ビジネスインパクト分析は、災害トラブルによって業務が停止した場合に事業が受ける影響を分析・評価するプロセスです。災害発生時の脅威の可能性と、その脅威がビジネスに与える影響を評価します。事業継続計画を立てる際に必要なプロセスであり、災害時には復旧に充てられるリソースも限られてくるので、何が最もビジネスに影響し、何から復旧し始めなければならないのかを特定しておく必要があるのです。
そのサービスが重要であるほど、迅速な復旧が求められる。
ビジネスインパクト分析の要素や関係性を特定する際の効率的な方法は、現在の会社のビジネスがどのように機能しており、誰が専門の知識を持っているかを特定することです。つまりは、ご意見番を探します。そして、そのビジネスにとって機能していなければならない要素やその優先順位を聞き出しましょう。教科書的な知識から会社とはこういうものだよねという前提で話を進めると、組織独自の事情が出てきてしまい、大きなギャップを感じるはずです。「分かる人に聞け!」というかなり投げやりなアドバイスになってしまいましたが、事実、企業の構造を知っている人を探したほうが早いのです。
特定された後は、各リスクに対してビジネスにとってどの程度の影響があるかを調べます。このプロセスは、リスク分析とよく似ていますが、リスク分析は個々の資産に焦点を当てているのに対して、ビジネスインパクト分析はビジネスプロセスやタスクに焦点を当てています。
どの程度ビジネスに影響を及ぼすのかを知る方法の一つは、その要素が無くなってしまったときに、どのくらいシステム稼働に影響するのかを把握することです。つまりは、システムの稼働率を把握します。システムの稼働率を算出するときには、平均故障時間と平均修理時間を特定します。平均故障時間とは、新規または修理されたシステムが、故障するまでの平均期間です。平均修理時間とは、故障したシステムを復旧させるのにかかる平均時間です。そして、稼働率とはシステムのサービス提供稼働時間の比率を指し、平均故障時間を平均故障時間と平均修理時間を足し合わせたもので割ったパーセント値です。この稼働率はそのシステムの信頼性を示すものでもあります。
平均故障時間や平均修理時間は、通常運用においてどれだけの稼働を担保できるのかを測るものです。もしも予想していないような災害が起きたら、どれだけ早く復旧することができ、どのタイミングの状態に復旧すべきなのかを把握しておくことも必要になるでしょう。この場合には、災害が発生した時点から復旧までの4つの時点を抑えておく必要があります。1つ目は、障害地点から最も近いバックアップの時間です。2つ目は、障害発生の時間です。3つ目は、クリティカルな部分を復旧し何とか稼働に持っていけた時間です。4つ目は、すべてのデータを復旧し通常運用に戻せた時間です。
障害発生から最新のバックアップまでの時間を目標復旧時点(RPO)といい、復旧しても失ってしまうデータの期間を指します。この期間に変更・追加されたデータは復旧できないと想定できます。こちらはバックアップ計画を検討し、なるべく継続コストをかけずにバックアップスパンが開かないようにしましょう。障害発生からクリティカルな機能を復旧できるまでの目標時間を目標復旧時間(RTO)と言います。つまり、障害が発生した場合に、その機能を復旧させるために必要な時間です。そして、クリティカルな機能のみの運用から通常運用に戻すまでの時間を業務復旧時間(WRT)と言います。
これらの関係性をまとめると、通常運用に戻すまでの時間は、目標復旧時間と業務復旧時間を足し合わせた時間になります。もしもこれが、事業の停止を許容できる最長時間であり復旧のタイムリミットでもある最大許容停止時間(MTD)を超えているのであれば、そもそも計画として破綻していることを示しています。