サイト内の現在位置

第8回 サイバー攻撃に備えたIT-BCPの構築(後編)

BCP・リスク対策コンサルティング / シリーズ BCPの視点

「7つの視点」を踏まえたIT-BCP対応ポイントを探る

サイバー攻撃に備える「ITリスクに対応したBCP(IT-BCP)」は、単に「停止したITシステムを復旧させる」だけでは済まず、復旧させるための「原因の特定や対策」が必須であることについて前回紹介しました。

また、ITリスクの特性とその対応について、

  1. ある程度の発生の予防が可能である
  2. 発生に気付かない可能性がある
  3. BCP発動の判断が難しい
  4. 代替機を使用してデータ復旧するだけでは、再度被害にあう可能性がある
  5. 原因を特定しないと容易に復旧が出来ない
  6. 情報漏えい、改ざんの被害状況の把握が必要
  7. 情報漏えいに対する賠償費用や、改ざんからの復旧費用がかかる可能性がある

これらを「7つの視点」と位置づけました。

今回は、「7つの視点」を踏まえ、それぞれに対してどのように対応していくか、「ITリスクに対応したBCP(IT-BCP)」の構築、見直しにあたって重要となる対応ポイントについて考えていきます。

[視点1] 発生の予防(発生リスクの低減)

サイバー攻撃等は、脆弱性対策等の予防措置を行うことで、発生のリスクをあらかじめ低減させることが可能です。

IT-BCP対応ポイント システムのセキュリティレベルを高める

  • ITシステムに対するリスク評価を行い、脆弱性対策を実施する(情報セキュリティ対策と組み合わせた対策実施)。
  • 情報システム部門と連携して、最新のパッチ適用等を平常時から実施する。
  • 多層防御を実施する。

【MEMO】
リスク評価と併せて、そのリスクがどのような影響をもたらすか、ビジネスインパクト分析(BIA:Business Impact Analysis)も行っておきたい。

[視点2] 発生に気付かない可能性への対応

サイバー攻撃を受けていることや、改ざん等の被害が発生していることに気付かないでいると、被害が拡大してしまう恐れがあります。場合によっては、知らないうちに被害者から加害者になってしまうこともあり得ます。

IT-BCP対応ポイント 異常察知のスキルアップに努める

  • 最新のサイバー攻撃手法のチェックを怠らない。
  • 攻撃の検知やシステム監視等の仕組み、またはツール等の導入を行い、「気付かない」をなくす。
  • サイバー攻撃発生時に迅速に行動できるよう、従業員の理解と対応力向上のための教育・訓練を実施する。

【MEMO】
訓練は、サイバー攻撃による脅威に対して、従業員の危機意識を維持・向上させるだけでなく、対応に向けた不備や弱点の把握、見える化にも役立つ。

[視点3] BCP発動判断の難しさへの対応

ITリスクは目に見えない事象が多く、被害の大きさが把握できないため、どの段階で何を基準にインシデントと判断しBCPを発動するのか、BCPの発動判断が難しいと思われます。判断に時間をかけてしまうと、場合によっては被害が拡大し、より深刻化してしまう可能性があります。

IT-BCP対応ポイント 担当者間で発動判断基準を共有する

  • BCP発動の判断ができるよう、明確な判断基準を平常時から決めておく(改ざん、情報漏えい、基幹システム停止、ネットワーク帯域の異常等)。
  • ただのシステム停止ではなく、業務が停止してしまう条件を洗い出し、発動の判断基準に取り入れる。
  • 発動の判断を行う要員に対する教育訓練を繰り返し行い、理解度と対応力を身につける。
  • 場合によっては加害者とならないために業務を停止させるという判断も必要である。

【MEMO】
攻撃内容によっては被害が広範囲に及ぶことも想定し、復旧を優先すべき重要システム、重要ファイルは何か、予め優先順位を決めておくことも必要である。

[視点4] 代替機が使えない場合への対応

システム損壊時の代替機としてサーバ、OS、ソフトウェア等が全く同じ構成のものを用意することが多いと思われますが、サイバー攻撃を受けた場合、全く同じものを代替機として使用すると、同じ攻撃によって再び被害を受けてしまう可能性があります。

IT-BCP対応ポイント 代替機切り換えのリスクを知っておく

  • 地震に対応したBCPとは異なり、遠隔地の代替機に切り替えて使用するという対策が有効ではない場合がある(同じ脅威にさらされてしまうため)。
  • システムの代替機やバックアップを取得することは有効であるが、被害発生時にはすぐに切り替えるのではなく、後述の5、6について対応を行ったうえで、問題がないとの判断ができれば代替機への切り替えを行う。

【MEMO】
訓練においては、代替機あるいは代替手段への切り替えについても実際に行ってみる機会を何らかの形で作るようにしたい。

[視点5] 原因の特定に向けた組織体制

被害の原因がわからないまま、システムや業務の復旧を行うと、場合によっては再び被害にあう恐れや、他の組織、関係会社に被害を拡大させてしまう可能性があります。二次被害は絶対に防がなければなりません。

IT-BCP対応ポイント 社内に「シーサート」の設置を検討する

  • サイバー攻撃を受けた際の原因分析・究明を行う組織(CSIRT等)の設置が必要である。
  • 原因分析・究明組織と連携し、BCPにおける復旧判断・指揮のための情報を収集する。
  • 被害の原因を特定した後は、被害の拡大を防ぐことを大前提とし、システムならびに業務の復旧に向けた活動を行う。

【MEMO】
「CSIRT: Computer Security Incident Response Team」とは、コンピュータセキュリティインシデントに対応する組織体制のこと。「シーサート」と読む。

[視点6] 被害状況の把握に向けて

被害の内容と規模を把握し、復旧に向けた準備をしっかりと行わないと、通常業務への復旧や業務・サービスの継続が出来なくなる可能性があります

IT-BCP対応ポイント 復旧行動をあせってはいけない

  • 情報(データ)が失われたのか、漏えいしたのか、改ざんされたのか、状況を迅速に把握する(CSIRT等との連携)。
  • 情報漏えいの場合は、対象範囲や流出規模、改ざんなら対象箇所や修正方法等を確認し、対応する。
  • 復旧するためのバックアップデータ等が既に改ざん等の被害を受けていたり、脆弱性をもっていたりする場合は、そのデータから復旧しても解決にはならない。本当に安全なものであるかを確認したうえで復旧行動を行う(いつの時点のデータであれば安全に復旧できるのかを確認する)。
  • 状況把握や対応方法の指示を迅速に行うために、平常時から訓練を繰り返し実施する。

【MEMO】
情報漏えいの場合、流出した情報を回収し、削除しなければならないが、一度インターネット上に流出してしまった情報を完全に削除することは不可能なため、その情報が使用されても意味をもたないように、システム等を変更し、流出情報の一般化(機密情報として扱わない)等を行ことが必要である。

[視点7] 賠償費用や復旧費用負担への対応

システム内の情報(データ)の漏えい時や、改ざん時は、システムの復旧のための費用以外に追加で費用が必要となる可能性があり、組織の経営を苦しめる恐れがあります。

IT-BCP対応ポイント コストシミュレーションを怠らない

  • 情報漏えい時の被害額(賠償額)の想定をし、万が一、情報漏えいが発生した場合の対応方針を決めておく。
  • 改ざんの場合の復旧費用についても同様に検討し、対応手順を決めておく。
  • 想定された費用を用意するための方法・手順を決めておく(自社金庫、銀行との取り決め、サイバー保険への加入等)。

【MEMO】
加するサイバー攻撃と被害の深刻化を受けて保険商品化されたのが「サイバー保険」と言われるもので、復旧や事後対策に係る費用を補償してくれる。但し、保険会社によって補償内容が異なる。

「ITリスクに対応したBCP(IT-BCP)」を支援するソリューション

以上、「ITリスクに対応したBCP(IT-BCP)」の構築にあたって重要となる対応ポイントについて要点をまとめてみました。
いかがでしたでしょうか。ITリスクで重大な被害を被った場合、復旧が遅くなるほど事業への影響は広がり、取引先や顧客、社会からの信頼失墜にもつながりかねません。システムの力、教育の力などを効果的に活用し、これら対応ポイントを踏まえ、IT-BCPの構築、見直しを早急に実施されることをおすすめします。

NECソリューションイノベータでは「ITリスクに対応したBCP(IT-BCP)」の構築を支援する数々のソリューションを用意しています。この機会に、ぜひご検討ください。

お問い合わせ