金融機関におけるデジタルレジリエンスの実効性を確保するための主要な論点

1. End-to-Endでのバックアップシステムの課題と対策

重要なシステムには通常、バックアップシステムが設けられています。しかし、バックアップシステムにはさまざまな設計思想が存在し、その内容には大きな違いがあります。

例えば、一部のバックアップシステムは本番環境と同等の長期運用を想定し、恒常的な代替手段として機能するよう設計されています。一方で、緊急時の一時的な避難先として機能することを目的としたバックアップシステムもあります。特に後者の設計では、一時的な障害からの迅速な復旧を目的としており、メインシステムの速やかな回復を前提としています。そのため、周辺システムとの連携が未実装であることや、月末処理や年度末処理が実行できないなどの制約があり、長期にわたるメインシステムの停止に対応できないケースが存在します。

重要業務をEnd-to-Endで考慮すると、複数のシステムが関与しますが、一部のシステムでバックアップが長期稼働可能であっても、全体としての一貫性が欠ける状況が生じることがあります。さらに、想定されるシステム中断シナリオによっては、メインとバックアップの稼働が混在するケースもあり、どのシナリオが実現可能であるかが不明確な場合もあります。このような状況は、バックアップシステムが存在するにもかかわらず、実際に切り替える選択肢として機能していないことを示しています。

このため、バックアップサイトへの切り替えパターンを整理し、想定する中断シナリオと求められる期待値（例えば、長期にわたる本番稼働が必要かどうか）を踏まえた点検が必要です。

また、机上の計画だけではなく、実際にテストを実施し、バックアップシステムが適切に機能するかどうかを検証することが、その実効性を確保し、インシデント発生時の対応策として有効であることを保証する上で重要です。

2. 対応プロセスの形骸化への対策

多くの金融機関は、これまでのレジリエンス関連の活動を通じて、一定の対応プロセスを整備してきました。しかし、IT／デジタルのインシデント検知から影響や原因調査、対策の検討、復旧の実施に至るまでの対応プロセスが形骸化し、その目的を果たせないリスクも考慮が必要です。この形骸化は、対応プロセスの内容が現場の実態と整合していないこと、リモートワークのような働き方の変化、人事異動による対応プロセスの認知不足やスキルの未獲得、未経験の担当者によるプロセス順守の軽視、正常性バイアスによる対応の遅れなど、さまざまな要因によって引き起こされます。

このため、対応プロセスが現場の実態を踏まえて機能する設計になっているか最適化を継続して行うことが重要になります。その上で、障害発生頻度が高いシステムより安定稼働のシステムの方が、インシデント発生時の対応を失敗しやすいと言われる通り、各担当者がインシデント対応を実体験することが大変重要であり、それに資する実地訓練を実施することが何より重要です。

例えば、次のような工夫などを盛り込み、各担当者が当事者意識をもって取り組める仕組みとすることが一案です。

3. 障害対策に必要なリソースの確保

ITコストの削減と人員削減が進む中、障害対策に必要なリソースに影響が出ていることがあります。これにより、対策や対応要員の不足が原因で、適切なインシデント対応が難しくなり、結果として重要業務に求められる耐性度の実現が難しくなります。

具体的には、システム構築時において、リリース期限の圧力やコスト削減の影響で、冗長性の確保や影響調査のためのログ設計、復旧機能が省略されることがあり、非機能要件の実現が不十分になるリスクがあります。
また、製品サポート契約が不足していることにより、インシデント発生時の迅速な調査や対応ができない状況も生じます。古いバージョンのソフトウェアの利用やパッチの未適用は障害の原因となり得るだけでなく、復旧時間の長期化につながるリスクをもたらします。

システム環境の面では、適切な検証環境がないことで、十分な調査や復旧テストが実施できない状況もリスクとして考慮する必要があります。

人的リソースに関しては、システム構造やビジネスへの影響を理解できる有識者の不足が問題となります。有識者が少ないため、負担が集中し、その担当者が不在の際には対応が困難になるリスクがあります。また、休日や夜間の対応体制が不明確なことも、実際に障害が発生した場合に対応が遅れる原因となります。

これらの問題に対処するためには、システムやその構成要素において、重要度に応じたレジリエンスに関するリスクを正確に評価し、インシデント発生時の対応に必要なリソースの十分性を検証することが必要です。十分性を検証するための観点の一例は、次の図の通りです。

これらの確認は、オペレーショナル・レジリエンスの基本動作と呼ばれる相互連関性マッピングと適切性の検証の活動において、併せて実施していくことが考えられます。また、大きなシステム更改や組織変更の場合には適時に見直すことも重要であり、レジリエンスの取り組みとして組み込むことが重要です。

4. サードパーティリスクへの対応

昨今の外部サービスへの依存が拡大する状況において、サードパーティリスク管理はレジリエンスと密接に関連した論点になります。特に外部サービスの中断への対策、調達したハードウェアやソフトウェアの不具合などへの対策が重要になると考えられます。

外部サービスの利用においては、サービスプロバイダーが提供するレジリエンスの仕様が自社の要求水準を満たしているかどうかが重要です。そのため、サービス選定時に、プロバイダーのサービスレベルと自社のニーズとの適合度合いを評価する必要があります。また、運用開始後も定期的なパフォーマンスのモニタリングとリスク評価を行い、プロバイダーとのコミュニケーションを密にすることでその実効性の確保に努めます。また、特に重要なのは、外部サービスが中断した際の自社の対応計画を整理することです。これには、外部サービスの中断が自社システムに与える影響を最小限に抑える対策や、復旧手順を事前に策定しておくことが含まれます。例えば、外部サービスを切り離して自社システムを継続運用できるような計画や、復旧後のデータを投入する手順などが挙げられます。

ハードウェアやソフトウェアの利用においては、製品の不具合情報や修正パッチの提供、不具合が疑われる際のサポートの十分性を確保し、問題が発生した際に迅速に対応できるプロセスを確立することが重要です。

5. IT環境複雑化への対策　

デジタル化の進展や市民開発などのユーザー主導の取り組みが進むにつれて、IT環境の複雑性は増しています。これにより、外部サービスとの接続を含むネットワーク構造の完全な理解が難しくなり、IT部門でさえも全てのシステムの詳細を完全に把握することが困難になるリスクがあります。この状況は、緊急時における影響分析や暫定対応策の策定、そして効果的な復旧手段の実施を著しく困難にします。

このような背景のもと、次の課題への対応が重要となります。

（1） ITアーキテクチャの可視化
多様なシステム構築により、ハードウェアやソフトウェアの構成や、ネットワーク構成の全体を、把握しにくい状況が想定されます。IT部門が管理するシステムに限らず、システム構成管理を徹底させていくことが重要になります。また、自社のシステム全体像を示す全体図のメンテナンスが追い付いていない場合もあるため、改めて注意が必要です。

（2） データフローの可視化
ITアーキテクチャと同じく、多様なシステムが存在することで、データフローもまた複雑化しています。データフローが十分に可視化されていない場合、システム障害やサイバーインシデントが発生した際の影響の把握や復旧の優先順位の決定が困難になり、迅速な対応ができなくなるリスクがあります。

（3） 復旧計画の整合性
重要な業務を支える複数のシステムにおいて、復旧の順序が複雑化している可能性があります。例えば、ビジネス側の要求に基づく耐性度と、システムやデータ処理の制約を考慮した対応策が一致しない場合、インシデント発生時に復旧方法を決定するのに時間がかかることが懸念されます。さらに、復旧目標時点（RPO）がシステムごとに異なる場合、それに応じた復旧手順やデータの再処理が必要になりますが、インシデント発生時にこれらを調査し検討することは困難です。そのため、事前に復旧パターンを整理し、計画としてまとめておくことが推奨されます。

これらの課題に対応するためには、ITアーキテクチャの定期的なレビューと更新、データフローの簡素化と標準化、復旧プロセスの優先順位付け、そしてRPOの明確化とそれに基づくバックアップ戦略の策定が必要です。これにより、複雑化するIT環境でも、迅速かつ効果的な緊急時の対応が可能になります。

6. 情報共有・連携に関する対策

ITが業務やサービスの中核を担う現在において、ITサービスの中断に関する情報発信はますます重要になっています。外部利用者への適切な情報提供と、社内での経営陣を含む迅速かつ効果的な情報共有は、組織のレジリエンスを維持するために欠かせない取り組みです。

インシデント対応時に関係者からしばしば指摘される不満には、情報発信の遅れや内容の不足があります。これらは、情報発信のタイムリーさと内容の充実に関するものであり、関係者の高まる期待に応えるために継続的な改善が求められる課題です。

さらに、情報共有・連携の懸念点として、IT部門への問い合わせが集中し、復旧作業に支障をきたすリスクもあります。このため、復旧対応の実務面からも情報共有・連携は重要な課題と言えます。

外部利用者向けと社内向けの情報発信について、対策の考え方をご紹介します。

（1） 外部利用者向けの情報発信
インシデントの影響の程度に応じた情報発信の頻度、担当者、および内容を事前に整理し、パターン化しておくことが重要です。これまでに自然災害対応の計画をすでに策定している場合もあると思われますが、システム障害やサイバーインシデントについても同様に対策を講じることが推奨されます。この際、システムが使用不能になる可能性も想定し、利用形態を考慮しながら、複数の発信手段を用意しておくことが必要です。

（2） 経営陣や社内向けの情報連携・共有
情報連携・共有に関するプロトコルを明確化します。多くの場合、初報に関して整理済みであることが想定されますが、実際に機能する内容であるか再点検するとともに、次報以降の情報提供のルールも含めて、関係者がプロセスを理解し実行できるように取り組みます。さらに、インシデントの影響や対応状況をリアルタイムで共有できるようにダッシュボードを導入するなど、情報連携・共有の効率化を図ることも有効です。ダッシュボードの導入には専用のソリューションを活用のほか、社内SNSなどを利用する方法も考えられます。

このように、利用者や経営陣、社内に対して迅速かつ一貫した情報提供を実現することは、信頼性の高いITサービスを提供し、組織のレジリエンスを維持するために非常に重要です。したがって、本記事で紹介した各課題の中でも、優先して取り組むべき点として推奨されます。

さいごに

IT／デジタルのレジリエンスは、デジタル化が進む現代の企業活動において、その重要性が増しています。本記事で取り上げた各課題に対する理解を深め、適切な対策を実施することは、予期せぬ事態に柔軟に対応し、事業の継続を図る上で不可欠です。本記事の内容が、実際の対応策を検討する際の参考となり、デジタルレジリエンスの活動の一助となれば幸いです。