情シスが抱えるITインフラやネットワーク、セキュリティの悩みを解決するメディアサイト情シスが抱える悩みを解決するメディアサイト
情シスUpdateDay2024

情シスが取り組むべき災害BCPとIT-BCP~サイバーインシデントへの「備え」を考える~

情シス
熱海 徹 氏
この記事の内容
1. 自然災害の脅威から、サイバーインシデントを想定した「備え」の意味を考える
2. 度重なる自然災害で「備え」はどう変遷してきたのか
3. サイバー攻撃に対して普段からどのような「備え」をするべきか
4. 災害BCPとIT-BCPについて
5. まとめ
6. おわりに

1. 自然災害の脅威から、サイバーインシデントを想定した「備え」の意味を考える

今年も夏が長く、季節感が薄れて秋の期間がますます短く感じる。食欲の秋、体調を整え健康を維持するためにもバランスの取れた食事、適度な運動、そして十分な睡眠を実行して、健康増進に心がけたい。

振り返ると、2024年は元日に大きな地震があった。日本列島は地震がいつ起きても不思議でない。8月8日には宮崎県にM7.1の大地震が発生し内閣府より「南海トラフ地震臨時情報(巨大地震注意)に伴う政府としての特別な注意の呼びかけ」が発令されたことが記憶に新しい。

さらに地震だけではなく、低気圧の停滞によるゲリラ豪雨や、大型台風も立て続けに発生した。台風の進路情報や、突然の雷雨やゲリラ豪雨、線状降水帯による河川氾濫情報がテレビなどで毎日のように放送されたが、「備えあれば憂いなし」をどれくらい前から実施すればいいのかなど考えさせられた。

情シスが対応しているサイバー攻撃に対する「備え」に関しても、自然災害と同様に緊張感を持って行うことが必要だ。サイバーインシデントについては他人事から自分のこととしてとらえる行動が必要で、そのために普段からの「備え」について考えることが大切になる。

2. 度重なる自然災害で「備え」はどう変遷してきたのか

サイバーインシデントへの備えについて考える前に、情シスの自然災害による備えがどのように移り変わっていったか実体験を元にお話ししたい。

前職NHK(40年前)での情シスの仕事で、大型コンピュータ(ACOSシリーズ)の運用を行っていた。機器構成はデュープレックス(duplex)で運用していたため機器の障害が発生すれば予備系に切り替え業務を継続することができた。バッチ処理が多く、MT装置(磁気テープ)の単独の障害でも、アサインを変えるだけで運用が継続できた。一番気を使ったのがDB更新処理だったことを覚えている。当時のシステムの運用停止と言えば、機器単体の故障が多く、落雷による停電でも、自家発電機や無停電装置(UPS)などがあったため、ほとんど障害が発生しなかった。

地震による設備の倒壊については、1978年に発生した宮城県沖地震を機に、ほとんどの機器ラックを床にボルトで固定することにした。この経験以降は地震によるラック倒壊がなくなった。1995年の阪神・淡路大震災では、放送局の敷地内にある自家発用の燃料タンクの見直しを行った。タンクを大きくしたことによって、緊急時の電気が確保されるようになった。

さらに、政府の地震調査研究推進本部地震調査委員会による、首都直下型地震が高い確率で発生するという予想から、放送局の拠点を東京だけでなく、圏外の放送局に同等の機能を作るなど、代替運用ができるよう整備が進められた。このように大きな自然災害を経験したため、実際に起こりうる影響を回避する準備ができた。

2018年、ディザスタリカバリ/Disaster Recovery (DR)の呼び名で障害時に利用ができなくなったシステムを復旧することや、そういった状態になることを予防する体制の構築を行った時期を経て、次期にBCP(Business Continuity Planning:事業継続計画)という考え方が主流になってきた。改めて説明すると、「DR」は会社内で使用されているシステムを復旧させる対策、計画を指し、「BCP」は災害が発生し会社の一部が破損した場合に、その会社を復旧に向かわせたり、会社の運営ができるように周辺環境の整備を整えたりするための対策、計画すべてを指す。

BCP

3. サイバー攻撃に対して普段からどのような「備え」をするべきか

本題である、サイバー攻撃に対して普段からどのような「備え」をするべきかのお話に入ろう。しかし、簡単に「備え」と言っても、何から手をつければいいのか、どこまで何をすべきか、などの声は少なくない。例えば今回の地震臨時情報のような、「サイバー攻撃情報」がかなりの危機感をもって報道された場合、どうしたらいいのだろか。

サイバー攻撃への備えは、個別のインシデントに対して、何か特定のことに絞って備える発想ではなく、被害を拡大させないようにするには何をどう準備しておくべきか、復旧するにはどのような手順を踏むと可能なのかを確立しておくことではないだろうか。

具体的には、文書ファイルの保存場所やバックアップファイルは、安全な場所にあるのか、さらに一度でも復旧試験を行ったことがあるのかなどを確認すべきである。さらに、社員の出勤が全てNGになった場合、全員がリモート環境から業務がどの範囲までできるかなど、インシデント発生から復旧するまでの業務可能な内容確認と、リモート環境がNGの場合の対応案など、シミュレーションをすることが「備え」ではないだろうか。

前職NHKでの経験だが、2016年熊本で大地震が発生し、緊急で数十台の予備パソコンを東京の情シスから熊本局に送る手配をしている時だった。倉庫から新品の予備パソコンを出して電源を入れ、インターネットに接続した瞬間にOSのバージョンアップが一斉に動き出し、キッティングに結構な時間がかかり苦い思いをした。ここでの教訓は予備PCの「備え」は物理的なPCの用意だけでなく、それらを常に最新の状態で保管しておく必要があるということだ。倉庫に置いたままの新品のPCは緊急時の予備PCとしては不向きだということが身に染みて理解できた。常に、この手順で本当に復旧できるか、定期的な訓練を行うことの意味がわかった。

4. 災害BCPとIT-BCPについて

自然災害とサイバーインシデントの線引きは困難である。どちらもイントラ基幹システム(勤怠、事務経理、メール)への影響が極力出ないようにするという目的は変わることがないが、前職NHKの情シスにいた時に使用していた頭を整理するためのメモを紹介する。

自然災害やサイバー攻撃に備えるためには、いくつかの重要な対策を講じる必要がある。特にBCPという言葉が多く使われている。BCPとは前述したように、災害などの緊急事態における事業継続計画のことで、BCPの目的は、自然災害、システム障害など危機的な状況に遭遇した時に損害を最小限に抑えることで、重要な業務を継続し早期復旧を図ることにある。

◆自然災害に備える対策

►事業継続計画(災害BCP)の策定:
  • 自然災害時に事業を継続するための計画を立てる
  • ITシステムの冗長化について。システムや通信回線の冗長化を図り、クラウド、データセンターを利用しデータ複製を行っておく。
►物理的な対策について:
  • サーバや重要書類を耐震性のある場所に保管し、転倒防止策を講じる。
  • 従業員の安全確保について、従業員とその家族の安否確認方法や連絡網の整備を行い、緊急時に迅速に対応できる体制を整える。

IT-BCPとは、Information Technology - Business Continuity Planの略で、ITシステムに特化した事業継続計画(BCP)を指す。災害や事故などの緊急事態が発生した場合でも、ITシステムを維持し、迅速かつ効率的に業務を再開・継続するための計画を指す。

◆サイバー攻撃に備える対策

►事業継続計画(IT-BCP)の策定:
  • サイバー攻撃、システム障害に事業を継続するための計画を立てる。
►データのバックアップ:
  • 定期的にデータをバックアップし、異なる場所に保存する。
►セキュリティパッチの適用:
  • ソフトウェアやシステムのセキュリティパッチを常に最新の状態に保つ。
►インシデント対応計画の策定:
  • サイバー攻撃が発生した際の初動対応や連絡体制を事前に構築しておく。
►従業員の教育と訓練:
  • マルウェアに対する対策を従業員に教育し、定期的に訓練を行う。

あくまでも、考え方を整理するためのメモであり、詳しい説明にはなっていない。
経営層への説明などでは、このような箇条書き文書を作りヒントにするとよいだろう。

また、インシデントの影響は直接的なものだけでなく、「事業継続」の観点においては、間接的影響も無視できない。

重要インフラにおいて、インシデントによるサービス停止は事業に直接的な影響を与えることは明白だが、場合によって、信用への不安という間接的な影響を与えることもある。直接的影響が注目されがちだが、間接的影響も分野によっては深刻な影響を与えるため、経営層には、その両者によるリスクを認識させておくことが望まれる。

5. まとめ

インシデントの発生は企業に大きな損害を与えるだけでなく、今後の事業運営に関わる大きな問題だ。日常的な対策は行っているが、あえてインシデント発生前にすべきセキュリティ整備「備え」について考えてみた。

セキュリティ対策チームの中で重要なのは、有事の際に対応を行う優先順位を決めておくことである。具体的には、旧作業を行う際にどの範囲の行動まで許されるのか、何を優先するのか決めておく必要がある。例えば「ネットワークの遮断、マルウェアの駆除は最優先に行い、漏えいのおそれがある情報については機密情報の取り扱いにするため、調査を含めた対応にする」などのルール作りを行うべきである。さらに、有事の際に指揮系統がどうなるか決めておく。

インシデント発生時の召集体制について、対策チームの連絡について休日でもつながるようにしておくことも忘れてはならない。

まとめると、
  1. インシデント発生時のルールを決める。
  2. 指揮系統が誰になるか、決める。
  3. インシデント発生時の召集体制を整える。休日でも連絡がつくようにしておく。

次に、ベンダーや外部委託業者がどのような業務を行っているか、それぞれに委託している業務内容を確認しておくとよい。できれば、ベンダーに対して依頼をかけている社員で自社のシステムに精通している担当者を対策チームに入れておくといいだろう。

例えば、クラウドサービスの利用やシステム管理の一部を外部委託業者に依頼している場合、万が一情報漏えいやマルウェアによる情報の改ざんといったセキュリティ事故が発生した場合、どちらが責任をとるのかを確認しておくといい。セキュリティ事故により顧客情報が漏えいした場合、特にデータの保護については利用会社の責任になってしまうことが多い。このようなトラブルに巻き込まれないためには、責任範囲を明確にし、バックアップの取得、データの暗号化など、セキュリティを強化する必要がある。

6. おわりに

備えあれば憂いなしの意味とは、人間だれしも心理的な不安や心配ごとがあるものだから、全ての物事、事柄に対して、事前に準備を十分にしておくことによって心理的な不安が解消されるということだ。恐怖を適切に理解し、対処することの重要性を示している。

何事も、過度な恐怖や不安は生活の質を低下させる。備えるという事は準備をするということ。しっかりと準備をしておくことで物事の想定外のアクシデントやインシデントを回避するためのリスクヘッジにもなる。危険が迫っていない平時の時に行うことで精神的な安心感を自分自身に与えて、不安な気持ちを解消してくれるに違いない。「備え」は物事に対する取り組み方やとらえ方という心の持ちようを戒める言葉なのである。

<< 関連コラムはこちら >>

■サイバー攻撃への備え「内部SOC構築」を考える

■情シスとセキュリティ・バイ・デザインは密接に関連している

■サイバー攻撃から会社を守る ~セキュリティ対策トレーニング(訓練)のススメ~

■情シスはAIをいち早く活用して、新たなビジネスチャンスを生み出そう

■ベテラン情シスの知識・経験を会社としてどう継承すべき? ノウハウ継承の4つのアイディア

■初めてPoCを任された情シスへ伝えたい、成功のための事前準備とは?

■「報・連・相」では相談が肝心!情シス職場の風通しを良くする相談のコツ

■忙しい情シスが正しく評価を受ける業務目標の立て方とは?

■サイバー事故を防ぐセキュリティ研修のコツとは? 現場を巻き込むひと工夫が決め手!

■プロジェクト成功の秘訣とは? 情シスがPDCAの「Do」を意識して対応すること

■情シスは生成AIツールをどう使うべき? 失敗談から考えるビジネスへの活用法

■プレゼン資料作成スキルを上げる! 情シスの話が伝わる構成力を身につける方法

■情シスが他業務と兼務するリスクとその対策

■情シスに伝えたい!IT専門用語をわかりやすく説明するには?

■気をつけたいシャドーIT! 情シスは「危険性の周知」と「管理の強化」を進めよう

■情シス不足解消策は採用のみにあらず! 組織内からできること

■「仕事を断るのが苦手」な情シスに伝えたい3つの対処法

■ITシステムを守る「サイバーBCP」で情シスがすべき4つの対策

■情シスはDXを考えていく上で、一体、何をすればいいのか?

■長期化したテレワークで気が付いたメリットとデメリット

■情シスのプロジェクトマネジメント成功術

■情シスを悩ませるルールの違反や形骸化…「記憶」から「記録」で動く組織へ

■情シスの人材確保は難しい…増大する業務負荷を乗り越えるヒント

■リスク事例で読む、情シスにしかできないITのリスクマネジメント

■Withコロナで気がついた、テレワークの継続を前提とした将来の情報システム運用

■情シスに求められるスキル! 聞き手が耳を傾けるプレゼン力を身につける方法

■アフターコロナの時代は情シスの大きな転機になる~チャンスを生かし、今すぐ実践できること~

■「ソロ情シス」だからできるDXの進め方

■会話のキャッチボールから人脈作りは始まる

■システム障害時、パニックから抜けすためには?

■これからの情シス部門に求められる「あるべき姿」とは?

■目標設定と成功するためのタイムマネジメント「時間管理」について

■2022年を迎え、改めて情シスとDXについて考える

■2021年の振り返りと2022年の展望

■業務引き継ぎは、未来から逆算して臨む

■システム障害は、「気の流れ」が変わった時に発生しているのではないか

■情シス部門の必須知識! 経営層の理解を得て予算を獲得する方法

■デジタル変革(DX)に求められる人材はなぜ確保できないのか?

■テレワークにおける重要課題「気軽な雑談」方法とは?

■嫌われる「情シス」と「ベンダー」の共通点とその改善策

■テレワークによるコミュニケーション不足解消と、メンタルヘルスケア

■組織で挑む、ヒューマンエラー抑止(全2話)

■情シス業務の醍醐味(全3話)

■有事に備えよ!(全3話)

熱海 徹(あつみ とおる)氏

■著者紹介■

熱海 徹(あつみ とおる) 氏
1959年7月23日、仙台市生まれ、東京都在住

40年近く日本放送協会 NHK に籍を置き、一貫して技術畑を歩んできた。転勤の数は少ないが、渡り歩いた部署数は軽く10を超えている。その中でも情シス勤務が NHK 人生を決めたと言っても過言ではない。入局当時は、放送マンとして番組を作るカメラマンや音声ミキサーに憧れていたが、やはり会社というのは個人の性格をよく見ていたんだと、40数年たった現在理解できるものである。20代の時に情シス勤務をしたが、その後に放送基幹システム更新、放送スタジオ整備、放送会館整備、地上デジタル整備等、技術管理に関する仕事を幅広くかかわることができた。今まで様々な仕事を通じてNHK内の人脈が自分としては最後の職場(情シス)で役に立ったのである。考えてみたら35年は経過しているので当たり前かもしれない。2016年7月には自ら志願して、一般社団法人 ICT-ISAC に事務局に出向し、通信と放送の融合の時代に適応する情報共有体制構築を目標に、放送・通信業界全体のセキュリティ体制整備を行った。ここでも今までの経験で人脈を作ることに全く抵抗がなかったため、充実した2年間になった。私の得意なところは、人脈を作るテクニックを持っているのではなく、無意識に出来ることと、常に直感を大切にしているところである。

関連キーワード