クラウド？！クラウド？！ってこと！？はぁ？！

東日本大震災の後、自社の情報システムが正常であったにもかかわらず、利用部門で業務に支障を来した事例を多数聞いた。興味深いことに、そうしたトラブルを経験した企業のほとんどが、社員のITリテラシーが高く、合理的なセキュリティポリシーが社内に浸透している企業だった。

第3回 セキュリティポリシーが事業継続を妨げた | 日経 xTECH（クロステック）

社員のほとんどは、業務用ノートPCや業務用携帯端末を机の引き出しに入れて、施錠して会社を後にした。この企業では、退社後に飲酒や個人的な用事があるなど、紛失や盗難の可能性が高まるときは、業務用ノートPCや業務用携帯端末を持って帰宅することを禁止していた。
そして、交通機関の混乱の中を数時間以上も歩いて帰宅することを覚悟した社員たちが、このルールを順守して業務用ノートPCと業務用携帯端末を持たずに帰宅したのは当然のことであった。

第3回 セキュリティポリシーが事業継続を妨げた | 日経 xTECH（クロステック）

ところが前述したように、業務用ノートPCや業務用携帯端末を自宅に持ち帰った社員はまれであった。週明けの交通状況を察して、土日の間に自家用車で出社し、月曜日からの在宅勤務に必要な物を持ち帰った社員もいたが、そのようなことができたのは少数にとどまった。そうした社員が、気を利かせて同僚のノートPCを持ち出して届けようにも、引き出しには鍵がかけられていた。
そもそも同僚の電話番号が分からずに連絡さえ取れない社員がほとんどだった。この企業では、社員が個人所有の携帯電話に同僚や取引先の電話番号を登録することを禁止していたからである。
月曜日になると、多くの社員は出社困難に陥った。出社できない社員は、月曜日に予定していた業務のほとんどに手をつけることができなかった。一番深刻だったのは、その状況を同僚や顧客に伝える手段がほとんどないことだった。個人所有の携帯電話から自社や取引先の代表番号に電話をかけるぐらいしか手段が無かった。会社のアドレスに届いた電子メールの確認も、業務ツールへのログインも、ファイルサーバーへのアクセスも一切できなかった。
結果、情報システムが被害を受けなかったにもかかわらず、業務に大きな遅延が発生した。前述したように直接の原因は、業務用ノートPCや業務用携帯端末の持ち出しポリシーや、保管場所に鍵をかけるルール、業務情報の漏洩防止ポリシーといった、お手本のような運用を徹底していたことにあった。
平時には情報システムを守ってきたセキュリティポリシーが、有事への配慮に欠けていたために発生した問題である。情報システムの可用性や情報セキュリティを高めることが、BCP（事業継続計画）にとっては裏目になり得るという教訓でもある。

第3回 セキュリティポリシーが事業継続を妨げた | 日経 xTECH（クロステック）