IT/ICTの障害発生に備えたBCPの必要性

企業をはじめ、各種団体・事業者等で取り組まれている業務やサービスは、今やIT/ICT抜きには語ることはできません。これらIT/ICTサービスを支えるインフラやネットワークに甚大な障害が発生した場合、業務やサービスの継続が困難となり、極端な場合には事業そのものを停止に追い込みかねない時代になっています。

また時代はIoTへと大きく舵を切り始めています。IoTとは「Internet of Things」の略で、様々なモノがインターネットにつながっていることを表現します。このような環境においては、業務やサービスに関わる機器の多くは常にインターネット上に接続され、サイバー攻撃をはじめとした様々な攻撃にさらされることになります。 もちろん、このような状況を踏まえ、セキュリティ対策がこれまで以上に強化されていることは言うまでもありませんが、完璧なセキュリティ対策は存在しません。

ところが、企業のBCPの多くは、地震などの大規模自然災害やパンデミック(感染症の世界的な流行)等を想定して策定されているように見えます。ビジネスインパクトの大きさを考えるなら、大規模自然災害を想定した現状のBCPに加え、サイバー攻撃等によって日常的に発生する可能性の高いIT/ICTの甚大な障害を想定したBCPを併せて策定しておく必要があります。すなわち、「サイバー攻撃に備えたIT-BCP」という視点です。

サイバー攻撃の被害(2012年度調査との比較)

サイバー攻撃の手口(2012年度調査との比較)

最新のサイバー攻撃と事業継続への具体的影響例

サイバー攻撃に自社が狙われた場合、自然災害などによって生じる社会インフラのダウンとは異なり、自社だけが被害を受けている状況になることから、復旧が遅れるほどビジネス面でのマイナスの影響は大きくなります。社会からの信頼も失いかねません。
ここでは主な攻撃内容として、最近、被害事例が相次いでいる「DDoS攻撃」「標的型メール攻撃」「ランサムウェア攻撃」を取り上げてみましょう。

ITリスクは賠償金や社会的制裁というリスクを抱える

DDoS攻撃とは、ある特定のサーバやネットワークに対し、過剰な負荷をかけ、サービス停止等に追いこむDoS攻撃を、複数の攻撃元から一斉に行う攻撃です。「分散サービス妨害」とも呼ばれ、第三者のマシンに攻撃プログラムを仕掛けて踏み台にするのが特徴です。

オンサインサービス提供企業にとっては死活問題

オンラインサービスを提供している会社に対してDDoS攻撃がなされ、サーバの停止により6日間ほどサービス提供ができなくなった事例があります。このような企業では、インターネットに接続する事が前提となるサービスのため、一時的なサービスの停止でも顧客の信頼低下につながります。ましてや、1週間にも及ぶサービス停止は死活問題になりかねません。停止期間中、他のサービスを利用してそのまま帰ってこない離反客がかなり出たことは想像できます。経営的なダメージはかなりのものだったと思われます。

被害企業への恐喝行為、詐欺的行為事例

なお、DDoS攻撃では、サービス停止に追い込まれる以外にも、直接的に金銭を要求する恐喝行為の事例や、攻撃者が自らDDoS攻撃を仕掛けておきながら、セキュリティコンサルティング事業者などと名乗り、サービス妨害に対する“防御サービス”を行って、対価を要求する詐欺的な行為の事例、不正なプログラムのインストールやその利用を隠ぺいするためにDDoS攻撃が行われる事例もあるようです。

標的型メール攻撃

標的型メール攻撃とは、機密情報に関係する限定的な人物を狙い、送信者等を詐称したメールを送り、未知のマルウェアに感染させて情報を盗み出す攻撃です。メール本文や添付ファイルを業務関係者からのものだと思わせるような偽装をし、開封させるように仕向けます。

ATM全停止に追い込まれた金融機関

海外では、標的型攻撃メールを発端とした大規模なサイバー攻撃が発生し、金融機関やテレビ局が深刻な被害を受けました。金融機関ではコンピュータや営業店等に設置したATMが同時に停止し、自社の業務ができなくなるだけでなく、顧客に大きな影響が出ました。

ランサムウェア

ランサムウェアに感染するとPCへのアクセスが制限されます。PCにハードディスクに保存されている特定のファイル
（例：オフィスドキュメント、圧縮ファイル、画像など）に勝手に暗号化処理を行い、読み取れない状態にしてしまう行為などが特徴で、ファイルの復号と引き換えに「身代金（ランサム）」の支払いを要求してくるサイバー犯罪です。

すでに海外で頻発している身代金要求

海外では医療施設のネットワークに侵入し、PCのハードディスクが暗号化され、身代金を要求される事態になった事例報告があります。同施設ではPCが使用不可能になり、電話やFAX、手作業で業務を継続しながら、暗号化解除のための分析や専門家等への相談を行いましたが結局解除できず、「身代金」を支払ったようです。

サイバー攻撃の脅威を読み込んだBCP策定率は30％程度と低い

以上、事業継続に多大なダメージを与えたサイバー攻撃例について紹介してきましたが、いかがでしょう。ひとたびサイバー攻撃を受けると、企業は業務停止や復旧費用等の甚大な経営ダメージを受けることがお分かりいただけたのではないでしょうか。

とはいえ、セキュリティ対策面でこれらサイバー攻撃に対する事前対策が講じられるのならビジネスインパクトは軽減するのではないかと思われる方もいるかもしれません。事前対策を徹底するのは言うまでもありません。そのための最新のセキュリティソリューションも数々用意されています。
しかし、現状把握されているサイバー攻撃が全てではありません。今この瞬間にも、最新のセキュリティ対策を回避する、より高度で巧妙化した攻撃手法が生まれているのかもしれないのです。その意味では、サイバー攻撃は際限のない脅威といえます。

徹底した防衛措置を行うとともに、万が一の「被災」を想定した事業継続計画を立案、具現化するとともに、継続して見直していく取り組みが必要です。
前述した攻撃手法及び被害事例からも、サイバー攻撃に備えたIT-BCPをしっかり作り上げることが如何に重要かを窺い知る事が出来るかと思います。しかし残念なことにサイバー攻撃等によるIT/ICT障害発生に対応するためのBCPの策定率は、ある調査によると、まだ30％程度と低い状況です。 すぐにでも取り組まなければならない大きな課題でありながら、自然災害やパンデミック等に対するBCPと比して策定率が低いのは、相手が目に見えない脅威であるため、取り組みがイメージしにくいことも一因かもしれません。

IT-BCP対応ポイント　担当者間で発動判断基準を共有する

前述のように、「ITリスクに対応したBCP(IT-BCP)」は、単に「停止したITシステムを復旧させる」だけでは済まず、復旧させるための「原因の特定や対策」が必須です。BCPの発動タイミングや、原因分析チームの設置等、ルールを決めるだけで解決するものは少なく、理解や対応力を高めるために、日々の教育や訓練が重要になります。

しかも、日々新たな脅威に狙われていることを考えれば、待った無しの取り組みが求められます。
では、「ITリスクのBCP(IT-BCP)」を検討するために、どのように取り組み、対策をとれば良いでしょうか？上記で述べた「7つの視点」を拠り所に次回考えていきたいと思います。

第7回予定 「サイバー攻撃に備えたIT-BCPの構築」(前編)

次回は、サイバー攻撃等のIT脅威に、どのように対応したらよいのか、何を考えておくべきなのか、 大地震等に対するBCPとの違いや、IT-BCPを構築する上でのポイントについて紹介いたします。