第9回 インシデントからの学習~東日本大震災・事業継続計画(BCP)の見直し
不安定な天気が続いておりますが、如何お過ごしでしょうか?前回のブログでは、たくさんの方にお読み頂けたようで、ありがとうございます。少しでもお役に立てて頂ければ幸いです。
さて、今回は「事業継続計画(BCP)の見直し」というテーマで、書いてみたいと思います。弊社では2008年より、情報セキュリティマネジメントシステム(ISMS/ISO27001)を取得・運用しており、その中でも「事業継続計画」について定めるように要求されております。
弊社でもある程度の災害や新型インフルエンザを想定した事業継続計画は策定しておりましたが、今回の東日本大震災を受け、見直しを行う必要が出てきました。建物や地域一体が大きな被害を受けてしまったような場合には、対応することは困難ですが、ある程度の災害であれば、事業継続計画を立てることが可能ではないかと思われますので、是非見直しなどをされてみては如何でしょうか?
■通信インフラ
【携帯電話】
震災直後は全く繋がらない状態となり、その後、数日間は繋がりにくい状態が続きました。そのため携帯電話での安否確認や連絡は困難になりました。インターネットは徐々に復旧し、twitterやSNSなどへのアクセスは出来るようになりましたが、メールについては遅延が酷く、メールでの連絡は非常に時間がかかりました。
停電が発生した地域では、基地局のバッテリが切れてしまい、震災翌日以降は全く使えない状況となったところも多かったようです。
インシデントからの学習
携帯電話に頼らない形やtwitter、SNSでの安否確認の手段も予め用意しておく必要があります。また、早朝夜間に災害が発生することも考え、出社のルールや災害時の会社運営・体制についても普段から検討しておくことも重要です。
メーリングリスト機能が使えるホスティングサービスを利用している場合には、緊急連絡用のメーリングリストを作成しておくことも有効です。その際、携帯電話のメールアドレスだけでなく、各個人が利用しているパソコンのメールアドレスも登録しておくと、より確実です。
【固定電話】
数日間は繋がりにくい状況が続きましたが、メタル回線については、週明けには通常通り使えるようになりました。NTTのメタル回線は故障復旧が早く、光回線(ひかり電話)や他社メタル回線は復旧に時間がかかりました。
インシデントからの学習
ひかり電話やNTT以外の安価な回線も良いですが、NTTのメタル回線を1つは残しておく(FAX回線など)ことをお薦めします。また、その回線を使って発着信出来るように電話機などを用意することも重要です。
【インターネット】
地震後6時間程度は停止しましたが、幸い停電はしなかったため、徐々に復旧し、3/11の22時頃には使うことが出来るようになりました。
【VPN】
フレッツグループアクセスやフレッツVPNワイドでは一部障害が発生し、場所によっては復旧まで数日間かかりました。インターネットVPNは、3/11の夜には復旧し、使用出来るようになりました。VPNを使った内線電話を構築していたお客様は、内線電話を活用し、発信規制などの影響を受けることなく支店や営業所間での通話が出来たようです。
インシデントからの学習
インターネットやVPNは停電が発生しなくても、数時間~数日間止まる可能性があります。VPNが切れると事業継続に重大な影響を及ぼすような場合には、種類の異なる複数のバックアップ回線を用意するか、比較的復旧の早いISDN回線でのバックアップが有効と思われます。
■ライフライン・設備
【電気】
停電や瞬断が何度も発生し、電圧などが一時的にとても不安定になる可能性があります。
インシデントからの学習
機器を保護するためにも、サーバや重要機器には必ずUPSを設置し、サーバなどは自動的にシャットダウンするようにしておくことが重要です。
業者任せにせず、普段からサーバの起動や停止の手順を確認しておくことをお薦めします(連絡が付かなくなる可能性や、ガソリン不足などでしばらくの間対応出来ない可能性があります)。
停電が長期に渡り、発電機を利用する場合には、一般的な発電機はサーバ、パソコンなどの電源供給には向きませんので、ご注意下さい(装置が壊れてしまいます)。パソコンなどを接続する際には「インバーター発電機」をお使い下さい。
【設備】
パソコン・ディスプレイは、多数の事業所で転倒や落下が発生しました。中には、サーバが設置台の上から落ちたり、NAS(ネットワークディスク)が落下し、故障してしまった事業所もいくつかありました。
インシデントからの学習
不安定なところには設置せず、特にサーバは床の上などの安定した場所に設置して下さい。また、小型のNAS(ネットワークディスク)、外付けHDDなどは転倒や落下が考えられますので、耐震マットや耐震ジェルなどで固定しておくことをお薦めします。万一に備え、バックアップを取っておくことも重要です。
ラックサーバの場合には、ラック本体をアンカーボルトで床に固定し、扉やサイドカバーなどはきちんと取り付けておきましょう。
複合機の場合には、動くことがありますので、床に固定しておきましょう。
幸い弊社は大きな被害がなかったため、事業継続を行うことが出来ましたが、是非この震災を機に見直しや、事業継続計画について考えて頂き、私たちの経験が少しでもお役に立てれば幸いです。
情報セキュリティ管理者:J