ITシステムを守る「サイバーBCP」で情シスがすべき4つの対策

1. 「いつ緊急事態が発生するのか予測がつかない」からこそBCP対策は欠かせない

新生活にも慣れ、ゴールデンウィークも目前に迫り、気持ちも軽やかになる時期だ。昨年、一昨年とは異なり、緊急事態宣言やまん延防止等重点措置も発令されておらず、久しぶりに楽しみたい。リバウンドの兆しらしき動きもあるが、今年こそは少しでも家族や友人との交流が実現できるゴールデンウィークになることを期待したい。

今日のテーマは、情シスがBCP対策について何をすべきかについて解説したい。約10年前になるが、前職では首都直下型大地震を想定した災害BCPの復旧シナリオについて考え、基幹システムの運用再開手順書を作成し、連絡手段やメールなどの緊急時対応についてバックアップ施設を構築した。特に東日本大震災の経験をしていたこともあり、全員が被害を受ける中、何ができるのか、どうしたら業務を復旧できるのか、現実の問題として取り組んでいた。今年になって南海トラフ地震が心配になってきている。最優先すべきは人命であるが、システムの復旧手順については平時に考えるべき作業だと思う。さらに、サイバー攻撃による被害からの復旧についても、考えてみてはどうだろか。

BCPは「Business continuity plan」の略で、日本語では「事業継続計画」と呼ばれる。
地震などの災害発生時にビジネスを継続できるよう、あらかじめ計画を立てておくことだ。災害による被害を最小限に抑えるとともに、事業をできる限り中断せずに済ませることを目的としている。

日本では地震や台風などの自然災害が多発し、いつ緊急事態に遭遇するかの予測がつかない。そのため企業はいかなる場合においても事業への影響を最小限にとどめ、早期復旧を行えるように対策を練るというわけだ。さらに、ITシステムのBCPについては、近頃増加しているサイバー攻撃への対策として重要視され注目されている。災害BCPは、被害状況が目に見えるため、社員同士が共有しやすい環境だが、サイバー攻撃は、「見えない脅威」で被害が出るため、被害の状況把握が難しくなっている。さらにシステムを復旧させるタイミングが困難である。感染箇所の特定と再発防止の観点から対応力が求められている。

2. 自然災害、サイバー被害におけるITシステムのリスク

自然災害、サイバー被害が発生した時、ITシステムには具体的にどのようなリスクがあるのか。自然災害が発生すれば、ガスや水道、電力などの社会インフラが途絶してしまう恐れがある。特に停電が起こった場合にはパソコンが使えない。自家発電による救済があっても燃料次第では長くもたない。いずれネットワークは停止し、システムが機能しなくなるということも考えられる。また交通機関がストップし、社員が出社できない状況となり、システム復旧さえ難しくなることも考えられる。そうなると通常通りの業務が行えなくなるばかりでなく、顧客や取引先など多方面へも影響をおよぼすことになりかねない。

一方、サイバー攻撃によるものであれば、システムへの侵入や改ざんなど、重大なインシデントに発展する恐れもあり、顧客情報、機密情報の漏えいが起これば信用問題にも発展し、取引先や社内利用者への波及的な影響をおよぼしかねない。

3. ITシステムを守るBCP対策（サイバーBCP）とは

災害BCP対策とともに近年注目を浴びているのがサイバーBCP（情報システム運用継続計画）だ。BCPが緊急事態における事業を継続させるためのものに対し、サイバーBCPはITシステムの運用を維持し、ITシステムを守るための対策になる。サイバーBCPは社内全体に関わるITシステムを対象とするため、情シス部門が担当になる。

地震などの災害リスクに比べ、サイバー攻撃によるITリスクが発生する恐れは年々高まっている。ITシステムに異常をきたせば、それを利用する全ての業務が影響を受けることになるからだ。このようなIT特有のリスクを回避するためにも、災害BCPとの整合性を考えサイバーBCPも策定しておきたい。

サイバーBCPを策定するということは、事業を継続させる＝会社を守ることである。緊急事態でも事業の早期回復を行える企業であれば、取引先や顧客への影響も少なく、信用度が高まり企業評価の向上にもつながる。だからこそ、情シスの役割がかなり重要というわけだ。ITシステムについて誰がどのように利用するのかまで考えた計画が必要であり総合的な策定が重要かと考える。

4. ITシステムを守る情シスの役割…4つの対策

緊急事態に備えITシステムを守るために、情シス担当者はどのような対策を取る必要があるのかを考えてみたい。

①正しい方法でバックアップを行う

BCPの基本的な施策は、データのバックアップを行うことである。企業にとって顧客情報や機密情報といったデータは重要な資産だ。そのデータが消失すれば事業継続はおろか企業存続さえ危ぶまれることになる。例えばランサムウェア攻撃からの対策としては定期的なバックアップはもちろんのこと、データの保存先にも注意が必要である。

バックアップデータをサーバと同じ場所に保存すると、サーバに被害があった際、データも喪失してしまう可能性があるからだ。そのためデータ保存には媒体をネットワークから切り離し、世代管理を行う方式がある。最低でも３世代管理をすることをお勧めする。またクラウド上のストレージを利用するやり方も推薦するが、クラウド上の設定については経費、運用性重視だけでなく、保存先が国内でない場合や、セキュリティ対策についても十分確認することをお勧めする。

②インシデント発生における初動対応と連絡体制の構築

自然災害によるシステム被害やサイバー攻撃によってネットワークに被害があれば、電話やメールといった連絡手段が断たれる。連絡手段が断たれれば従業員の安否確認ができず、また復旧へ向けての従業員同士の連携も難しくなる。こういった事態に備え、安否確認や一斉メールができる代替ツールを準備しておく必要がある。特にサイバー攻撃によるものでネットワークが使用できなくなった場合、社員からの問い合わせはヘルプデスクに集中するため、被害状況をどこで周知するのがよいか、想定されるシナリオから考える必要がある。緊急時には誰がどのように指揮を執り指示を出すのか、業務部門と連携し、指揮系統をしっかり決めておくことが重要である。こうした体制をあらかじめ構築しておけば、有事の際にも混乱をきたさず早期復旧に向けて取り掛かることができる。

③代替機の用意

代替機は、通常利用しているものとは異なるOSやサーバを利用したほうがよい。同じリソースを利用していると、同時に使えなくなる恐れがあるためだ。代替機を運用する注意点としては、普段使用していない環境にしておくと、緊急時に接続した際、OSのバージョンアップが要求されることがある。そのようなことがないように代替機を常に最新の状態にしておく必要がある。東日本大震災の時の話だが、予備に保管していたPCを起動した瞬間にアップデートが開始され落ち着くまでに時間がかかり、かなり焦った記憶がある。

④サイバー攻撃を受けた場合の対応・優先度をまとめておく

初動対応では、サイバー攻撃による被害の大きさ、範囲を把握することが大切である。サイバー被害における対策本部を設置し状況把握が重要なことはわかっているが、最優先すべきは攻撃を止めることである。攻撃が続いているにもかかわらず通常の運用を行ってはいけない。さらに関連部署、全社員への周知を迅速に行うことが大切である。特にリモート環境での社員からは情シス（ヘルプデスク）への問い合わせが多くなる。これらを踏まえて、誰が何をするかあらかじめ決めておくことをお勧めする。

5. まとめ

自然災害は、人が同時に感じ、脅威について共有ができるため、自主的な行動で対応が進むことがある。一方、サイバー攻撃の場合は、自然災害とは違って共通の体感を得にくい部分があり、初動の遅れが発生する。さらに被害範囲を把握するまでに時間を要することが想定されるため、ダメージが大きくなってしまっている。可能であれば、サイバー攻撃による被害を把握するだけでなく、復旧について対応できる体制を作っておくことをお勧めする。

平時の時にサイバーBCPについて考えておくことは、社員と自社を守り、ひいては社会的責任を果たすことにもつながるのである。