BCPについて考える

昨今、気候変動による台風や豪雨による被害、東日本大震災の影響による地震の多発など、また2020年の東京オリンピック開催に伴い、テロなど不測の事態が発生する可能性も考えられることから、政府も緊急時に事業が早期に復旧出来るよう、計画を立てることを推奨しているようです。これがBCP＝事業継続計画。助成金も出るようです。

https://www.tokyo-kosha.or.jp/support/josei/setsubijosei/bcp.html

主に、緊急時に備えて設備投資を促すスタンスのように見えるのですが、気のせいでしょうか？講義も受けて、公社が指定した施策でないと助成されないようです。これだけで本当に事業継続の助けになるのでしょうかね？

ISMS（ISO27001、情報セキュリティマネジメントシステム）を独力で取得した弊社にしてみると、事業継続計画は立てておかないと認証に通らないので、計画があることが当たり前になっています。毎年のようにリスクアセスメントを行い、どんな避難訓練を行ったら良いのか？どんな業務基盤を用意しておけば良いのか？などを考察するのですが、現時点における弊社の結論は次の通りです。

• 情報資産の安全を第一に考える
• 業務を属人化させないでおく
• 緊急時に従業員が無理な出社をせず、業務に応れる仕組みを用意する

事業を継続させることは一にも二にも、蓄積された情報が重要になってきます。もちろん、設備の破損などで早期の復旧が難しくなる場合もありますが、企業が継続していくには、顧客リスト、開発・製造のためのナレッジ（設計書や仕様書を含む）、関係各所へのアクセス情報などを、いつ何時でも決済権のある経営陣が直ぐに手にし、判断材料として活用出来る状態が重要であると考えます。

業務を属人化していると、その担当者が被災してしまった場合、誰もその担当者が保持している情報にアクセス出来ませんし、情報にたどり着いたとしても案件の中身（進捗や取り決め）が全て担当者の頭の中にあった場合、どのように引き継ぎが行えるでしょうか？その案件は、限りなくゼロからのスタートになってしまう可能性が高いです。

オフィスを強靭な建物に移転し、自家発電能力を持たせ、会社に居れば事業は継続可能！という状態を作ったとしましょう。しかし、交通網が不通になって出社が困難だった場合はどうしましょうか？VPNを用意しておく？それも一つの方法ですが、今となってはやや枯れた技術ですし、設定やメンテナンスに掛かるコストも考えなければなりません。小規模事業者であればなおさらです。

そこで弊社が辿り着いた答えが、クラウドの活用です。元々シンクライアントで運用出来たら良いなぁ、と考えていたのですが、やはりコストが見合わずに先送りしていました。そういえば、最近ニュースで「桜を見る会」のリストがシンクライアントで運用していて、データ保持期間が過ぎたら破棄される、という内閣府の見解が発表されていました。物理サーバーだと容量に限度があるので、実際の運用環境や規定がどうであったかは別として、そうなる可能性は高いですね。しかし、グローバルに展開しているクラウドであれば、全世界に拠点があるため、そのようなこともほとんど気にする必要はありませんし、アクセスするデバイスを制御出来れば簡易的なシンクライアントが実現可能です。

AWS（Amazon）のWorkSpacesやAzure（Microsoft）のWindows Virtual Desktopといった仮想デスクトップサービスも身近になってきたため、有力な選択肢の一つではあります。ただ、導入時の設定、保守運用、学習コストを考えると専門要素が多いため、少しハードルが高いように思えます。もちろん、情シス部隊が存在する大企業にとっては問題ないのでしょうが、小規模事業者に向いているとは必ずしも言えません。
結果、G Suiteを基盤にし、使用するデバイスを変えて対応する方が（弊社ではChromebookへ全面移行）弊社には向いているという結論に至っています。もちろん、長年使ってきたサービスがベースにあることも要因ですが、多くの人がプライベートでも使用経験のあるGmailやGoogleドライブが基本ツールとなるので、新入社員にも馴染みやすい状況にあることと、常に強力な機能改善や新機能の追加を実施し続けるバージョンアップ、そして、Google Apps for Businessesの時代から通して、これといったサービス障害にも遭遇していないことが挙げられます。

ご存知のように、BCP対策だけがG Suiteのメリットではなく、メール、オフィスソフト、社内サーバー、グループウェアやメッセンジャーを全て一律のインターフェイスで利用出来ることも業務効率向上に繋がりますし、付属して使えるGAS（Google Apps Script）も様々な業務の自動化にも役立ちます。業務用デバイスをChromebookに統一したり、各PCにChromeエンタープライズをインストールしてG Suiteの各サービスへのアクセスを制御すれば、プライベート端末への情報流出も制御が可能となります。それらのことをトータルで考えると、中小企業にとって事業継続を担保するには最適なツールであるということを、改めて強調しておきたいと思います。

結論：情報セキュリティマネジメントシステムの観点から言うと、G Suiteの導入はBCP（事業継続計画）を実現する基盤になるうえ、業務効率化にも効果的な、中小企業向けの低コストなサービスである。