オルタナティブ・ブログ > THE SHOW MUST GO ON >

通信業界特殊偵察部隊のモノゴトの見方、見え方、考え方

その障害対策や災害対策は実態に即した訓練を実施してる?

»

これはどんなことにも言えると思うのですが、机上のプランは所詮机上のプランで、実際に(本番なのか訓練なのかは別にして)何かしら実働させないと本当に機能するかどうかは判りません。もちろん事前に必要なデータやひな型となる同じような事象の経験があれば別ですが、机上の企画は所詮机上の企画。そこを誤解しちゃいけない。そしてその企画が実効力を持つかどうかの検証は、企画や実装に関与した人と別の人がやらないと意味が無い。じゃぁそれをシステム監査がカバーできるか?いや、無理でしょ。役割が違いすぎます。

 

あり得る可能性を想定から自ら外すという罠

これは例の原発の話にも通じるのかもしれません。あるいは例の銀行のオンラインの事故にも通じるのかもしれません。どこまで想定しているのか、その想定の中で何をどう対処するべきかをキチンと訓練してきたか。もちろん程度問題はあれ、それなりに多くのケースを想定して色んな対策を取ってきているはずなのですが、その網をくぐって色んな事が起きるのはこれらの例以外に多分誰もの身近にあるんじゃないかと思います。

これをDRなりBCPと言ったとき、実は凄い落とし穴があって、たとえばITの人は物理的な通信ネットワーク上で起きるあらゆることを想定することは多分無理です。それこそ電力供給面で本質的に何が起きる可能性があるのか、道路や鉄道を始めとする所で何が起きるのかなどなど。更には自分自身が直接被害を受けていないにも関わらず影響がでるような事象が起きたとき、一体どう対処できるのか。

もちろん無限にある可能性のすべてを検証することは不可能です。ただ、影響が出るはずの色んな分野の状況を考慮せずに企画されていると思える対策じゃないのかな?と思えるような事例などに出会うことがあります。

ただ、後から考えると「何故こういう事態に備えていなかったのか」と言われるような所が絡んだ事象だからこそ問題が大きくなることは良くある話。何しろ何も対策が無いような場合もあるわけですから。

 

第三者も交えた机上訓練、そして出来れば実際に障害復旧する訓練

元々東海地方から関東にかけて早晩大きな地震が来ると言われているにもかかわらず、コスト面や運用の容易さから関東地方にデータセンターや本社機能を集中させている事自体が本当は責められるべきなのかもしれません。たとえば先日の震災でKDDIが通信各社が基幹ネットワークに一部全断を含む非常に深刻な被害を受けたりしましたが、同じことが東名阪間で起きる可能性を否定出来る人が居れば凄いと思います。多分何か起きます。

もしそうなれば?事業者は必死に復旧なり迂回なりの措置を取りますが、一時的には通信が途絶もしくは非常に困難になるわけです。もちろん通信回線の被害以前に送電が不安定になって非常に広域で全停電することもありますし、道路だってどうなるか判らない。

さぁ問題はこれからです。何をどこまで想定して、それを実際にやってみるかどうか。最低でも関係者を集めた机上訓練をキチンと定期的に行えるかどうか。そしてそういう活動をトップマネジメントが企業が担保するべきリスクであると理解でき、きちんとスポンサードできるかどうか。

 

たとえば訓練のための課題

課題: 西日本と東日本にバックアップセンターを運用しています。東海沖で地震が発生しました。太平洋岸の通信回線は全断、中部電力および東京電力管内は全県停電。さて、この状況に遭遇して最初の3分、30分、3時間、3日間に何をどうするべきなのか?何を優先するのか?

東京に本社機能が集中しているとアウトになる課題です。何かしらの事象と条件をトリガーに西日本に企業としての本社機能を委譲し、東京の本社機能は事業所としての状況確認や保全活動に専念するべき状況です。でも、たとえばこんな条件に耐えられるプランをキチンと立てて、そのうえでたとえば本社機能の移転までを含めた訓練がなされているのかどうか。あるいは、そんなの大袈裟すぎるから考えないのか。

あるいは一種の非常事態としてのスーパークールビズ実施に際しても、結果的に受容しなくてはいけない自社の業績の見通しとか、そもそも社会的に何が起きるのかという分析をキチンとしていないんじゃないのかと思える例もなんとなく見えたりします。

 

他山の石

もちろん企業の規模や事業内容、業種業態によって全然事情は異なります。これほど大袈裟に物を考えなくても良いケースの方が多いとは思います。ただ、自社の取引先のネットワークのどこかでこういう事態に巻き込まれたらどうするか。実はどうしようもないのかもしれません。現実問題として、悲し事ですが既にそういう状況に追い込まれている企業が多く存在しています。

ただ、これらの事例を他山の石として物を考えないといけないと思うんです。DRやBCPといった事を考える上でなんだかそういったことを余りに… 余りに何も考えていない事例の幾つかに触れる機会があったので、ちょっとそんな事を思ったりしたんで。

そしてそれらの多くが、あまりに自分の業界という殻の中で物を考えていたり、自社は実はそんなに大きな損傷を受けず最初から復旧に全力を傾けられるという前提だったり、あるいはもっと狭い範囲として例えばIT部門としてどうするよ的な部分だけを取り上げた話ばかり目についたもので。

Comment(2)

コメント

ardbeg32

BCP作るときに、ITの人だけじゃなく全部門の実力者が集まって合宿でもやればそれなりのものはできる筈なんですが・・・
どうも日本人って、抽象的な問題に取り組むのって苦手なんですね。ましてや対岸の火事とばかりに予算も付けないし。
でもなんにもやってないのも不安だから、総務の嘱託あたりに机上の空論だけ作らせて自己満足って何それおいしいの?と経営陣を小一時間程問い詰めたくなります。
BCPはなにもかも救うプランを考えるのではなく、何が救えて何を救えないのか、見える化してリスクマネジメントすることだって何度言っても理解できないのは何故なんでしょうかねぇ?
さらに言うと職場安全点検だとか、量産品つくる前の試作はしつこい程繰り返すのに、なんでせめて10数時間かけて作った机上のBCP位テストしないのか?
子供が夏休みの宿題前にして、なんだか嫌だから目を背けてなかったことにしてるようで情けないです。

ardbeg32さん、コメントありがとうございます。
 
作って満足して終わってしまうという良くある話の一つなのだろうなという事なんですけれど、それ自体はそもそも良くない話ですよね。その流れにおいては確かに責任を持つべき人を小一時間ほど問い詰めたくなる…というかもっと物騒な事を考えそうな自分が怖いです(笑)

コメントを投稿する