第3回 BCP訓練によるオペレーショナルレジリエンスの継続的強化（維持・改善フェーズ）

オペレーショナルレジリエンスは、計画やルールを整備しただけで手に入るものではありません。私たちが考える「リスクベースのレジリエンスジャーニー」において、BCP訓練は最終フェーズである維持・改善フェーズに位置付けられます（各フェーズの大まかな説明は第1回コラムを参照ください）。訓練を行うことで、計画の妥当性を検証するとともにその有効性を確認し、不足箇所を浮き彫りにしてさらなる改善点を見いだすことが可能になります。

作るだけで終わらないBCP―訓練によって磨かれるオペレーショナルレジリエンス―

近年発生したインシデントを踏まえると、企業の想定を超えて事象が複雑化・連鎖していることが分かります。したがって、訓練を筋書きどおりのシナリオで終わらせず、想定外の事態発生時における意思決定力・情報連携力・対外コミュニケーション力を鍛え、限られた情報しかない中で重要な判断を下す「覚悟」に慣れる場へと発展させることが重要です。「計画を確認する訓練」から「計画を超えて動ける組織をつくる訓練」へと進化させ、継続的にレジリエンスを高める行為は、経営活動を維持・高度化させる取り組みそのものであると言えます。

これまで多くの企業がBCPを整備し、危機対応の枠組みを用意してきました。しかし、実際にその価値を左右するのは計画の有無ではなく、いざという時に計画に基づき組織が本当に動けるかであり、その差を決定的に分けるのが訓練の質と継続性です。

この点については調査結果からも裏付けられています。実際に災害を経験した企業に対して調査した内閣府のレポート（図表1）では、災害時に「有効であった取組」として備蓄品の購入や災害用アプリの導入といった直接的な備えと並んで訓練の実施・見直しが見られた他、BCPが役に立たなかった理由の一つに訓練ができていなかったことが挙げられています。これは、有事に価値を発揮したのは計画そのものではなく、訓練によって準備されていた「実際に動ける状態」であったことを示しています。

図表1：災害等により影響を受けた際有効であった取組

インシデントが突きつける現実―技術よりも難しい「コミュニケーション」―

近年、国内外でランサムウェア感染や大規模システム障害などのサイバーインシデントが相次いでいますが、対応の本質は単なる技術領域にとどまりません。

• 社内で正確な情報が共有されない
• どこまで事実確認ができた段階で対外公表すべきか判断できない
• 広報・法務・IT・経営の間で認識が噛み合わない

こうした「コミュニケーションの乱れ」こそが、初動対応の遅れやレピュテーション低下、さらには事業への二次被害を招く大きな要因につながります。誰が、どの情報を、どのタイミングで判断し、社外へ発信するのか。これらは文書で定義したとしても、実際に機能するかどうかは訓練を通じてしか確認できません。

ITシステムが大規模に停止するようなインシデントを引き起こす原因としては、ランサムウェア感染のようなサイバーリスクと、ハードウェア障害や設定不備のようなシステムリスクに大きく分けられます。一般的にランサムウェアの被害に遭うと復旧が長期化し被害が大きくなりますが、それには以下の理由が挙げられます。

• 攻撃の影響範囲が広く、どのシステムが汚染されているかを一つ一つ検証する必要があった
• バックアップ領域まで攻撃されていた可能性が浮上してしまい、復元対象の選定やデータ整合性の確認に膨大な時間がかかった
• 身代金を支払わず自力での復旧を選択した結果、データ復元やシステム再構築に多大な労力が必要となった
• 単なる復元ではなく、汚染のない新たなシステム環境をゼロから構築する必要があった

技術的な話が多いですが、膨大な作業の内容を正しく伝えて整理し、企業として判断するポイントが実際に多く存在することは想像がつくかと思います。最近では業務復旧のスピードだけでなく情報開示のスピードや内容も問われており、メディア対応の難しさも顕在化してきました。こうした場合の連携先は社内で完結するものではなく、ITベンダーや各種専門家との協議も必要になります。

被害が長期化すると、ビジネスにはどのようなインパクトがあるでしょうか。製造業で生産ラインが止まれば、納期遅延による違約金や、サプライチェーン全体への波及を招くおそれがあります。物流・小売・ECサイトなどで受発注システムが止まれば、商品が届かない、決済ができないといった事態が発生し、短期的でも顧客離れやクレーム対応コストの増大を招きかねません。医療機関で診療システムや検査機器が停止すれば、救急受け入れの制限や手術の延期につながり、地域医療そのものに支障をきたす可能性もあります。

このように、社外に対しても取引停止やサービス中断に伴う補償などのリスクが発生しますし、個人情報や機密情報が漏えいすれば、顧客・取引先・従業員からの信頼に深刻なダメージを受けてしまいます。システムや業務は一定期間で復旧しますが、信頼は回復するのに長い時間がかかります。

また、サイバーリスクに限らず、ハードウェアの故障など旧来的なシステム障害も依然として発生しています。近年ではクラウドやSaaSサービスの活用など他社とつながったサービスが多く、一つの障害を起点に広範囲に影響を及ぼすケースも出ています。また、利用しているクラウド基盤が停止したり、通信や電力が止まった場合、自社の責任範囲ではなかったとしても、顧客対応・代替手段・社内説明・対外コミュニケーションなどの対応は待ってくれません。「誰がクラウドベンダーの情報を解釈し、事業影響を評価し、顧客に説明するのか」という意思決定の訓練がないと、社内外の混乱は容易に拡大します。

訓練により計画を「現実」に近づける

BCPはPlanという言葉のとおり、本質的には仮説に過ぎません。実際の危機対応下における情報は不完全であり、状況は刻一刻と変化し、想定外の問いが現場担当だけでなく経営層にも突き付けられます。どの時点で経営判断にエスカレーションすべきか、不確かな情報をどう扱うか、社外や社内にどのような情報をどのコミュニケーションチャネルを通じて発信するか、完全な復旧を待つのか、限定的に事業を再開するのか。こうした意思決定の現実を訓練で可視化することができます。

特に、出社とリモートのハイブリッドワークの浸透やクラウドなどの外部ベンダーへの依存が進む現在、平時に機能している連携が非常時にも通用するとは限りません。訓練は、組織の想定と現実のギャップを認識するための極めて合理的なプロセスです。

また、訓練を実施することで単に計画を作るだけでは見えなかった課題が浮かび上がり、現実の障害発生時に役立つ貴重な知見を得ることができます。連絡ルートの不備により本来迅速に連絡すべき担当者への情報伝達が遅延してしまった、重要システム複数台の依存関係の把握が不十分だったために先に復旧したシステムが他システムの復旧を阻害し業務復旧が遅延してしまった、このような事態を本当のインシデント対応時に経験することのないよう、定期的な訓練が必要と言えます。

経営者が関与すべき「情報連携」を軸とした訓練

訓練というと復旧手順の確認や技術的演習を思い浮かべがちですが、それだけでは不十分です。定められた手順を実行してその確からしさを確認する訓練から、情報が不完全な状況下で組織としてうまく動けるか、情報の伝達や意思決定のプロセスが機能するのかといった組織としての総合力を測る訓練が求められます。具体的には以下のような訓練方法があります。

• ブラインド型インシデント訓練：初期情報をあえて限定し、断片的な情報が徐々に集まる状況で、情報集約と判断の流れを検証する
• 経営層向け意思決定演習：事業継続や対外開示といった経営判断に焦点を当て、限られた情報下での意思決定プロセスを確認する
• 対外コミュニケーション訓練：想定記者会見、顧客説明文、規制当局への初動報告などを通じ、広報・法務・経営の連携力を試す
• 外部関係者を含む連携訓練：業務提携先、ITベンダーや委託先、グループ会社を含め、組織の境界を超えた対応力を検証する

例えば、電力会社では非常災害時における相互応援を適切かつ円滑に実施するために一般送配電事業者協働の連携訓練を定期的に実施しています。金融業界でも業界横断の訓練が実施されており、日本銀行では短期金融市場、証券市場、外国為替市場の3市場合同でのBCP訓練を定期的に実施し、災害時の業務フローを実際に確認しています。

訓練の真の価値は「組織カルチャー」を変えることにある

訓練は実施して終わりではありません。訓練を通じて得られた気付きや失敗を振り返り、BCPや判断基準に反映することで、レジリエンスは少しずつ強化されていきます。最も大きな効果は、非常時に考え、対話し、行動する組織文化の形成です。

継続的な訓練を通じて部門間の壁を超えた対話が生まれ、誰かの指示を待つのではなく自ら考え動く姿勢が育ち、「想定外」を前提に行動する文化が根付いていきます。この文化こそが、計画や手順を超えた真のオペレーショナルレジリエンスを支えます。

最後に―経営として、レジリエンスを育て続ける―

年に一度の総合演習や短時間・小規模な訓練を繰り返し、改善のサイクルを回し続ける。この地道な取り組みこそが、不確実な環境下でも事業を止めない組織づくりにつながります。オペレーショナルレジリエンスとは、危機に強い「仕組み」ではなく、危機に対応できる「組織」をつくること。その組織は、訓練によってのみ育てることができます。