大震災から10年

　こんにちは、丸山満彦です。今日2005年1月17日は、阪神淡路大震災から10年目の日です。その後も日本のみならず、世界の各地で地震が発生し、地震やその津波で多くの人が亡くなっています。心から冥福をお祈りします。そして、私たちは、無念の死をされた多くの方の志をついでいかなければならないと思います。私にとって阪神淡路大震災は、その渦中にいたという点で少し思い入れがあります。が、情報セキュリティというテーマですので、ちょっとその思い入れは胸にしまって、災害とセキュリティの話にします。

　　
　災害とくれば、災害復旧計画（DRP : Disaster Recovery Planning）や事業継続計画（BCP : Business Continuity Planning）、事業継続管理（BCM : Business continuity Management）がセキュリティの観点からは重要になってきます。災害で機能が停止又は低下している状態から、いかに早く復旧し、ビジネスを本の状態に戻すかが重要なビジネス上のポイントとなります。災害には、地震や津波、火災といった自然災害の他に、戦争やテロといった人的な災害もあります。また、最近では物理的な災害だけではなく、サイバー上の災害例えばサイバーテロというものも、あります。しかし、サイバーテロは物理的な災害と比較すると、あまりたいしたことはありません。今回はサイバーではなく物理的な災害への備えと災害が起こった場合の対応について、阪神淡路大震災の時の企業の対応を踏まえて説明します。

　私の率直な感想から言えば、当時、多くの日本企業は対応ができていなかったが、多くの海外の企業は対応ができていた。ということです。その辺の事情も比較しながら検討してみましょう。

　皆さんはまずサーバがどうだったか気になるでしょう。まずは、サーバの話です。日本のある銀行や小売業は神戸に本拠地があり、サーバも本社付近にありました。停電、ビルの損傷、コンピュータの倒壊等、結果的にかなりの日数は手作業で業務をせざる得ませんでした（それでも、できてしまうところが日本人のすごさかもしれませんが・・・）。一方、ある外資系企業は、そもそもサーバが日本にはありませんでした。日本は地震も多く、コンピュータの運用コストも高くなるため、海外にサーバを設置し、専用回線で日本と結んでいました。また、データを日本のPCに保管しないようにするルール（漏えい防止も含めて）にしていました。事務所のPCはスプリンクラーの水によりほぼ全滅となりました。しかし、データは海外にあるので、オフィスを借り、PCを買い、専用線の契約をしてしまえばまったく利用に関しては問題となりませんでした。実はオフィスを借りるのが一番の問題でした。契約するのに時間がかかるからです。まとまった面積が必要ですから、あらかじめ調査してリストを作っていたようですが、それでも契約までの時間も考えると思ったより時間がかかったそうです。事業継続計画と言う意味からはオフィスの確保も非常に重要ですね。サーバだけで仕事はできません。

　でも、本当に一番大切で、まずしなければならないのは、従業員とその家族の安否確認です。これが実は外資系企業はすごく早かった。かつ、その後の対応も早かった。多くの日本企業が従業員の安否確認の半分も終わっていない地震発生の翌日、外資系企業では、すでに安否確認は終了しており、多くの人が海外のホテルに宿泊していたという話です。鉄道や道路は壊滅的でしたから、船をチャーターして関西空港まで移動し、そこから海外へ脱出です。スパイ映画さながらの鮮やかな手はずでした。海外のホテルに行けばビジネスセンターを使って業務を継続することができます。あの地震の中でほとんど業務がとまらずに機能していたのです。

　で、二番目に重要なのは、お金です。その外資系企業は、直に本社の予算から多額の災害対策費用を予算としてつけたそうです。そのためその後の活動も非常にうまくいったようです。人が動けば金がかかる・・・・そういうものです。そのお金がいちいち申請をして、承認されて・・・という一連の作業をしなければ使えないようでは、災害時に対応できませんね。

　でも、外資系の企業にも若干の問題点があったようです。それは、外国人は海外にすぐに避難できたけど、日本人への配慮が若干不足していたということです。日本人も海外のホテルにいけたのかもしれませんが、日本人の場合は家族、知人を見捨てて海外のホテルで仕事というわけにはいきません。そういう、感情的な面への配慮は足らなかったのかもしれません。しかし、その点を除くとその用意の周到さは鮮やかなものですね。

　さて、その外資系企業は、しばらく本社機能を別の場所に移動して業務を続けていくのですが、やはり、目の前で多くの人が苦しんでいるのをよそ目に自分達だけが商売をするわけにもいきません。多くの従業員がボランティアとなって、生活必需品であり、また、当時不足していた物資である自社製品を歩いて配っていました。見方によっては販売促進活動とも取れますが、配っていた本人達はそういう思いは無かったと思います。目の前に本当に困っている人がいる。だから、そうせざる得なかった・・・。そんな感じでした。その後、他の日本企業もじょじょに元通りの活動を続けていけるようになりました。やはり、大企業は復旧が早かったですね。地域の事業所の人たちは仕事を通じて、ボランティアとして地域の復旧の支援をしていました。

　ちょっと思いが入って本筋からずれそうなので、セキュリティに戻します。災害復旧という点から思いつきでまとめます。

「天災は忘れた頃にやってくる」「備えあれば憂い無し」
　様々なことを予想して、その対処方法をあらかじめ考えておくことです。想像力の欠如があってはなりませんね。その対策を実際にするかどうかはその次の問題です。とにかく、一度考えておくことがまず重要です。予算と相談して、優先順位をつけて長期的な視野で実装していく。これが次に重要です。今まで何もしていない企業であれば、全てを満足しようとすると膨大な資金が必要となります。その時に、「これはとても我が社ではできない。」と思うのではなく、「我が社のような小さな会社にとって、最も効果的で今できるものは何か」と思ってください。千里の道も一歩からです。
　
「コンピュータが倒れていないかより人命」
　当たり前ですが、情報セキュリティだけを考えていると漏れます。人がそろわないと仕事ができない。オフィスに入れないと仕事ができない。ということを意識した災害対策が必要です。情報セキュリティが本業の人はサーバやネットワーク回線、電源の確保ということに視点がかたよりがちです。「うちのデータセンタは固い地盤の上に建設しています。震度７に耐える免震構造ですから・・・。ネットワークも電源も2系統、ディーゼル発電機もあります」。今まで多くのデータセンタを訪問したことがあります、どこでも自慢される点ですね。でも、周りの道は使えるの？、家族が亡くなっている人が翌日から仕事にこられる？、トイレは？そいうことも意識した対策が必要ですね。

「お金は大事だよ～」
　お金がある程度自由に使える環境が必要。災害復旧のためにはそういう点を見逃してはいけませんね。保険という話ではないです。災害が起こったときに直にいるお金ですから・・・。

「グローバルではなく地域」
　これは、私も実際に起こって見なければ解らなかった点です。きっと教科書にものっていない？ことです。目の前で人が亡くなっている、多くの人が住む所を失っている、火災のこげた匂い、雨の中炊き出しに並ぶ人の列、お年寄りの不安そうな目、家族や親戚を探していますという張り紙、そういう景色の中で、自分の企業だけが「さあ今日から商売だ、ライバル企業がまだ回復しない間に一気に攻勢にでるぞ」というわけにはいきませんね。今回のスマトラの災害で思ったのですが、正直にいうとやはり他人事です。神戸の震災の時のようなものとは違う。きっと、その場にいかなければ感じられないものがたくさんありすぎるのでしょう。本社はグローバルに物事を考えるところでしょう。しかし、災害が起こっているのはその地域です。そして、そこにいなければわからない多くのおことがあります。本社は機能が復旧したのだから、今日からでも商売を始めろと思うかもしれない。でも、現場ではそんな気にはなれない。現場の人は、目の前の困っている人に何かできることをしたいと思っている。そうであれば、会社としてもそれを認める。どうせ、人である限り認めなくてもするだけですから・・・。組織全体としても、こういうときは災害地域に権限を委譲させてしまうということが重要なのでしょう。それは、お金も人も業務の進め方もすべてに通じると思います。そして、それがその後の事業の復旧及び継続にとって一番重要になってくるような気がします。