天災&コロナの複合リスクにBCPで危機管理

情報漏洩などのリスクを評価するときに、その脅威がどこからくるものかで大きく３つにわけられます。

・人的脅威は、人によるもの
・物理的脅威は、災害や故障などによるもの
・技術的脅威は、PCの不正アクセスやウイルスなどによるもの

今回は物理的脅威についてみてみたいと思います。

災害や故障による物理的脅威

天災

災害大国の日本ではさまざまな自然災害が起こりやすい環境にあります。

• 豪雨/台風/豪雪といった風雨による災害

• 洪水/土砂災害

• 地震/津波/火山噴火といった災害

天災の対策は、可用性の向上を目的として決定することが重要です。

フォールトトレランス（fault tolerance）とは、フォールト（fault：障害）が発生したときのトレランス（tolerance：耐久力）でのことで耐障害性ともいいます。構成要素の一部が故障、停止などしても予備の系統に切り替えるなどして機能を保ち、稼動を続行できること。また、そのような仕組みや設計方針のことです。

フォールトトレランスの考え方としてフェイルソフトやフェイルソフトといったものがあります。
問題（fail）が起きたときに、ハードに使うのではなく、問題の個所を切り離したり停止するなどして、ソフト（soft）に機能や性能を低下させて稼働を継続することをフェイルソフト（fail soft）といいます。フェイルソフトの考え方に従って縮退運転（フォールバック）を行ったりします。
問題（fail）が起きたときに、なるべく安全（safe）な状態に移行するよう制御することをフェイルセーフ（fail safe）といいます。
誤操作（fool）しても危険が生じない、耐性をもたせること（proof）、あるいは誤操作できない構造や仕組みに設計することはフールプルーフ（foolproof）といいます。「人がミスをしようとしてもできないようにする工夫」のことです。
フォールトトレランスは、これらの概念の総称として用いることもあります。

大規模障害

企業として災害の備えとして、
①停電の際の対応を考えておく
②通信障害に備える
③従業員への防災教育に努める
があります。

①停電の際の対応を考えておく
停電の対策は、無停電電源装置（UPS：Uninterruptible Power Supply）や、一時的な電圧低下の対策としてCVCF（Constant Voltage Constant Frequency）を併用するのも効果的です。

UPSとCVCFの違いって何？

②通信障害に備える
災害時のネットの使い方を考えておくのも大事です。災害が起きたとき、6時間程度は電話やネットがつながりにくくなるため、まずは安全を確保した上で機器のバッテリーが失くならないよう気をつけるのがよいです。
災害時の情報取得として、報道機関運営のニュースアプリでは国内最大規模ニュースダイジェストや、JX通信社のビジョンといったシステムがあります。

災害時に情報収集をする方法｜事前の備えとできることも解説災害時に情報収集をする方法｜事前の備えとできることも解説 | @niftyIT小ネタ帳

③従業員への防災教育
企業・組織としても、従業員にハザードマップの使用方法などの防災に関する正しい知識を周知・教育しておくと安心です。

ハザードマップポータルサイト

BCP（Business Continuity Plan）

物理的脅威の対策として、文書を都心から離れた地震の少ない地域に保管したり、リスクマネジメントがしっかりとされたクラウドサービスの利用をしたりすることが増えています。予備の情報処理施設（DR：Disaster Recoveryサイト）として、即時稼働が可能なホットサイト（ホットスタンバイ）や、一定時間で稼働が可能になるコールドサイト（コールドスタンバイ）があります。
このような仕組みはフォールトトレラントシステムの一種です。

クラウドを利用したDRのポイントとは | ニフクラ

コロナ禍での地震など複合災害の想定も必要です。
「BCPの見直し」とは、単体の災害でも、複合災害でも、あらゆる災害に利用できる柔軟性の高いBCPを用意するという意味です。これはオールハザードBCPとも呼ばれます。

新型コロナウイルスと風水害～オールハザードBCPのススメ～

危機管理カンファレンス

毎年秋と春の2回行われるBCP・危機管理・リスクマネジメント部門の実務者が集う危機管理カンファレンスでは、最新の危機管理について扱われます。

危機管理カンファレンス