これまでの回では、大規模災害対策に的を絞り、なぜ初動が大切かを解説するとともに、被災後の早期業務再開を目的に、安否確認サービスや初動支援サービスが生まれた経緯について記しました。
今回は、ますます重要になる企業の情報システムリスク対策について最新のニュースを交え、話題を提供したいと考えています。
『情報システムリスク』という言葉が、新聞紙上を賑わしています。皆さんの記憶にも新しいところでは、ライブドアショックに連動した東京証券取引所の取引停止と言う事案がありました。トラブル続きの東京証券取引所は、CIOを外部から招聘し、システム全体のアーキテクチャから見直しをしているようです。一方、証券取引所のプレーヤーである証券会社各社においても、『情報システムリスク』に対応するために、色々と手を打っているようです。
5月19日の日本経済新聞朝刊に、『証券大手が危機対策強化』と言う見出しで記事が掲載されました。大規模地震やテロなどを想定した危機対策で、予備の取引システムの整備などが柱で、野村、大和、日興コーディアルの三大証券会社だけで投資額は1千億円に達する見込みだそうです。
大手のみならずネット専業証券会社もディザスターリカバリー(いわゆる障害時におけるデータの保護を目的としたシステム構築の事)構築に多額の金額を投資しています。例として、カブドットコム証券は、災害時には1000キロ離れた福岡で本社機能を代替するために、50億円を投じ、証券業界初となる本格的な遠隔地ディザスターリカバリー拠点を構築するそうです。
個々の証券会社だけでは、証券取引が停止したり、復旧に時間がかかったりするリスクの低下にはつながりにくいので、日本証券業協会でも、証券市場全体のBCPの目標等に関して検討した結果として、『証券市場関係機関及び参加者間に亘る全体的且つ横断的な事業継続計画の整備のための取組みについて(骨子)』と言う非常に長い題名のガイドラインを発表しています。
証券業というのは、言い旧された言葉ですが、見方を変えればまさに情報システム産業ですので、ディザスターリカバリーの構築は、欧米の常識からすると、事業継続リスクに対処する当たり前の事だといわれるでしょう。
もう一つの巨大情報システム産業である銀行業界でも、金融庁からBCM(業務継続体制)についてガイドラインが発表されています。その中でも大手銀行に対して向けられたガイドラインのなかで、『危機発生時に早期に被害の復旧を図り、金融システムの機能の維持にとって必要最低限の業務の継続が可能になっているか。その際、全国銀行協会及び他の主要行等と連携し対応する体制が整備されているか。』というチェックポイントが明示されています。
筆者があえて言及したいところは、『・・・必要最低限の・・・』という箇所です。必要最低限と言われても一体全体どこで線を引けばよいのでしょうか?
金融庁のガイドラインでは、多少ながら具体的に例示を試みています。大事なポイントなのでそのまま引用します。以下のイからニまでの4項目です。
イ.災害等に備えた顧客データ等の安全対策(紙情報の電子化、電子化されたデータファイルやプログラムのバックアップ等)は講じられているか。
ロ.コンピュータシステムセンター等の安全対策(バックアップセンターの配置、要 員・通信回線確保等)は講じられているか。
ハ.これらのバックアップ体制は、地理的集中を避けているか。
ニ.個人に対する現金払出や送金依頼の受付、インターバンク市場や銀行間決済システムを通じた大口・大量の決済の処理等の金融機能の維持の観点から重要な業務を、暫定的な手段(手作業、バックアップセンターにおける処理等)により再開(リカバリー)するまでの目標時間は具体的に計画されているか。(参考)「金融機関における業務継続体制の整備について」(日本銀行、2003年7月)
上の例示でも明らかなように、最低限『バックアップ』をしてくださいと書かれています。また、紙の文書は燃えたり、濡れたりしたら原本性が確保できないので、まずは、紙情報を電子化し、その電子化されたデータファイルやプログラムは必ずバックアップを取ってくださいと、金融庁はガイドラインに掲載しているわけです。
その上、その正本と複製は地理的集中を避け、遠隔地に保管してくださいと言及しているわけです。
もちろん、すでに多くの企業は、情報システムや電子データのバックアップの重要性については認識し、具体的な対策を講じているケースが多いと思います。しかし、BCP/BCMの視点から再検討する必要があります。
例えば、本社内や同じデータセンターエリアにバックアップデータをテープで保管している会社(大多数の企業はこのカテゴリに入ると思います)では、広域の大規模災害が発生した場合には本番データとバックアップデータ両方とも失う可能性があります。したがって、災害の及ばない遠隔地に保管する必要があるのです。
ただ、遠隔地にバックアップサイトを構築しようとすれば、コスト負担増という課題が発生します。前述の証券会社大手のように数十億から数百億も投資できるところは限られています。中堅中小企業では、売上高や利益から判断しても、投資が容認されるレベルではないでしょう。ストレージやネットワーク回線、ハウジングの費用、さらにそれらを24時間365日、日々運用していくコストも生じます。
遠隔地に保管するという点に絞って考えると、複数拠点を持つ会社であれば、遠隔地にある自社の拠点にバックアップデータを保管するという方法も考えられます。この場合は一部のコストが軽減されるものの重要なデータの漏洩や消失という別のリスクが発生する可能性があります。内部とはいえ、外注先に運用を委託しているケースが多く、情報漏洩や不注意な重要データの廃棄といった事案は頻発しています。
こうしたなか、筆者が所属するセコムトラストシステムズは、BCP/BCMの重要課題である重要なデータの保管を、安全で確実に、しかもリーズナブルな価格で実現させることを目指した『セコム電子データ保管サービス』を販売開始しました。
このサービスは、単にディスクスペースを貸し出すだけではなく、保管データの運用も当社で行うなど、セコムならではの安全・安心の仕組みが提供されます。
具体的には、データを預け入れていただく際に「預り書」を発行し、返却時には、この預り書をチェックし、利用者以外への流出を防ぎます。また、データの上書き・削除は利用者の申請を受けて当社の担当スタッフが行い、利用者の不注意によるデータ消去を防ぎます。
さらに、預けて頂いたデータは、広域災害に備え、東西に設置した二つのセコムのデータセンターに複製保管されます。さらに、利用者の管理はセコムのデジタル証明書による認証で厳格にアクセス制御し、データの転送には暗号化技術を適用し、不正アクセスへの対応も抜かりありません。
このサービスでは、利用者の用途や必要性にあわせ、3つのサービスタイプ=Webタイプ、FTPタイプ、NASタイプ=が選択可能になっております。バックアップ対象のデータ量とバックアップ回数の頻度にあわせ、容量が少なく、頻度も高くない場合は、Webタイプ、毎日定期的にバックアップを行う企業には、FTPタイプ、大容量データのバックアップが必要な企業向けには専用NASタイプをお勧めします。
セコム及びセコムトラストシステムズは、BCP/BCMの視点から、万一被災し事業が中断した場合でも、早期事業再開を支援するために「初動支援サービス」「安否確認サービス」と合わせて、「セコム電子データ保管サービス」を提供しております。ぜひ、一度御検討願います。
★セコム電子データ保管サービス
セコム電子データ保管サービス−セコムトラストシステムズ株式会社
|
