サイト内の現在位置

第7回 サイバー攻撃に備えたIT-BCPの構築(前編)

BCP・リスク対策コンサルティング / シリーズ BCPの視点

「災害リスクに対するBCP」との違いはどこにあるか

第6回では、『事業継続を揺るがすもうひとつの脅威、サイバー攻撃』と題して、IT/ICTの重大なインシデントである、障害発生に備えたBCPの必要性について考えました。加えて、残念なことにサイバー攻撃等によるIT/ICT障害発生に対応するためのBCPの策定率はまだ30%程度と低い状況であることについて触れました。

「災害リスクに対するBCP」と「サイバー攻撃等のITリスクに対するBCP(IT-BCP)」は、事業継続を図るうえでどちらも欠かせないものであり、重要度に優劣をつけるべきではありません。ただ、同様に捉えることはできません。違いを明確にしておくことが必要です。

そこで今回は、災害リスクとITリスクの違いを次の2つの観点から考えてみます。
なお、ここでのITリスクとは地震等による建物の崩壊、サーバ室自体の被災、電源ダウンなど間接的な要因に起因するITリスクではなく、タイトルにあるように、サイバー攻撃等の情報システムに対する直接的なリスクへの対応について話を進めています。

BCPフェーズの観点:発災から初動、復旧、復帰までの流れについて

サイバー攻撃等は、脆弱性対策等の予防措置を行うことで、発生のリスクをあらかじめ低減させることが可能です。

ITリスクに潜む「時間差」という魔物

まず、BCPのフェーズにおいてどのような違いが見られるでしょうか。サイバー攻撃等に起因するインシデントへの対応フェーズを時間軸で見てみました。

発災を受けての対応フェーズは災害リスクもITリスクも基本的に同じです。ただ、地震リスクの場合、BCP発動タイミングは、災害発生とほぼ同時に行われますが、ITリスクの場合、攻撃内容によってはインシデントの認知、BCP発動判断は難しく、攻撃があってから暫くして、何かの折に気づくケース、外部からの通報で初めて重大インシデントを認知するケースも少なくありません。

この時間差が被害の拡大、深刻化を招きます。しかも被害がどこまで広がっているのか、潜在・顕在を含めた被害状況の把握と原因の特定、対処には日数を要します。攻撃の種類、被害の深刻度によっては復旧に要するリードタイムはさらに延びるかもしれません。

また、被害を受けたシステムやサーバについて、バックアップしたデータを単に元に戻すだけではなく、特定した改ざん・漏えいの原因に対する対処をしたうえで戻さなくてはなりません。ITリスクが持つ難題がここにあります。

上図では、操業度100%からの急激なダウンを現していますが、ウイルス感染の場合などは重大インシデントとして認知、把握するのが遅れ、対応が後手に回ることもあります。当然ながら、気づくのが遅れるほどBCP発動は遅れ、復帰に更に時間を要することになります。

また、復旧目標を高くするほど必要期間・必要コストが増えます。IT-BCPについてもBCP同様、当面の復旧目標をどのレベルに設定するか、あらかじめ必要対策に優先順位をつけておくことも必要でしょう。

一方で、ITリスクへの対策は、情報セキュリティの観点からある程度予防策を講じることが可能であり、この点では数十年、数百年に一度という大地震等の災害リスクに比べ、サイバー攻撃への備えをより万全にしていくことで発生確率を下げることができます。もちろん、障害発生を出発点として、影響範囲を早急に把握し、どのような対処を行うか具体策を事前に作り込んでおくことで復帰・復旧の早期化も可能です。

リソースベースの観点:BCPのために必要な資源について

ITリスクは賠償金や社会的制裁というリスクを抱える

次に、BCPのために必要な資源(リソース)ベースで被害の違いを見てみましょう。
地震とサイバー攻撃、それぞれのリスクが引き起こす影響について、「人」「社会インフラ」「建物」「IT機器」「データ」「資金」「サプライチェーン」というリソース別に整理してみました。

想定される被害

想定される被害

まず、BCPのフェーズにおいてどのような違いが見られるでしょうか。サイバー攻撃等に起因するインシデントへの対応フェーズを時間軸で見てみました。

発災を受けての対応フェーズは災害リスクもITリスクも基本的に同じです。ただ、地震リスクの場合、BCP発動タイミングは、災害発生とほぼ同時に行われますが、ITリスクの場合、攻撃内容によってはインシデントの認知、BCP発動判断は難しく、攻撃があってから暫くして、何かの折に気づくケース、外部からの通報で初めて重大インシデントを認知するケースも少なくありません。

この時間差が被害の拡大、深刻化を招きます。しかも被害がどこまで広がっているのか、潜在・顕在を含めた被害状況の把握と原因の特定、対処には日数を要します。攻撃の種類、被害の深刻度によっては復旧に要するリードタイムはさらに延びるかもしれません。

また、被害を受けたシステムやサーバについて、バックアップしたデータを単に元に戻すだけではなく、特定した改ざん・漏えいの原因に対する対処をしたうえで戻さなくてはなりません。ITリスクが持つ難題がここにあります。

「ITリスクに対応したBCP(IT-BCP)」7つの視点

ITリスクは目に見えない事象が多く、被害の大きさが把握できないため、どの段階で何を基準にインシデントと判断しBCPを発動するのか、BCPの発動判断が難しいと思われます。判断に時間をかけてしまうと、場合によっては被害が拡大し、より深刻化してしまう可能性があります。

IT-BCP対応ポイント 担当者間で発動判断基準を共有する

以上を踏まえ、サイバー攻撃に備える「ITリスクに対応したBCP」の構築を考えてみましょう。
構築にあたって考えなければならないのはITリスクの特性とでもいうべき以下の視点です。
すなわち、

  1. ある程度の発生の予防が可能である
  2. 発生に気付かない可能性がある
  3. BCP発動の判断が難しい
  4. 代替機を使用してデータ復旧するだけでは、再度被害にあう可能性がある
  5. 原因を特定しないと容易に復旧が出来ない
  6. 情報漏えい、改ざんの被害状況の把握が必要
  7. 情報漏えいに対する賠償費用や、改ざんからの復旧費用がかかる可能性がある
という点です。
これらを「7つの視点」と位置づけたいと思います。

前述のように、「ITリスクに対応したBCP(IT-BCP)」は、単に「停止したITシステムを復旧させる」だけでは済まず、復旧させるための「原因の特定や対策」が必須です。BCPの発動タイミングや、原因分析チームの設置等、ルールを決めるだけで解決するものは少なく、理解や対応力を高めるために、日々の教育や訓練が重要になります。

しかも、日々新たな脅威に狙われていることを考えれば、待った無しの取り組みが求められます。
では、「ITリスクのBCP(IT-BCP)」を検討するために、どのように取り組み、対策をとれば良いでしょうか?上記で述べた「7つの視点」を拠り所に次回考えていきたいと思います。

第8回「サイバー攻撃に備えたIT-BCPの構築」(後編)

「7つの視点」を踏まえ、それぞれに対してどのように対応していくか、「ITリスクに対応したBCP(IT-BCP)」の構築、見直しにあたって重要となる対応ポイントについて考えていきます。

お問い合わせ