貴社の事業継続計画は万全でしょうか?

事業継続計画とは、計画外の災害が発生した場合に、クリティカルな業務機能を復旧させるために組織が用意しておく手順体系のことです。これらの災害には、自然災害をはじめ、セキュリティ侵害、サービス停止、またはその他の潜在的な脅威が含まれます。事業継続計画(BCP)を導入すると、企業や組織は、ダウンタイムを最小限に抑えてビジネスを再開できるようになるほか、しばしば深刻なビジネス中断となる事態に対応するためのリソースを節約できるようになります。

事業継続計画の目的は?

最適化された事業継続計画には、3つの主要な構成要素が含まれています。

第一に、企業は回復力を備えている必要があります。これは、重要なビジネス機能は、潜在的な災害を想定した上で設計する必要があることを意味します。事業継続性チームは、各機能の弱点や影響を受けやすい点についてリスク評価を実施した上で、それらに対する保護策を確立します。これにより、継続的なリスク管理ポリシーをサポートできるようになります。

第二に、利害関係者は機能に優先順位を付け、どの機能を最初にオンライン状態に戻す必要があるかを決定します。災害復旧(DR)は重大な要因であり、機能が早く稼働状態に戻るほど、組織が持続的な被害を受ける可能性が低くなります。IT関係者は、災害復旧の時間目標を設定し、実行可能な災害復旧計画を策定します。ミッションクリティカルな機能が正常動作に戻ったならば、続いてチームメンバーは優先のリストの下位にある機能を順次復旧させます。必要に応じて、サードパーティのサポートを利用して復旧戦略を実施します。

第三に、企業や組織は、危機管理計画を必要とします。これには、指揮系統、利害関係者の責任、および確立された災害シナリオにおける危機管理に必要な技術的知識を記述した分岐パスを含める必要がります。最後に、最適化された事業継続計画には、業務運営の復旧速度を確立するための復旧時間目標(RTO)と、復旧作業がどの程度成功したかを判断するためのビジネスインパクト分析を含める必要があります。同様に、災害報告書により、災害復旧計画のプロセスが将来どのように改善されていくかを関係者に示す必要があります。

上記に示した3つの要素に基づいて、企業や組織は危機を乗り超え、被害を迅速に評価し、可能な限り早期に復旧することが可能となります。また、事業継続計画は生きた文書であり、企業や組織が新しいテクノロジーやプロセスを採用する際には定期的に更新しなければならないことを理解する必要があります。企業や組織の規模が大きくなるにつれ、新しいソリューションやインフラストラクチャを採用するようになりますが、それらは計画の中で考慮する必要があります。これを行わない場合、災害復旧における課題の数が予期せぬボトルネックにより増える可能性があります。

シトリックスは、予期せぬダウンタイムが発生した場合でも、お客様による継続的な業務の遂行を可能にします。

従業員が自分の仕事をするために必要となるアプリケーション、データ、ファイル、サービスにアクセスできない場合、業務は停止した状態になり、仕事を再開できるようになるまで、利益、顧客、生産性、評判、機会が刻々と失われます。

事業継続計画を成功に導く5つの要素

個々の業務上の不確定要素は千差万別であるため、事態の展開に応じて多くの意思決定を行う必要がありますが、事業継続計画は、このような意思決定を導くためのフレームワークや準備を提供するほか、そのような意思決定を誰が行うかという明確な指示を策定するものです。事業継続計画を成功に導くためには、次に示す要素を計画に含める必要があります。

1. チーム構造の定義

  • 明確な意思決定階層を定義すること。これにより、緊急時に、意思決定の責任者が誰であるか迷わなくてもよくなります。
  • コアな事業継続性チームを形成すること。経営幹部をはじめ、IT、設備、不動産、物理セキュリティ、通信、人事、財務などの各部門担当者など、組織全体を通じてチームメンバーを招集します。
  • サポートチームを形成すること。緊急応答、通信、施設内での応答、業務対応などの関連機能に専念するチームを作成します。

2. 計画の確立

  • 自らのビジネスプロセスにとっての潜在的な混乱を特定すること。停電、流行病、災害など、各組織の物理的な場所に影響する可能性のある事態を特定します。
  • 各事態の段階的な複数のシナリオではなく、最悪のシナリオに基づいて計画を立てること。これにより、シナリオの数を減らすことができます。
  • 最も必要な操作を優先順位付けすること。また、それらの操作を誰が実施するか、および担当者が不在の場合にその操作を誰に移管するかを定義します。
  • 長時間の停電が発生した場合の従業員の在宅勤務の方法を決定すること。
  • 毎年計画をアップデートすること。これにより、アプリケーションの重要度や依存度、ビジネス優先事項、リスク管理、ビジネスロケーション、およびその他の考慮事項における変化を計画に反映できます。

3. 立案した事業継続性計画をテスト

  • 毎年、完全な緊急事態のシミュレーションを実施すること。これには、危機の通知、訓練、職場の回復手順などが含まれます。
  • 毎年計画をアップデートすること。これにより、アプリケーションの重要度や依存度、ビジネス優先事項、リスク管理、ビジネスロケーション、およびその他の考慮事項における変化を計画に反映できます。

4. 危機の通知計画の作成

  • 緊急通知手順を確立すること。迅速に通信を行うために、プッシュシステムおよびプルシステムの両方を取り込みます。
  • 緊急通信に関するすべての利害関係者を特定すること。これには、社員、契約社員、クライアント、ベンダー、メディア、経営幹部などが含まれます。
  • 文書による連絡を準備するアップデートが簡単で、即座に伝えられるような文章を用意します。

5. 安全手順に関する社員教育の実施

  • ユーザーが緊急時に従う必要のある手順や、リソースの置かれている場所を理解できるように、ユーザーに対するトレーニングを実施すること。
  • 緊急応答のトレーニングや、自社の緊急時プログラムに対するガイダンスなどについて、自治体や国の機関に相談すること。
  • 社員による訓練を実施すること。これにより、社員を緊急時の手順に慣れさせ、非常口の場所などを全社員に理解させること。

Citrixセキュリティソリューションにより中断のない生産性を実現

シトリックスのソリューションを導入すると、組織は業務の混乱時にも業務が継続されることを保証できるほか、次のことが可能となります。

  • 計画されたものであれ、予期せぬものであれ、いかなる種類の業務混乱時であっても、安全なデジタルワークスペースと各自のアプリケーションおよびデータのバックアップへのアクセスをワーカーに提供すること。
  • いかなる場所から、いかなるデバイスを通じて、いかなる状況でアクセスする場合でも、ビジネス情報を保護し制御すること。
  • 事業継続性専用の独立したアクセスツールやデバイス、および拡張的な復旧ユニットを使用するのではなく、日常的なインフラストラクチャを使用することで事業継続管理を簡素化すること。
  • 迅速な自動化されたデータセンターのフェイルオーバー、負荷分散、ネットワークキャパシティ管理、クラウドベースの配備オプションを通じて、ITサービスの可用性を確保すること。