ITと事業継続「クラウドコンピューティングの適用」

本コラムでは、今回の大地震をITの観点から、特徴的な被害の状況やIT産業との関連を踏まえて、クラウドコンピューティングの適用を中心とした今後の事業継続について報告します。

特集特集

2012年1月5日（木） 08時00分

先回は7回にわたって大震災と事業継続管理(BCM)について報告してきました。その中でもITシステムの維持は今日、事業継続には欠かせない要になっています。東日本大震災においても、インフラサービスや金融機関等におけるITの回復がサービスの復旧に極めて重要なポイントになっていました。

本コラムでは、今回の大地震をITの観点から、特徴的な被害の状況やIT産業との関連を踏まえて、クラウドコンピューティングの適用を中心とした今後の事業継続について報告します。

●特徴的な被害の状況

(1)サプライチェーンの寸断

かつてない広域で大規模な東日本大震災では、大企業のみならず多くの中小企業が被害に遭い、日本の産業自体にも大きな影響を与えています。サプライチェーンも広く寸断され、自動車の完成車工場は被災を免れたものの、部品メーカーが被災し、部品の一部が調達できないことから、自動車の生産が長期にわたり停止しました。また、紙やインキの供給不足などにより大手の製紙工場では生産再開が遅れ、印刷業界や新聞・出版業界など幅広い業種に影響が広がりました。

(2)ハイテク産業への影響

東北地方では、IT産業を支える企業も多く、ハイテク産業に与える影響も大きかったと言われています。この影響は国内に止まらず、世界的にも大きな影響を及ぼしており、世界のハイテク製品供給の流れが正常化するには、6カ月以上かかるだろうという予想もあります。特に、半導体のパッケージングに使われる基板の供給に支障が出るだろうと見ています。

内閣府は、東日本巨大地震による住宅や工場、道路などのインフラ(社会基盤)の被害額が16兆～25兆円にのぼるとの試算を公表しました。今後も集中化された大都市圏での地震の発生が予測される中で、災害に強く、被害に遭遇した際の回復力に優れたシステムの構築が必須になってきています。

東京商工リサーチによると東日本大震災の関連倒産が、震災発生から丸6カ月を迎えて330件(9月9日現在)に達したとしています。

「東日本大震災」関連経営破綻(東京商工リサーチ)
http://www.tsr-net.co.jp/news/analysis/2011/1211679_1903.html
●ITと事業継続

米国では、従前より事業継続管理(BCM)への取り組みが積極的に進められていました。特に9.11のテロや、大型ハリケーンによる甚大な被害の発生を契機として、事業継続計画(BCP)の策定が促進されているようです。流通業界を代表するウォルマートでは、数百のサプライヤーに対しBCPの構築を要請、フォーマットの提供と共同訓練を実施しています。また、金融機関はBCP作成が必須条件になっており、米国投資銀行のメリルリンチは既に取引企業にBCP取得を要求しています。自動車業界では、安定かつ継続的な製品納入が強く求められており、業界ガイドラインに沿ったBCM構築が進んでいます。

同時多発テロでは、金融系の大企業が多く被災しました。このうちBCPを用意していた企業ではいち早くサービスを再開させたこともあり、米国におけるBCP構築の機運はさらに高まっています。

(1)バックアップセンタによる早期回復

9.11テロで米LehmanBrothers社ではいち早く業務機能を復旧させ、6日後の株式市場再開までにトレーディング機能を復旧させたということです。当時、同社では「事前計画とネットワーク強化が効を奏した」と語っています。同社の財務部門はテロ攻撃のあった当日に、バックアップ用の復旧サイトへトレーディング機能を移動し、現金管理業務を行っています。その翌日には、確定金利商品を販売し、ニューヨーク証券取引所が再開したときには、オンラインでの株式売買を行っていました。同社は攻撃を受けたビルに5000台のデスクトップ・パソコン(PC)を設置し、データ・センター機能なども置いていたということです。テロ攻撃の当日には、その全てを一瞬にして失いましたが、それにも関わらずいち早く復旧できたのは、ニュージャージ州に完全なバックアップ・サイトを設け、周到に用意されたBCPがあったからです。ニューヨークで稼動する全てのアプリケーションは、ニュージャージ州のサイトでも稼動しており、自動的に互いのサイトでバックアップを取り合うようになっていました。しかも広域リンクも全て冗長化されていたということです。

被災したある会社の中には、とにかくホームページを更新し、営業状況などを早期に掲載したことで会社の評価を上げたという例もあるそうです。

9.11の米国同時多発テロで事業継続計画の威力を実証(CSOフォーラム)
http://csoforum.jp/articles/infosec20060704.html
(2)クラウドによる支援

震災に際しては、多くのクラウドサービスプロバイダーから、安否確認、情報共有、行政情報発信等の用途に、無償のサービスが提供されました。IPAでは支援やIT機能の提供事例を収集・整理し、リスト化したものを以下のように整理しています。

【支援例(IPA調べ)】
・情報共有・流通基盤(P2P)：被災者・関係者間安否情報、物流向け道路情報
・被災者救援活動の情報インフラ：被災者・避難所の状況把握、救援物資の集積・配布システム
・行政情報提供サイトの拡張：政府の情報サイトのミラー
・被災企業等の緊急情報発信・業務処理：メールサーバーの代替、グループウェア・
・Web会議等の提供、被災状況画像の発信

また緊急支援に役立てられたクラウドサービスの事例リストもIPAから紹介されています。

震災時の緊急支援に役立てられたクラウドサービスの事例と、復旧・復興に向けたクラウドサービス安全利用に関する資料の公開(IPA)
http://www.ipa.go.jp/security/cloud/cloud_sinsai_R1.html
2011年東日本大震災に際して提供されたクラウドサービスの事例(IPA)
http://www.ipa.go.jp/security/cloud/cloud_sinsai_jirei_list_V1.pdf
●行政の動き

(1)ITサービスの事業継続

経済産業省を中心として、情報技術(IT)に焦点を当てた事業継続の検討が進められ、平成20年には「事業継続計画(BCP)策定ガイドライン」のITにかかる部分について、企業をはじめとするユーザ組織を念頭に実施策等を具体化した「ITサービス継続ガイドライン」を策定し、公表されました＜＊7＞。

また、経済産業省の「情報システムの信頼性向上に関するガイドライン(以降、信頼性向上ガイドライン)」＜＊8＞との関係は、信頼性向上ガイドラインが、情報システム利用者及び情報システム供給者を対象として、未然防止と事後対策の双方の観点から取りまとめられたものであるのに対して、「ITサービス継続ガイドライン」は、事故が発生することを前提として、情報システム利用者における事後対策に重点を置き、より具体化したものとの位置づけであり、相互補完的なものとなります。

情報処理技術やネットワーク技術の発達と低コスト化が進む中で、ITの活用が急速に進んでいます。一方で、ITへの依存関係が急速に増大している現状においては、その潜在リスクや依存関係に起因する脆弱性を認識することが重要で、先のガイドラインを活用した効果的対応が極めて有効となります。リスク等に能動的な対応を行わない場合、ITに依存している個別組織の業務や、その組織が提供する商品・サービスの利用者、さらにはサプライチェーンやネットワークを介して国内外の社会経済にまでより大きな影響を及ぼすこととなります。

ITサービス継続ガイドライン(経済産業省)
http://www.meti.go.jp/press/20080903001/02_it_gl.pdf
「情報システムの信頼性向上に関するガイドライン」(経済産業省)
http://www.meti.go.jp/press/20060615002/20060615002.html
(2)クラウドの普及・促進

一方でリスクに対応して事業継続にも有効と期待されるクラウドコンピューティングについては、その普及・促進を図るための検討が経済産業省で進められていました。平成22年8月には「クラウドコンピューティングと日本の競争力に関する研究会」の報告書を取りまとめました。今後、経済産業省では、本報告書をもとに、クラウドコンピューティングの普及・促進を図るため、

・市場の健全な発展を通じたクラウド基盤の整備・充実
・データの外部保存・利活用を促す制度整備と社会的コンセンサス形成
・クラウドを活用したビジネスの国際展開に繋がるイノベーション創出の後押し

の三位一体の政策を進めていくとしています。

「クラウドコンピューティングと日本の競争力に関する研究会」報告書(経済産業省)
http://www.meti.go.jp/press/20100816001/20100816001.html
次回は、クラウドコンピューティングと事業継続について報告する予定です。

（林誠一郎）

《ScanNetSecurity》