ】BCPの始め方 2/3 | (仮)アホを自覚し努力を続ける!
Amebaホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

(仮)アホを自覚し努力を続ける!

アウグスティヌスの格言「己の実力が不充分であることを知る事が己の実力を充実させる」

【朝コラ】BCPの始め方 2/3

専門家が伝授する9つの教訓
(ローレン・ギボンス・ポール)


 災害が起きてしまった際のデータ復旧と、業務の続行を可能にする対策の両方を包含する事業継続(BC:Business Continuity)へのアプローチは、企業によって異なり、まさに千差万別と言える。そこで本稿では、CSO(最高セキュリティ責任者)ら先達の貴重な体験を基に、BCP(事業継続計画)を策定するうえで有効となるヒントを探ることにしたい。


教訓4.
資産や業務機能ではなく、ビジネス価値にフォーカスする

 カレン・エーブリー氏は、事業継続に対する考え方が以前とはがらりと変わった。GEキャピタルでCISO(最高情報セキュリティ責任者)を務めていた当時の同氏は、特定の資産(建物など)の稼働や業務機能(会計など)を継続するには何が必要かという観点から、BCに関する意思決定を行っていた。今では、エーブリー氏はコンサルティング会社のマーシュ・ビジネス・レジリエンシー・ソリューションズのマネージング・ディレクターとして、価値ベースのアプローチでBCにおける優先順位を決定している。以前のアプローチでは、同氏は建物や技術資産、あるいは、例えばマーケティングや財務における業務機能に注目することから、計画を開始していた。しかし、会社が市場でどのように価値を生み出しているかを基準にするほうが、はるかに効果的だと、同氏は語る。

 「売上げの観点からスタートして、次に、売上げを支えるバリュー・チェーンに目を向ける。それに沿って業務機能をチェックしていくことで、バリュー・チェーンにおける脆弱性を速やかに特定できる」(エーブリー氏)。


教訓5.
独り善がりは禁物

 デニス・デイマン氏は、同氏が学んだ事業継続についての最良の教訓を、一文に要約できる。すなわち、「自己評価は当てにならない」というものだ。勤務先のBC計画の年次レビューを行う中で、同氏はしばしば、評価結果が実態とずれているのではないかという違和感を感じた。

 「自らの問題点や脆弱性について、誰も話そうとしなかった」とデイマン氏は語る。同氏は、SaaS(Software-as-a-Service)ベンダーのエロクアでCSOを務めている。

 「今では、我々はサードパーティのトラストeに評価してもらい、不備な点の指摘を受けている」とデイマン氏。地元の町のボランティア消防士として年間数十件の緊急通報に対応している同氏は、惨事が起こり、人命を奪うとともに企業を破滅させることがありうることを、思い知らされている。同氏が学んだように、BC計画においてチェックが甘くならないようにする最良の方法は、サードパーティを起用することだ。


教訓6.
ROIのワナに要注意

 事業継続に関するもう1つの通念として、「事業継続は一般的な投資対象プロジェクトの1つであり、そうしたほかの投資対象と同様に、コストを正当化できる」というものがある。しかし、グーレ氏は、企業はこの有害な考え方を捨て去る必要があると強調する。BCは、費用項目と位置づけるべきであり、その費用は、ビジネスを行うためのコストと考えなければならないというのが同氏の見解だ。

 グーレ氏の意見では、それはBCと、非常に近い取り組みであるリスク管理との1つの明白な違いだ。リスク管理では、損害が発生する可能性という観点から、ソリューションのコストを踏まえてリスクを軽減する。そしてリスク管理では、ソリューションの選択肢をこれらの点で比較検討するが、事業継続は、「起こりそうもないことが分かっていても、最悪のシナリオにも備える必要がある」というスタンスだ。

 「ROIはワナだ」とグーレ氏。「財務担当者に説明するために、誰もが費用の根拠や、費用対効果、つまりROIを躍起になって明確にしようとしている。だが、それはワナなのだ。事業継続にかかる費用は、ビジネスを行うためのコストの一部だ。必要がなければ、事業継続に何百万ドルも払うことはないが、必要があれば、払うことになる」。

 とはいえ、BCは、効果が望めそうもないものに無尽蔵にお金をつぎ込むことではない。有害な事象の発生後も会社が存続していくために必要なすべての費用を、そして必要な費用だけを、投入することだ。「安上がりに済ませたければ、何もしなければよい」(グーレ氏)。

 ROIを考慮しないことは、経営陣にとって抵抗がある場合もある。リスク管理を統括した経験がある経営陣であればなおさらだ。リスク管理では、確率とリターン(見返り)という尺度がすべてに適用される。エーブリー氏は、この考え方が事業継続の取り組みを進めるうえで障害になっている場合は、モデリングによって事業継続の価値を定量化するよう勧めている。「この考え方にとらわれると、企業は立ち往生してしまう。プロセスを進めて、所定の費用がかかる一連のソリューションを選定した段階で、投資を正当化できないという状況に陥るからだ」(エーブリー氏)。

 「価値ベースのアプローチを取り、分析を行えば、エクスポージャー(発生しうる損害)と、リスク投資のリターンとをモデリングできる。そうすれば、CEOに費用を正当化できる」とエーブリー氏。しかし、まず最初に、BCの費用は、ビジネスを行うためのコストであることを、経営陣に納得させるために最善を尽くすことが、何よりも重要だという。