ESET/マルウェア情報局

自然災害やテロが起きたとき、セキュリティー対策はどうすればいい?

  • この記事をはてなブックマークに追加
  • 本文印刷

 本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載されたIT-BCPを策定し、サイバー攻撃時の事業継続を可能にを再編集したものです。

BCP(Business continuity planning、事業継続計画)とは

 災害など事前の予測が極めて難しい事態が起こったときでも、その損害を最小限に抑えるとともに、事業の中断を最小限に抑えるための方針や体制、手順を示した計画がBCP(Business Continuity Plan)である。BCPが注目を浴びるきっかけとなったのは、2001年のアメリカ同時多発テロ。そして2011年に発生した東日本大震災の際には多くの企業が一時的にでも業務停止に追い込まれるなど、改めてBCP策定の重要性が着目されることとなった。

 BCPは、基本方針の策定から教育・訓練の実施、見直しと多岐にわたるため、容易にできるものではない。しかし、東日本大震災を教訓に、事業継続対策を取引条件とする完成品メーカーは多く、BCP策定は競争優位性にもつながる。その他にも、融資の際の利率や保険の契約条件において優遇措置があるなど、BCPの策定は有事のとき以外にも多くのメリットがあることを頭に入れておきたい。

高まるIT-BCP対策の重要性

 結果的に大規模な災害を期に注目されることになったBCPだが、企業のシステム活用が進むのに合わせ、ITに特化したBCP対策も合わせて重要視されるようになった。システムを災害から守るというのはもちろんのこと、増加の一途をたどるサイバー攻撃からシステムを守るという視点も重要となる。つまり、地震や津波、火災や落雷などの災害に加えて、故障や誤動作、そしてサイバー攻撃までシステムの継続に影響を与えうるさまざまなリスクに対し被害の最小化と、必要な対策を計画することまでがIT-BCPの範囲となる。

 近年では、クラウドサービス上のITサービスを利用する企業も多いことだろう。クラウド事業者は自社のシステム停止が業務継続を困難にすることもあり、入念なIT-BCP対策を講じていることが多い。クラウドサービス事業者の中には、事業継続性を高めるために、データセンターを災害の多い日本ではなく海外に設置することや、国内外での冗長的な運用といった対策を講じている事業者もある。こうした対策により、クラウドサービスの利用が、サイバー攻撃へのセキュリティ強化や、大規模災害時のサービス提供継続を可能にしている。クラウドサービスを選定する際は、どのようなIT-BCP対策をとっているかも選定基準とすべきだろう。

IT-BCPの策定手順

 それでは具体的に、どのような手順でIT-BCPを策定していけばよいのだろうか。自社で独自に策定していくのであれば、IT-BCPに限らず国や業界団体が公表しているガイドラインを参考にするといいだろう。経済産業省や内閣府が一般的な企業のBCP対策に対するガイドラインを公表しているほか、中小企業であれば中小企業庁の「中小企業BCP策定運用方針」も役に立つ。日本自動車部品工業会や日本建設連合会、不動産協会といった様々な業界団体でも、BCPのガイドラインを公表している。

 IT-BCPであれば、内閣官房情報セキュリティセンターが公表している「中央省庁における情報システム運用継続計画ガイドライン」を参考にしたい。「中央省庁における情報システム運用継続計画ガイドライン」ではIT-BCPの策定手順を以下のように定めている。(以下、項目部分は資料からの引用)

1.基本方針の決定
 IT-BCPの対象範囲を定めたうえで、優先するべき重要システムなど、関係者の間で基本方針を合意形成する。サイバー攻撃を焦点にするのであれば、そうした方針について経営者を含めた関係者から合意を得る必要がある。

2.実施・運用体制の構築
 IT-BCPの対象範囲を踏まえつつ、必要となる担当者を決定する。IT-BCP策定にあたり関係部門を明確にし、指示命令系統やプロジェクトに関わるメンバーとのコミュニケーション方法を確立する。

3.想定する危機的事象の特定
 発生の確率と業務への影響を考慮し、対象とする危機的事象を決定する。当初からすべての災害などを対象にするのは時間や費用の面から現実的ではない。サイバー攻撃のリスクを危機的事象として優先的に対応するというのもひとつの考え方である。

4.被害状況の想定
 被害があった場合の状況をあらかじめ想定しておく。また、どういった場所が被害を受ける可能性があるかも割り出しておく。サイバー攻撃であれば、ウイルス被害DDoS攻撃といった具体的なサイバー攻撃を受けた場合、どこに被害が生じるかを想定すればよいだろう。

5.情報システムの復旧優先度の設定
 非常時に優先するべき業務を支える業務システムを洗い出し、目標復旧時間(RTO:Recovery Time Objective)を設定する。事業継続において優先させるべきシステムは事業内容によって当然ながら異なってくる。どのシステムを優先対象とするかは全社の担当者を収集して決定しておくことが必要となる。

6.情報システム運用継続に必要な構成要素の整理
 IT-BCP対策において優先する業務システムを継続させるために必要な要素(ネットワーク、データベース、ハードウェア)を整理する。整理した構成要素ごとに、RTOに基づき、どのような復旧対策をおこなっていくかという目標対策レベルを設定する。

7.事前対策計画の検討
 現状の情報システム環境や予算等を考慮し、目標対策レベルに近づけるための具体的な策を、要素(ネットワーク、データベース、ハードウェア)ごとに検討する。合わせてシステムの継続を困難にする可能性のある脆弱性を把握する。

8.非常時の対応計画の検討
 平常時における業務システムの運用体制を踏まえ、実際に被害を受けた場合の非常時の運用体制を整備する。復旧するべき情報システムの優先順位、復旧手順、責任者や担当者を定める。

9.訓練・維持改善計画の検討
 取り組むべき訓練の内容や対象範囲を定める。非常時の対応計画を踏まえて訓練をおこない、そこで得られた気づきを修正・改善に役立てる。

 今回参考にした「中央省庁における情報システム運用継続計画ガイドライン」は省庁での取り組み状況を公開した資料となるが、細部までルールに落とし込まれており、企業の規模を問わず、計画策定にあたって十分参考にできるものとなっている。

主なIT-BCP対策

 ここまで述べてきたように、IT-BCPはサイバー攻撃やその他の災害に耐えうる対策をするだけにとどまらず、事業を継続するための計画全般に対する活動が求められる。しかし、狭義のIT-BCPとして、脅威に対応するための具体的な対策のみを指すこともある。ここでは、狭義のIT-BCPの対策に焦点を絞って、事業継続を実現するための代表的な対応策を紹介する。

-バックアップ
 最も基本的なIT-BCP対策がバックアップといえるだろう。バックアップを取得しておけば、万が一サイバー攻撃などでデータ消失やウイルス被害にあったとしても、データを元通りに復旧することができる。データのみをバックアップするのではなく、システム全体のイメージバックアップを取得しておけば障害発生時の復旧も迅速化が可能だ。策定の際には目標復旧時間(RTO:Recovery Time Objective)と目標復旧時点(RPO:Recovery Point Objective)についても議論を重ねておきたい。大容量データになればバックアップにも時間がかかるため、フルバックアップをとったあとは差分のみをバックアップするなど、バックアップの時間を短縮するための工夫も必要となるだろう。

-バックアップデータの遠隔地保存
 取得したバックアップデータを、サーバーと同じ場所においておくことは、障害時に迅速なデータ復旧を可能とする半面、災害発生時に建物が倒壊してしまった場合は、サーバーと一緒にバックアップデータを喪失してしまうことにもなりかねない。このため、バックアップデータの遠隔地への配置も考慮する必要がある。近年では、バックアップをクラウド上にもたせる、クラウドバックアップという手法も登場しており、BCPとして有効な対策のひとつといえるだろう。

-システムの二重化
 同じシステムを二系統構築し、稼働系と待機系にわけて運営する。稼働系と待機系は、リアルタイムにデータ同期させ異なる拠点で運用する。これにより、障害発生時には、バックアップデータの復旧といった手間や時間をなくし、稼働系やから待機系に切り替えるだけでシステムの継続が可能となる。耐障害性が最も高いシステム構築方法だが、その分コストも膨らむことになる。最近のクラウドシステムには、このようなシステムの多重化がサービスの中に標準的に装備されている例もある。

IT-BCPを実現するためのポイント

 IT-BCPを策定するためには組織的な対応が必要となり、投資負担も決して少なくない。加えて、サイバー攻撃や大規模災害はいつ発生するかわからないため、経営的にはIT-BCPへの投資は利益を生み出さないコストとみなしがちだ。しかし一方、何かしらの有事が発生した時に事業が停止すれば、取引先からの信頼を失い、事業の存続は危機的になる可能性は否めない。事業のシステム依存度が高まっているなか、いつまでも「想定外」では済まされないのだ。ここでは、実現性の高いIT-BCP策定を実行に移していくためのポイントを解説する。

-経営者が積極的にBCP策定に関与する
 IT-BCPの実現には、経営判断がつきまとう。ビジネスの中断を許容できる時間はどの程度なのか、どの程度の予算をIT-BCP対策に振り向けることができるのか、こうした判断は経営者しかできない。IT-BCPの策定に、経営者を巻き込むことは必要不可欠である。

-予算に応じて中核事業に絞った実現性の高い計画とする
 IT-BCP対策を実現するために、すべてのシステムを対象にすれば時間も費用も莫大なものとなり、実現性は薄れてしまう。会社の存続を左右する中核事業や、どうしても必要となるシステムに絞って対策を講じるべきである。「選択と集中」の観点がなければ、有事に優先順位をもって判断・実行していくことはできない。

-従業員の理解と訓練を徹底する
 IT-BCPの重要性について従業員から理解を得るために十分なコミュニケーションをとる必要がある。事業継続は会社の存続にも影響を与え、雇用にも影響を与えうることを従業員が理解し「自分ごと化」するための教育が必要になる。そうすることで、実効性あるBCP策定につながり、有事における行動も変わってくるだろう。

サイバー攻撃による事業中断リスクは年々増加

 IT-BCP策定において近年、サイバー攻撃のリスクを考慮する必要性が高まってきている。ポイントはふたつの「サプライチェーン」である。ひとつは物流面での「サプライチェーン」である。完成品メーカーでは先述のように、先の大震災を教訓に、サプライチェーン断絶のリスクを回避するべく対策を講じている。すなわち、有事の際に事業停止状態を最小限に抑えることができない企業をリスクとみなし、取引をおこなわないという選択を取ることがあるのだ。

 そして、もうひとつはサイバー攻撃の手法としての「サプライチェーン攻撃」だ。企業を狙うサイバー攻撃は年々増加しており、中小企業を経由して最終的に大企業を狙うのが「サプライチェーン攻撃」である。この攻撃への対処として、大企業ではサイバー攻撃対策が十分に整備されているかも取引時の要件とするケースが増えてきている。

 サイバー攻撃は巧妙化・高度化し続けている。ターゲットも大企業にとどまらず、規模が小さな企業でも安心することはできない。どのような企業でもサイバー攻撃のターゲットになる時代である。重要なことは、サイバー攻撃での被害を最小限に抑えるセキュリティ対策を講じること。そして仮にサイバー攻撃を受けても事業を存続できる備えをすることである。企業が長期的な成長戦略を描くためにも、IT-BCPは必須の対策といえるのではないだろうか。