自然災害のリスクが高まる昨今において、危機的状況にスムーズに対応できるよう、BCP(事業継続計画)に注目している企業も多いのではないでしょうか。事前にBCPを準備しておくことで、不足の事態が起きた際に、迅速かつ適切な対応をとることができます。
そのなかでも、情報化社会のなかで特に重要性が高まっているのが、本記事でご紹介する「サイバーBCP」です。本記事では、サイバーBCPの必要性や策定時の手順などを詳しく解説します。
目次
サイバーBCPとは、サイバー攻撃によって生じるITリスクに対するBCPを意味します。
そもそもBCP(事業継続計画)とは、緊急事態が発生しても事業が継続できるよう、対策や手段などをまとめた計画のことです。
また、昨今のビジネスは、事業継続のためにITシステムが重要な役割を担っているため、ITシステムの運用維持を目的として、BCPとは別に「IT-BCP(情報システム運用継続計画)」を策定するケースもあります。
サイバーBCPはIT-BCPに含まれており、「サイバー攻撃のリスク軽減」に特化しているのが特徴です。巧妙化・悪質化するサイバー攻撃を完全に防ぐのは難しいものの、万全の備えを用意することで発生確率を最小限に抑えられます。
テレワークの推進やICTツールの導入など、昨今の働き方改革によってビジネス環境が変化するほど、新たなサイバーリスクが生じやすくなります。
さらに、一昔前に比べてサイバーリスクが高まっており、情報漏洩やシステム停止などに陥らないためにも、常にサイバー攻撃を意識したBCPの構築が重要です。
総務省の「令和4年版 情報通信白書」によると、サイバー攻撃関連の通信数は、2018年に約2,100億パケットだったものが2021年には約5,100億パケットと約2.4倍に拡大しました。
また、アンケート調査にて「情報セキュリティで何らかの被害を受けた」と回答する企業は、2021年で全体の過半数を占めているのも特徴的です。
このようなサイバーリスクが高まる環境下において、約98%の企業が何らかの対策を行っているようです。上位を占めるのは「パソコンなどの端末にウィルス対策プログラムを導入(83.1%)」、「サーバーにウィルス対策プログラムを導入(61.6%)」、「ID・パスワードによるアクセス制御(57.0%)」となっています。
現在のビジネス環境は、ITシステムの継続に影響を与え得るさまざまなリスクに対し、被害の最小化と必要な対策を講じる必要性が高いといえるでしょう。
サイバーリスクについてさらに詳しい情報を知りたい方は、こちらの記事をご覧ください。
<サイバー攻撃が238%増加!どうする?「コロナ禍」のセキュリティ対策。>
\サイバー攻撃の動向をもっと詳しく解説/
サイバーBCPは、内閣府の「事業継続ガイドライン」や中小企業庁の「中小企業BCP策定運用指針」などを参考にすると、よりスムーズに策定が可能です。ここでは、サイバーBCPを策定する際の手順を具体的に解説します。
1. 基本方針の決定
2. 運用体制の構築
3. 危機的事象の定義
4. 被害状況の想定
5. システムごとの復旧優先度を設定
6. システム継続に必要な構成要素を整理
7. 事前対策計画の作成
8. 非常時対応の計画策定
9. 教育訓練計画や維持改善計画の策定
維持すべきシステムの優先順位や対象範囲などを定めた基本方針を決定します。
少なくとも、Webやメールをはじめとする情報収集・共有のためのシステムや、社内ネットワークにアクセスするための認証基盤などは対象に含めたいところです。このように、非常時の組織全体の活動を支えるシステムから優先的に対象に含めると良いでしょう。
基本方針がある程度固まったら、関係者の間で合意形成をはかります。異なる意見を持つ関係者同士で話し合うことで、さまざまな意見を参考に基本方針の解像度を高められるほか、皆が同じ熱量で対策に取り組めます。
基本方針をもとに指揮命令系統や担当者を決定します。サイバーBCPを策定する際は情報システム部門が牽引役になるケースが多いものの、ほかにも他部署から必要な人員を集め、全社一丸となって取り組むことが重要です。
また、多数の関係者同士がスムーズに連携を取り合えるよう、関連部署との連携体制の構築やコミュニケーション方法の確立などの対策を実施しましょう。
サイバー攻撃によって起こり得る危機的事象を定義します。あらかじめ複数の事象を洗い出し、リストアップするのがおすすめです。
とはいえ、企業のリソースには限界がある以上、すべての事象に備えるのは現実的とはいえません。
そこで、リストアップした危機的事象に優先順位を設定します。その事象が起こった際の影響度や発生確率が高い順に優先順位を付けることで、実際にサイバー攻撃を受けた際に冷静な判断が可能です。
先ほどリストアップした危機的事象の具体的な被害状況を想定します。
たとえば、サイバー攻撃にはウイルス攻撃やランサムウェア、DDoS攻撃などの種類が存在します。
このような攻撃を受けた際に被害が生じる場所や実害などを想定しておくと、現行システムが抱える脆弱性を明らかにできるでしょう。
ただし、被害状況はあくまでシミュレーションにしか過ぎないので、注意が必要です。
想定とは異なる場所に被害を受けたり、実害範囲が異なったりする可能性も考え、予測する幅に余裕を持たせておくと良いでしょう。
実際にサイバー攻撃の被害を受けた際は、事業内容によって各システムの復旧優先度が異なるのが一般的です。
そのため、サイバー攻撃によって最も業務に支障を与えるシステムを優先に、復旧する順序を設定しましょう。
また、システムごとに目標復旧時間(RTO)を設定し、その幅に応じてグループに分けることも重要です。
具体的には、最も優先度の高いシステムは2時間以内の復旧を目標にし、Aランクに分類するといった形です。目標復旧時間の設定とグループ分けにより、復旧に必要な人員やコストを明確にできます。
サイバーBCPでは、システム単体だけではなく、ハードウェアやソフトウェア、人員といったシステム継続に必要な構成要素に対し、網羅的な対策を講じる必要があります。
サイバーリスクに備える場合は、次の5つの構成要素が重要です。
1. データセンターやオフィスなどの社屋
2. 通信回線や電力などのインフラ
3. パソコンやサーバーなどのハードウェア
4. アプリケーションプログラムやOSなどのソフトウェア
5. 保守要員やオペレーターなどの人員
各構成要素を洗い出し、それぞれの目標対策レベルを設定しましょう。
構成要素ごとの目標対策レベルに到達できる具体策を検討します。そのためには、現状の対策レベルを構成要素ごとに整理し、目標との差分を明らかにすると良いでしょう。
実績と目標との間に大きな差が現れていれば、その部分がシステムの脆弱性にあたるため、より十分な検討が必要です。
たとえば、サイバー攻撃を受けた際の対応体制や連絡方法などをまとめます。また、緊急時に再調達が困難になるハードウェアやソフトウェアを把握したり、重要なデータのバックアップ体制を整備したりすることも重要です。
実際にサイバー攻撃を受けた際に復旧を行う責任者と担当者を明確にします。
平時にそれぞれの役割を明確にしておくと、復旧に向けたよりスムーズな対応が可能です。さらに、責任者や担当者が不在のときに備え、あらかじめ代行者を設定するのも良いでしょう。
また、計画のなかに復旧時のマニュアルや緊急時の連絡網を記載することも大切です。
マニュアルがあれば、明確な手順に沿ってスムーズに復旧手続きを進められるほか、連絡網によって他部署同士のより円滑な連携を可能にします。
システム復旧の実効性を高めるには、教育訓練計画の策定が重要になります。
計画の内容に沿って定期的な訓練を実施することで、実際に危機的状況に陥った際でも皆が冷静に行動できるようになるでしょう。
訓練によって得られたノウハウを今後の改善に活かせるよう、維持改善計画を策定することも大切です。
維持改善計画には、訓練時の評価ポイントを明記します。その評価によって現行システムの脆弱性や訓練時の改善点を把握し、サイバーBCPの内容をより良いものへと修正しましょう。
ここまでサイバーBCPの策定方法をご紹介しましたが、実際にどのような対策方法を検討すれば良いのでしょうか。
ここでは、データのバックアップや代替機の検討など、BCPの内容を充実させる具体策をご紹介します。
サイバーBCPの最も基本的な具体策は、定期的なデータのバックアップです。
システムがダウンしてデータが復旧できない事態に陥ったとしても、バックアップがあればデータ消失のリスクを最小限に抑えられます。
データのバックアップを取る際は、ローカル上にデータを保存することもできますが、なるべく遠隔地のデータセンターやクラウドを活用するのがおすすめです。サイバー攻撃だけではなく、地震や水害といった地域が限定される災害リスクを分散できるからです。
また、手動ですべてのデータをバックアップするのは手間や時間がかかります。
コア業務に支障を出さないためにも、自動バックアップシステムを活用し、効率的に対策を行うと良いでしょう。
サイバー攻撃によって、パソコンやサーバーといったコンピュータシステムが利用できなくなる可能性があります。
このようなケースに備えられるのが代替機の存在です。代わりのパソコンやサーバーを用意しておくと、サイバー攻撃に遭った際でも業務を継続できるでしょう。
なお、サイバー攻撃はインターネットにつながっていないオフライン端末も標的になり得ます。
社内ネットワークに侵入して情報を盗聴したり、電話やメールでなりすましを行ったりするソーシャルエンジニアリングという手法により、オフライン端末にも被害が及ぶ可能性があるからです。
代替機を検討する際は、普段使用しているOSやサーバーとは異なるものを準備しましょう。
サイバー攻撃を受けると、同じリソースの端末が同時に使用できなくなる恐れがありますが、OSやサーバーの異なる代替機を用意すればリスクを分散できます。
CSIRT(シーサート)とは、コンピュータセキュリティに対応するための専門組織です。
サイバー攻撃に関するインシデント(保安上脅威となる事象)の原因を突き止め、スムーズな復旧や二次被害の防止などを目的に活動します。
CSIRTは、内製化や外部委託、あるいは両者を組み合わせて設置するのが一般的です。
内製化は、設置する際の手間や運用コストが発生しますが、組織をコントロールしやすいメリットがあります。セキュリティ人材の不足で内製化が難しい場合は、一部またはすべての業務を外部委託するのが良いでしょう。
\他にもお役立ち情報をお届け!/
よりスムーズにサイバーBCPを策定するには、計画を立てる際のポイントを押さえることが大切です。ここでは、次の3つのポイントを具体的に解説します。
サイバーBCPを策定する際は、実施すべき対策が山積し、どの部分を優先的に着手すべきか不明確になるケースも珍しくありません。
限られたリソースのなかですべての対策を行うのは難しいため、実施すべき対策のみを取捨選択すると良いでしょう。
そのためには、事業継続において重要な要素を洗い出します。
サイバー攻撃によってシステムが機能不全に陥った状況を想定し、最もダメージが大きい箇所を特定すると、必要な対策と不要な対策を区別できます。
公的機関のガイドラインを参考にするのも方法のひとつです。
ガイドラインには、BCPのフォーマットや留意事項などが記載されているため、資料を参考にしてBCP策定をスムーズに進められるでしょう。
BCP策定に役立つ代表的なガイドラインは次の通りです。
サイバー攻撃によって策定した計画内容を可視化することで、緊急時にとるべき行動が一目で把握できます。関係者や従業員が緊急時の状況を正確に判断すれば、適切な行動へとつながります。
具体的には、指揮命令系統や担当者の責任範囲、ITシステムの構成要素、緊急時の対応方法などを整理し、マッピング(図式化)した情報を社内で周知徹底します。
システムが機能不全に陥った場合のことも想定し、デジタルデータに加え書面でも情報共有ができる体制を整えましょう。
また、マッピングした資料があれば、関係者の協力や理解を得やすいメリットもあります。
ビジネス環境の変化やデジタル化の促進などの影響でサイバーリスクが高まるなか、企業においてセキュリティ対策は必須だといえます。
サイバー攻撃をはじめとする危機的状況に備えるためにも、サイバーBCPを策定し、万全な体制を整備することが大切です。
サイバーBCPを策定するうえで、「現状のネットワーク環境に不満がある」「必要なセキュリティ対策がわからない」という場合は、日本通信ネットワークが提供する「FLESPEEQ(フレスピーク)」を検討してみてはいかがでしょうか。
FLESPEEQには次のようなサービスの種類があり、企業全体のICT環境を最適化できます。
サービスに関するお問い合わせをいただくことで、現在のお悩みやご要望をヒアリングしたうえで、導入計画の作成や必要に応じて現状環境の調査を実施します。
現状のネットワーク環境における課題を明確にしたうえで、最適なサービスをワンストップで導入できるのがメリットです。
以下のページから資料のダウンロードや無料相談ができますので、ご興味のある方はぜひ確認してみてください。
日本通信ネットワークでは、企業ごとに、企画立案から構築・運用までワンストップで、ICTソリューションサービスを提供しています。
IT担当者様が、ビジネス拡大や生産性向上のための時間を確保できるよう、全面的に支援します。
お問い合わせ・ご相談・お見積りは無料ですので、お気軽にお問い合わせください。