2013 Volume 55 Issue 11 Pages 810-818
情報システムの重要性は益々増大しているが,東日本大震災後の調査でも万一に備えた対応を考える事業継続計画の策定が必ずしも十分ではない。経営トップの無関心や最初から100%完璧な計画の策定を想定しているためとも思われる。本稿では,守るべき情報資産と事業継続を脅かすリスクについて考察した。主なリスクである大規模地震や台風・集中豪雨,テロ,その他(突発的大規模停電)について,事業継続を考える上で必要な事柄を過去の知見から得られた内容について考察した。事業継続計画の文書化に役立ち,机上や実践的訓練に役立てるものと考えている。文書化と訓練の相乗効果が,事業継続計画策定のキーポイントになる。
近年,組織における情報システムの役割はますます増大してきた。それに連れ,自然災害や人的ミス,外部からの攻撃等により,情報システムが停止に追い込まれる,あるいは,サービス提供が十分できない状況がしばしば見られる。
自然災害では,米国では2005年に巨大なハリケーン「カトリーナ」が,2012年には「サンディ」が上陸し,どちらも情報システムに大きな被害をもたらした。国内では2011年3月に東日本大震災が発生し,大地震に伴う大津波による情報システムへの被害は甚大なものとなった。近い将来,首都圏直下型や東海地震,東南海・南海地震などの発生が危惧されており,さらに,東海,東南海,南海の3地震が連動して発生するとも言われている1)。
人為的なミスもある。情報システムの外部委託では,安全・安心を唱っていたクラウドサービスで,基本的な操作ミスにより,6,000社近くの企業等のデータが消失し,データのバックアップをとっていなかった企業等は,日常業務が止まるという大きな影響を受けた2)。また,インターネット上では機密情報や個人情報の漏えいの発覚やDDoS攻撃(分散型サービス妨害攻撃)が増えており,ネットワークを利用した業務に大きな影響を及ぼしている。
情報システムを利用する場合,このような状況を回避するためにはBCP(Business Continuity Plan,事業継続計画)が必要になる。
BCPとは,組織が事故や災害等に遭遇しても,必要な事業を継続し,復旧を果たせるような対応計画を策定することを言う。この計画を策定するため,事故や災害が組織にどのような影響を及ぼすかの分析を行い,リスクや損害を考える。広義のBCPでは,企業・組織全体を考えることもあるが,本稿では,情報システム面からの考察に限定した。
図1に示すように,BCPでも継続的な改善を行うことになるが,①経営者による方針策定,②計画の策定として,どのような災害を想定するのか,事業の優先度や事業への影響評価等を行う,③対応の実施・運用,④関係者の教育・訓練の実施,⑤教育・訓練の結果を評価し,必要があれば是正する,⑥経営者によるレビューを行う。これを継続的に繰り返していく。
2011年3月の東日本大震災後に,一般社団法人日本情報システム・ユーザー協会(JUAS)がBCPへの取り組みについて,調査を行った3)~5)。
情報化が進んだ今日では,情報システムなしに企業経営を行うことは不可能と思われ,情報システムを停止させない,あるいは,停止時間を最小限にするために,BCPの策定は不可欠である。
JUASの調査で,原田4)は「東日本大震災で直接被害を受けた企業でも,34%は経営者からのBCP見直しの指示がなく,また,東日本大震災後でもユーザ企業の半数以上がBCPを策定していない」と述べている。
経営者の情報システムへの関心が低ければ,当然ながらBCPへの関心も低い。このような場合,経営者には心理学でいう「正常化バイアス(Normalcy bias)」があるのではないかと,筆者は考えている。すなわち,大きな自然災害等が発生しても,自分の所は,正常に運用することができ,BCPを発動する必要がないと考えているのではないだろうか?
あるいは,経営者の多くが情報システムは,「専門性が高く,自分にはわからない」,情報システム部門に権限委譲しているので問題ないと考えているが,実際には情報システム部門へ「丸投げ」しているのではないだろうか。
もちろん,経営者に専門用語を使って説明している情報システム部門もあり,その辺りにも問題があるかも知れない。
情報システムでは,情報資産を表1に示す4種類と考えている。
種 類 | 特 徴 | |
---|---|---|
(1)人間 | 代替不可能。ただし,同一作業を複数人で行えるが,費用が課題になる | |
(2)情報 | ①アナログ | 複写可能だが原本と異なる。同一物が複数ある場合とそうでない場合がある |
②デジタル | 原本と同じものを複数作成可能。遠隔地での対応も可能 | |
(3)テクノロジー | ソフトウェア,ハードウェア等 | |
(4)設備 | 複数設備を持つことは可能だが,他の情報資産の準備も必要 |
情報は無形だが,一般的には何らかの形で有形のものに保存される。これら,4種類の情報資産の1つでも欠けると,BCPの運用が困難になる可能性がある。この4種類について考えるべきことを以下に述べる。
2001年9月11日に発生した米国同時多発テロでは,BCP要員が心的外傷後ストレス障害(PTSD)になり,他はすべて揃っていたが,担当者が業務を行えず,復旧ができなかったとの指摘もあった注1)。
大企業等では,経営トップが常に陣頭指揮をとれないこともあり,複数の経営者が必要に応じ,陣頭指揮をとれるように考えていた所もある。例えば,経営者の自宅の近辺に住んでいる管理職がその経営者を支える仕組みを構築する。夜間や休祭日等の緊急時に,最も適切に緊急対応が可能な経営者が配下の管理職とともに,BCP対応を行うと定めている。
緊急事態が発生した場合,常に経営トップが陣頭指揮をとれないことも含め,迅速・適切にBCPを行う体制の構築が重要である。
最近はクラウドコンピューティングの利用が進展しているが,事業者が全データを破壊した事故も発生しており,利用者側に複製がなく,全情報がなくなった事故も発生している2),6)。
電源は自家発電装置や蓄電池も必要になるが,津波,集中豪雨,台風等でビルの地下に水が流れ込めば,すべての電源が冠水し,電源供給が不可能になった例もある。電源を地下に設置する場合,環境を考慮する必要があろう。
大地震では,液状化により地下洞道とビルとの接続部分でケーブルが被害を受けた例もある。
クラウドコンピューティングでも,外部委託先のデータセンターで同じような問題が発生する可能性がある。
企業等では,最も重要な業務の実行が妨げられた場合,どのような影響を組織全体に及ぼすかを考える必要がある。例えば,大地震やそれに伴う津波を考えると,BCPの策定は意味がないとの指摘もあるが,まずは最低限の対応を考える。絶対に企業活動が止まって困る業種以外は,人間や情報が無事ならば,時間がかかるが,復旧は可能であろう。経営者も含め,すべての従業員が対応できなくなれば,何の意味もない。
また,以下で述べるリスクを考えることにより異なる対応になる。最初から無理だから検討しないことが最悪である。発生可能性のあるリスクについて考えることになるのは当然である。
あらゆる分野で,絶対安全を要求しがちだが,100%の安全は存在しない。時間が流れ,何か行えば,必ず安全を脅かす「リスク」が存在する。
リスクでは以下の5つを考える必要がある。
上記は,①雨が降る,②窓が開いている,③室内にあるカーペットが濡れる可能性がある,④カーペットを購入しなおす/修繕する,⑤カーペットが濡れないように,雨が降れば自動的に窓が閉まる仕組みを導入する,と考えるとわかりやすい。
また,リスクの大きさは,脅威,脆弱性,資産価値の3要素のベクトル(または,乗算)で決まる。資産価値が小さいと,リスクも小さくなる。センター試験等では,試験問題は,試験前日までは重要だが,試験終了後は価値が低くなる。リスクの大きさを決める3要素に時間軸を含め4要素で考える必要もある。一度決めたリスクは永久不変ではないので,定期的な見直しが必要になる。
リスクも「費用対効果」を考える必要がある。どのような脅威が存在し,そのリスクの大きさを考えて対応する必要がある。
例えば,米国東部やヨーロッパの大部分では,大地震が発生する可能性はない。大地震による広域災害の想定は不要である。一方,日本や米国東部・南部は,台風やハリケーン被害を考える必要がある。
脅威としてどのようなものがあるかを考えるには過去にどのようなことが発生したかを知ることは有用で,「歴史から学ぶ」ことの意義は大きい。
5.1 大規模地震東日本大震災は記憶に新しいが,1995年1月17日の阪神淡路大震災もいくつかの教訓を残している。
最近のビルは,震度7にも耐えられる構造を持っており,大規模な地震でも建物が崩壊する可能性は少ない。しかし,以下の検証は大切であろう。
給水設備では屋上まで冷却水を上げ,屋上に設置した給水タンクから供給することもあるが,停電では屋上まで冷却水を上げられず,断水に追い込まれる。さらに,配管や給水タンクが地震の揺れで壊れ,屋上の給水タンクの水がビル内に溢れたこともある。
阪神淡路大震災で,大手金融機関のデータセンターは無事だったが,周辺地域が断水し,空調用冷却水の供給が断たれ,ビル壁に穴を開け,毎日給水車で必要量の冷却水を確保し,コンピューターを運用した例も聞いている。
最近のサーバー類は従来のメインフレームより単位面積当たりの発熱量は大きいが,空冷式空調で,冷却水を利用しないデータセンターもある。
また,自家発電機(ディーゼル発電機)で,大手のデータセンターでも,3.11東日本大震災までは,燃料は半分程度だったが,3.11以降,満タンにしているとの回答もあった。
一部の中小データセンターは,3.11以降の計画停電時には燃料確保ができないため,データセンターサービスを停止する可能性があると表明した所もある7),8)。
2009年3月の十勝沖地震では,石油タンクの液面揺動(スロッシング)に起因し,苫小牧の製油所で原油タンクが約8時間炎上した。
東日本大震災でも,千葉県市原市の製油所の液化石油ガス(LPG)タンクが約8日間炎上した。
今後予想される大地震でも大都市圏の近辺にあるコンビナート火災と津波の複合化災害が発生すると大きな被害が想定される。
東京湾岸には,神奈川県に根岸・本牧地区,扇島地区等と千葉県市原市等を中心に,5,000基以上のタンクがあり,これらのタンクの危険性が指摘されている。
携帯電話は固定電話以上につながらなかった。また,通信量増大防止策として,184(発信者番号非表示)発信扱いとしたため,受信者が184発信拒否設定の電話には接続できなかった。
固定電話の場合,停電時に利用できなくなるものが多い。最近,IP電話の利用が増えているが,停電時に利用できないことが多い。
携帯メールは,「メール問合せ」(図2)機能を実行しないとメールが受信できないこともあり,この機能を知らず,新規の受信メールがないと誤認する可能性がある。利用する場合,周知が必要であろう。
大地震の場合には多くの状況に対応する対策を考える必要があるが,バックアップデータを遠隔地に保管し,万一に備えるだけの考えもある。
地球規模の温暖化現象のためか,集中豪雨や大型の台風等の発生が多くなってきている。
最近の集中豪雨は,大都市圏でも30mm/時間を超える豪雨もかなりの頻度で発生している。都内の神田川下流域では表2のような豪雨があった10)。
年月日 | 原 因 | 総雨量 | 時間最大 |
---|---|---|---|
1989年8月 | 集中豪雨 | 276mm | 70mm |
1993年8月 | 台風11号 | 288mm | 47mm |
2004年10月 | 台風22号 | 284mm | 57mm |
2005年9月 | 集中豪雨 | 263mm | 112mm |
これらは,「内水氾濫」と言われ,都市内を流れる中小河川で豪雨の処理ができないと,マンホールや一般家庭の風呂場等から逆流することがある。
道路などに溢れた水の水位が高くなれば,ビルの駐車場スロープ等から,地下に流れ込み,地下の電気施設や給水施設に被害を与える。
実際,1994年9月,伊丹空港ビルが集中豪雨により,地下に雨水が流れ込み,電気系統が被害を受け,ビル機能が麻痺した事故が発生した11)。
河川氾濫では,「2000年東海豪雨」が有名で,名古屋の総雨量が562mmに達し,年間総雨量1,532mmの3分の1以上が降り,名古屋市の西を流れる新川が名古屋市あし原町で破堤,庄内川は一色大橋の右岸で溢水し,26,000棟以上が床上浸水した(表3,図3)。
愛知県計 | 住 家 被 害 | |||||||||
全壊 | 半壊 | 一部損壊 | 床上浸水 | 床下浸水 | ||||||
棟 | 世帯 | 棟 | 世帯 | 棟 | 世帯 | 棟 | 世帯 | 棟 | 世帯 | |
15 | 20 | 56 | 75 | 167 | 171 | 26,531 | 27,371 | 38,879 | 39,963 |
近年,首都圏は大きな河川氾濫がないが,1993年,当時の建設省が200年に1回程度の降雨量「3日間に548mm」で,荒川下流域で破堤が発生すると想定したシミュレーションを行った。最悪は右岸16.75kmの破堤と結論した(表4,図4)注2)。500メートルメッシュで計算したが,最大浸水深度は約6メートルで,被害額は約38兆円に達した。
全被害状況 | |
---|---|
浸水面積 | 82.8km2 |
浸水区域内人口 | 1,163,031人 |
床下浸水戸数 | 18,085戸 |
床上浸水戸数 | 456,052戸 |
被害額 | 384,947億円 |
厳密には,洪水と呼ぶのは適切でないが,シカゴのダウンタウンのビル群の地下階にシカゴ川の水が流れ込み,大きな被害が発生した。「The Great Chicago Flood」と言われ,1992年4月にダウンタウンの各ビルを地下でつないでいた地下道(図5)注3)にシカゴ川の改修工事に使っていたコンクリートパイルが原因で,シカゴ川の水が溢れ,地下道とつながっていたビルの地下にも水が流れ込み,約1週間都市機能が麻痺した12)。
台風や集中豪雨,河川氾濫等による洪水の被害では,地上だけでなく,地下に被害が及ぶと,地下に設置した設備が被害を受け,ビル機能が麻痺することが多い。国内でも大都市圏では,地下鉄や地下道が発達しており,地下への被害を防止するための止水板等の対策を考えているが,荒川下流破堤の計算では,最大浸水深度は6メートル近くになり,地下への水の流入は避けられないであろう。BCP立案の場合には十分考慮する必要がある。
5.3 その他国内でのテロは,一連のオウム事件での「地下鉄サリン事件」がある。欧米では大規模なものが発生している。
2001年9月11日「米国同時多発テロ」では,WTCビル内にバックアップデータを保存していた企業も数多くあった。ただ,前述のように,大地震や台風・洪水被害から比べると被害範囲はかなり小さい。
テロではないが,過失や豪雪による大停電が国内で発生している。
この事故で,日本経済新聞社が計算している「日経平均」等の算出ができなくなったが,電源を自家発電装置に切り換える時点で問題が生じた。
また,旅行サービス業務の受託企業は電力供給再開時に,過電流によりUPS(無停電電源装置)が故障し,再開までに1時間以上を要した。
サービス停止には至らなかったが,停電で正常な終了プロセスを経ずサーバーがダウンし,サーバーのデータベースのクラスター機能の整合性がとれず,1台で稼働させ,ベンダーの支援で復旧をはかった受託企業もあった。
この時はなかったが,自家発電装置の燃料の備蓄量が問題になる可能性は高い。
本稿では,主に自然災害を中心に述べたが,この他にも,「パンデミック」では,人的被害の発生や人間の移動が制限される。また,近年,インターネットに社会が大きく依存しており,大規模なサイバー攻撃等により,コンピューターやネットワークの利用が困難になり,社会活動が停止する事例も海外では発生している15)。また,国内の通信ネットワーク機器の脆弱性により大規模停止になるとの指摘もあり,機会があれば述べたい。
3.11東日本大震災以降,BCP策定の必要性が叫ばれているが,必ずしも十分に浸透していない。ガイドライン通りに行うことの大変さもあると考えている。
本稿では,情報システムに対するリスクを考えることで,それに対応する対策を考えることができると考え,ガイドラインから離れ,従来から気になっている脅威をまとめた。
明確に脅威を考えられれば,それに対応したBCP対策を構築できると考えている。
もちろん,脅威について新たに発生するもの,従来のものの見直しがあったりするが,それらを考慮してリスクを考えることが大切で,リスクは変動すると考える必要がある。
また,BCPは文書化で終わりでなく,訓練を積み重ね,それを知識,知見とすることが大切である。BCPにも完璧はない。訓練(机上,実訓練)を積み重ね,文書を修正する。危機が発生し,「想定外」と言わないためにも,訓練も重要である。