ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. 製品・ソリューション
  3. BCP・リスク対策コンサルティングサービス
  4. シリーズ BCPの視点
  5. サイバー攻撃に備えたIT-BCPの構築(前編)
ここから本文です。

シリーズ BCPの視点 第7回

サイバー攻撃に備えたIT-BCPの構築(前編)

サイバー攻撃に備えたIT-BCPの構築(前編)

第6回では、『事業継続を揺るがすもうひとつの脅威、サイバー攻撃』と題して、IT/ICTの重大なインシデントである、障害発生に備えたBCPの必要性について考えました。加えて、残念なことにサイバー攻撃等によるIT/ICT障害発生に対応するためのBCPの策定率はまだ30%程度と低い状況であることについて触れました。

「災害リスクに対するBCP」と「サイバー攻撃等のITリスクに対するBCP(IT-BCP)」は、事業継続を図るうえでどちらも欠かせないものであり、重要度に優劣をつけるべきではありません。ただ、同様に捉えることはできません。違いを明確にしておくことが必要です。

そこで今回は、災害リスクとITリスクの違いを次の2つの観点から考えてみます。

なお、ここでのITリスクとは地震等による建物の崩壊、サーバ室自体の被災、電源ダウンなど間接的な要因に起因するITリスクではなく、タイトルにあるように、サイバー攻撃等の情報システムに対する直接的なリスクへの対応について話を進めています。

対応フェーズ
発災から初動、復旧、復帰までの対応の流れについて

ITリスクに潜む「時間差」という魔物

まず、BCPのフェーズにおいてどのような違いが見られるでしょうか。サイバー攻撃等に起因するインシデントへの対応フェーズを時間軸で見てみました。

発災を受けての対応フェーズは災害リスクもITリスクも基本的に同じです。ただ、地震リスクの場合、BCP発動タイミングは、災害発生とほぼ同時に行われますが、ITリスクの場合、攻撃内容によってはインシデントの認知、BCP発動判断は難しく、攻撃があってから暫くして、何かの折に気づくケース、外部からの通報で初めて重大インシデントを認知するケースも少なくありません。この時間差が被害の拡大、深刻化を招きます。しかも被害がどこまで広がっているのか、潜在・顕在を含めた被害状況の把握と原因の特定、対処には日数を要します。攻撃の種類、被害の深刻度によっては復旧に要するリードタイムはさらに延びるかもしれません。

また、被害を受けたシステムやサーバについて、バックアップしたデータを単に元に戻すだけではなく、特定した改ざん・漏えいの原因に対する対処をしたうえで戻さなくてはなりません。ITリスクが持つ難題がここにあります。

BCP発動から復帰までの経過

上図では、操業度100%からの急激なダウンを現していますが、ウイルス感染の場合などは重大インシデントとして認知、把握するのが遅れ、対応が後手に回ることもあります。当然ながら、気づくのが遅れるほどBCP発動は遅れ、復帰に更に時間を要することになります。

また、復旧目標を高くするほど必要期間・必要コストが増えます。IT-BCPについてもBCP同様、当面の復旧目標をどのレベルに設定するか、あらかじめ必要対策に優先順位をつけておくことも必要でしょう。

一方で、ITリスクへの対策は、情報セキュリティの観点からある程度予防策を講じることが可能であり、この点では数十年、数百年に一度という大地震等の災害リスクに比べ、サイバー攻撃への備えをより万全にしていくことで発生確率を下げることができます。もちろん、障害発生を出発点として、影響範囲を早急に把握し、どのような対処を行うか具体策を事前に作り込んでおくことで復帰・復旧の早期化も可能です。

リソースと影響
BCPのために必要な資源について

ITリスクは賠償金や社会的制裁というリスクを抱える

次に、BCPのために必要な資源(リソース)ベースで被害の違いを見てみましょう。
地震とサイバー攻撃、それぞれのリスクが引き起こす影響について、「人」「社会インフラ」「建物」「IT機器」「データ」「資金」「サプライチェーン」というリソース別に整理してみました。

想定される被害

想定される被害の表

サイバー攻撃に起因したITリスクがもたらす被害は、「IT機器」、「データ」と「資金」に集中します。その中でも地震被害等との大きな違いは「データ」と「資金」です。
「データ」には、破損に加え、改ざん・漏えいの被害があり、被害がどこまで広がっているのか、その影響範囲を調査する必要があります。もちろん、バックアップ等への早期の切り換えが必要なことはいうまでもありません。
「資金」にもこれらに対応した費用に加え、外部対策費用を見込まなくてはいけません。地震やシステム障害に起因したデータ破損等は自組織での被害であり、復旧が遅くなるほど事業継続に多大な影響を与えます。対してITリスクでは、サイバー攻撃や関係者による不正行為にて発生した改ざん・漏えい事故の場合、取引先や顧客等に損害を与えた場合には、自組織だけではなく他者に大きな迷惑をかけることになり、事業継続へのダメージに加え、賠償金の発生など想定外のコスト負担や社会的な制裁も覚悟しなければなりません。

このように「災害リスク対応のBCP」と「ITリスク対応のBCP(IT-BCP)」、それぞれのBCPのために必要なリソースの違いを踏まえることが、それぞれに効果的な対策を立てる上で重要です。

「ITリスクに対応したBCP(IT-BCP)」7つの視点

ITリスクの特性を踏まえた対策を

以上を踏まえ、サイバー攻撃に備える「ITリスクに対応したBCP」の構築を考えてみましょう。
構築にあたって考えなければならないのはITリスクの特性とでもいうべき以下の視点です。

すなわち、

  1. ある程度の発生の予防が可能である
  2. 発生に気付かない可能性がある
  3. BCP発動の判断が難しい
  4. 代替機を使用してデータ復旧するだけでは、再度被害にあう可能性がある
  5. 原因を特定しないと容易に復旧が出来ない
  6. 情報漏えい、改ざんの被害状況の把握が必要
  7. 情報漏えいに対する賠償費用や、改ざんからの復旧費用がかかる可能性がある

という点です。
これらを「7つの視点」と位置づけたいと思います。

前述のように、「ITリスクに対応したBCP(IT-BCP)」は、単に「停止したITシステムを復旧させる」だけでは済まず、復旧させるための「原因の特定や対策」が必須です。BCPの発動タイミングや、原因分析チームの設置等、ルールを決めるだけで解決するものは少なく、理解や対応力を高めるために、日々の教育や訓練が重要になります。
しかも、日々新たな脅威に狙われていることを考えれば、待った無しの取り組みが求められます。

では、「ITリスクのBCP(IT-BCP)」を検討するために、どのように取り組み、対策をとれば良いでしょうか?上記で述べた「7つの視点」を拠り所に次回考えていきたいと思います。


第8回「サイバー攻撃に備えたIT-BCPの構築」(後編)

「7つの視点」を踏まえ、それぞれに対してどのように対応していくか、「ITリスクに対応したBCP(IT-BCP)」の構築、見直しにあたって重要となる対応ポイントについて考えていきます。

関連資料ダウンロード

IoT時代の今、最新脅威に備えたBCPの構築ポイント

「多様化・複雑化するITリスクとBCP構築ポイント」セミナー資料
IoT時代の今、最新脅威に備えたBCPの構築ポイント

  • 最近の動向
  • 地震とITリスクがBCPに及ぼす影響の違い
  • 最新脅威に備えたBCP構築のポイント
  • ITリスク対応ソリューションのご紹介

ダウンロードはこちら


非常時における情報セキュリティの考え方

小冊子
非常時における情報セキュリティの考え方

  • 情報セキュリティ対策の緩和条件
  • 情報セキュリティ対策の緩和条件の時間設定
  • 緩和によるリスクの周知方法
  • 情報セキュリティコンサルティングサービス
  • BCPコンサルティングサービス

ダウンロードはこちら

ページの先頭へ戻る