情シスが抱えるITインフラやネットワーク、セキュリティの悩みを解決するメディアサイト情シスが抱える悩みを解決するメディアサイト

ITシステムを守る「サイバーBCP」で情シスがすべき4つの対策

情シス
熱海 徹 氏
この記事の内容
1.「いつ緊急事態が発生するのか予測がつかない」からこそBCP対策は欠かせない
2. 自然災害、サイバー被害におけるITシステムのリスク
3. ITシステムを守るBCP対策(サイバーBCP)とは
4. ITシステムを守る情シスの役割…4つの対策
5. まとめ

1. 「いつ緊急事態が発生するのか予測がつかない」からこそBCP対策は欠かせない

新生活にも慣れ、ゴールデンウィークも目前に迫り、気持ちも軽やかになる時期だ。昨年、一昨年とは異なり、緊急事態宣言やまん延防止等重点措置も発令されておらず、久しぶりに楽しみたい。リバウンドの兆しらしき動きもあるが、今年こそは少しでも家族や友人との交流が実現できるゴールデンウィークになることを期待したい。

今日のテーマは、情シスがBCP対策について何をすべきかについて解説したい。約10年前になるが、前職では首都直下型大地震を想定した災害BCPの復旧シナリオについて考え、基幹システムの運用再開手順書を作成し、連絡手段やメールなどの緊急時対応についてバックアップ施設を構築した。特に東日本大震災の経験をしていたこともあり、全員が被害を受ける中、何ができるのか、どうしたら業務を復旧できるのか、現実の問題として取り組んでいた。今年になって南海トラフ地震が心配になってきている。最優先すべきは人命であるが、システムの復旧手順については平時に考えるべき作業だと思う。さらに、サイバー攻撃による被害からの復旧についても、考えてみてはどうだろか。

BCPは「Business continuity plan」の略で、日本語では「事業継続計画」と呼ばれる。
地震などの災害発生時にビジネスを継続できるよう、あらかじめ計画を立てておくことだ。災害による被害を最小限に抑えるとともに、事業をできる限り中断せずに済ませることを目的としている。

日本では地震や台風などの自然災害が多発し、いつ緊急事態に遭遇するかの予測がつかない。そのため企業はいかなる場合においても事業への影響を最小限にとどめ、早期復旧を行えるように対策を練るというわけだ。さらに、ITシステムのBCPについては、近頃増加しているサイバー攻撃への対策として重要視され注目されている。災害BCPは、被害状況が目に見えるため、社員同士が共有しやすい環境だが、サイバー攻撃は、「見えない脅威」で被害が出るため、被害の状況把握が難しくなっている。さらにシステムを復旧させるタイミングが困難である。感染箇所の特定と再発防止の観点から対応力が求められている。

2. 自然災害、サイバー被害におけるITシステムのリスク

自然災害、サイバー被害が発生した時、ITシステムには具体的にどのようなリスクがあるのか。自然災害が発生すれば、ガスや水道、電力などの社会インフラが途絶してしまう恐れがある。特に停電が起こった場合にはパソコンが使えない。自家発電による救済があっても燃料次第では長くもたない。いずれネットワークは停止し、システムが機能しなくなるということも考えられる。また交通機関がストップし、社員が出社できない状況となり、システム復旧さえ難しくなることも考えられる。そうなると通常通りの業務が行えなくなるばかりでなく、顧客や取引先など多方面へも影響をおよぼすことになりかねない。

一方、サイバー攻撃によるものであれば、システムへの侵入や改ざんなど、重大なインシデントに発展する恐れもあり、顧客情報、機密情報の漏えいが起これば信用問題にも発展し、取引先や社内利用者への波及的な影響をおよぼしかねない。

3. ITシステムを守るBCP対策(サイバーBCP)とは

災害BCP対策とともに近年注目を浴びているのがサイバーBCP(情報システム運用継続計画)だ。BCPが緊急事態における事業を継続させるためのものに対し、サイバーBCPはITシステムの運用を維持し、ITシステムを守るための対策になる。サイバーBCPは社内全体に関わるITシステムを対象とするため、情シス部門が担当になる。

地震などの災害リスクに比べ、サイバー攻撃によるITリスクが発生する恐れは年々高まっている。ITシステムに異常をきたせば、それを利用する全ての業務が影響を受けることになるからだ。このようなIT特有のリスクを回避するためにも、災害BCPとの整合性を考えサイバーBCPも策定しておきたい。

サイバーBCPを策定するということは、事業を継続させる=会社を守ることである。緊急事態でも事業の早期回復を行える企業であれば、取引先や顧客への影響も少なく、信用度が高まり企業評価の向上にもつながる。だからこそ、情シスの役割がかなり重要というわけだ。ITシステムについて誰がどのように利用するのかまで考えた計画が必要であり総合的な策定が重要かと考える。

4. ITシステムを守る情シスの役割…4つの対策

緊急事態に備えITシステムを守るために、情シス担当者はどのような対策を取る必要があるのかを考えてみたい。

4. ITシステムを守る情シスの役割…4つの対策

①正しい方法でバックアップを行う
BCPの基本的な施策は、データのバックアップを行うことである。企業にとって顧客情報や機密情報といったデータは重要な資産だ。そのデータが消失すれば事業継続はおろか企業存続さえ危ぶまれることになる。例えばランサムウェア攻撃からの対策としては定期的なバックアップはもちろんのこと、データの保存先にも注意が必要である。
バックアップデータをサーバと同じ場所に保存すると、サーバに被害があった際、データも喪失してしまう可能性があるからだ。そのためデータ保存には媒体をネットワークから切り離し、世代管理を行う方式がある。最低でも3世代管理をすることをお勧めする。またクラウド上のストレージを利用するやり方も推薦するが、クラウド上の設定については経費、運用性重視だけでなく、保存先が国内でない場合や、セキュリティ対策についても十分確認することをお勧めする。
②インシデント発生における初動対応と連絡体制の構築
自然災害によるシステム被害やサイバー攻撃によってネットワークに被害があれば、電話やメールといった連絡手段が断たれる。連絡手段が断たれれば従業員の安否確認ができず、また復旧へ向けての従業員同士の連携も難しくなる。こういった事態に備え、安否確認や一斉メールができる代替ツールを準備しておく必要がある。特にサイバー攻撃によるものでネットワークが使用できなくなった場合、社員からの問い合わせはヘルプデスクに集中するため、被害状況をどこで周知するのがよいか、想定されるシナリオから考える必要がある。緊急時には誰がどのように指揮を執り指示を出すのか、業務部門と連携し、指揮系統をしっかり決めておくことが重要である。こうした体制をあらかじめ構築しておけば、有事の際にも混乱をきたさず早期復旧に向けて取り掛かることができる。
③代替機の用意
代替機は、通常利用しているものとは異なるOSやサーバを利用したほうがよい。同じリソースを利用していると、同時に使えなくなる恐れがあるためだ。代替機を運用する注意点としては、普段使用していない環境にしておくと、緊急時に接続した際、OSのバージョンアップが要求されることがある。そのようなことがないように代替機を常に最新の状態にしておく必要がある。東日本大震災の時の話だが、予備に保管していたPCを起動した瞬間にアップデートが開始され落ち着くまでに時間がかかり、かなり焦った記憶がある。
④サイバー攻撃を受けた場合の対応・優先度をまとめておく
初動対応では、サイバー攻撃による被害の大きさ、範囲を把握することが大切である。サイバー被害における対策本部を設置し状況把握が重要なことはわかっているが、最優先すべきは攻撃を止めることである。攻撃が続いているにもかかわらず通常の運用を行ってはいけない。さらに関連部署、全社員への周知を迅速に行うことが大切である。特にリモート環境での社員からは情シス(ヘルプデスク)への問い合わせが多くなる。これらを踏まえて、誰が何をするかあらかじめ決めておくことをお勧めする。

5. まとめ

自然災害は、人が同時に感じ、脅威について共有ができるため、自主的な行動で対応が進むことがある。一方、サイバー攻撃の場合は、自然災害とは違って共通の体感を得にくい部分があり、初動の遅れが発生する。さらに被害範囲を把握するまでに時間を要することが想定されるため、ダメージが大きくなってしまっている。可能であれば、サイバー攻撃による被害を把握するだけでなく、復旧について対応できる体制を作っておくことをお勧めする。

平時の時にサイバーBCPについて考えておくことは、社員と自社を守り、ひいては社会的責任を果たすことにもつながるのである。

<< 関連コラムはこちら >>

■情シスはDXを考えていく上で、一体、何をすればいいのか?

■長期化したテレワークで気が付いたメリットとデメリット

■情シスのプロジェクトマネジメント成功術

■情シスを悩ませるルールの違反や形骸化…「記憶」から「記録」で動く組織へ

■情シスの人材確保は難しい…増大する業務負荷を乗り越えるヒント

■リスク事例で読む、情シスにしかできないITのリスクマネジメント

■Withコロナで気がついた、テレワークの継続を前提とした将来の情報システム運用

■情シスに求められるスキル! 聞き手が耳を傾けるプレゼン力を身につける方法

■アフターコロナの時代は情シスの大きな転機になる~チャンスを生かし、今すぐ実践できること~

■「ソロ情シス」だからできるDXの進め方

■会話のキャッチボールから人脈作りは始まる

■システム障害時、パニックから抜けすためには?

■これからの情シス部門に求められる「あるべき姿」とは?

■目標設定と成功するためのタイムマネジメント「時間管理」について

■2022年を迎え、改めて情シスとDXについて考える

■2021年の振り返りと2022年の展望

■業務引き継ぎは、未来から逆算して臨む

■システム障害は、「気の流れ」が変わった時に発生しているのではないか

■情シス部門の必須知識! 経営層の理解を得て予算を獲得する方法

■デジタル変革(DX)に求められる人材はなぜ確保できないのか?

■テレワークにおける重要課題「気軽な雑談」方法とは?

■嫌われる「情シス」と「ベンダー」の共通点とその改善策

■テレワークによるコミュニケーション不足解消と、メンタルヘルスケア

■組織で挑む、ヒューマンエラー抑止(全1話)

■情シス業務の醍醐味(全3話)

■有事に備えよ!(全3話)

熱海 徹(あつみ とおる)氏

■著者紹介■

熱海 徹(あつみ とおる) 氏
1959年7月23日、仙台市生まれ、東京都在住

40年近く日本放送協会 NHK に籍を置き、一貫して技術畑を歩んできた。転勤の数は少ないが、渡り歩いた部署数は軽く10を超えている。その中でも情シス勤務が NHK 人生を決めたと言っても過言ではない。入局当時は、放送マンとして番組を作るカメラマンや音声ミキサーに憧れていたが、やはり会社というのは個人の性格をよく見ていたんだと、40数年たった現在理解できるものである。20代の時に情シス勤務をしたが、その後に放送基幹システム更新、放送スタジオ整備、放送会館整備、地上デジタル整備等、技術管理に関する仕事を幅広くかかわることができた。今まで様々な仕事を通じてNHK内の人脈が自分としては最後の職場(情シス)で役に立ったのである。考えてみたら35年は経過しているので当たり前かもしれない。2016年7月には自ら志願して、一般社団法人 ICT-ISAC に事務局に出向し、通信と放送の融合の時代に適応する情報共有体制構築を目標に、放送・通信業界全体のセキュリティ体制整備を行った。ここでも今までの経験で人脈を作ることに全く抵抗がなかったため、充実した2年間になった。私の得意なところは、人脈を作るテクニックを持っているのではなく、無意識に出来ることと、常に直感を大切にしているところである。

関連キーワード