サイバー攻撃に対応したBCPソリューションが登場
では、どのようにしてサイバー攻撃に対応したBCPを構築していけばよいのか。BCPもサイバーセキュリティ対策も全社的な取り組みが求められ、予算規模が大きく、カバー範囲も多岐にわたる。BCPとサイバーセキュリティに関する専門的な知識やスキルも必要だ。実際に被害の現場に立ち会ってみないとわからないノウハウや経験の蓄積もある。
そのような中、サイバー攻撃に対応したBCPソリューションが登場した。日立ソリューションズと日立システムズが提供を開始した「サイバー攻撃対応BCPソリューション」だ。
サイバー攻撃対応BCPソリューションは、BCP策定からセキュリティ対策の実施、監視運用、復旧までをトータルにサポートするソリューションだ。PDCAサイクルに沿って、サイバー攻撃に特化したBCPの策定(Plan)、BCPに沿ったセキュリティ対策の実施(Do)、監視運用などBCPの運営(Check)、BCPの効果検証・継続的改善(Action)を行い、事業継続を支援する。特徴は大きく3つある。
1つめは、BCP策定に向けたコンサルティングだ。経験豊富なセキュリティスペシャリストが、ISO27001などのリスクアセスメントを基準にした「サイバー攻撃対応BCP策定コンサルティング」を提供する。また、策定したBCPやリスク分析結果に基づき、サイバー攻撃を受けた際に事業上の影響度に応じたセキュリティ対策を提供する。
2つめは、ネットワーク機器からエンドポイントまでの統合的な運用監視だ。セキュリティアナリストが常駐するSOC(Security Operation Center)から、ネットワーク機器の24時間365日監視や、インシデントの迅速な原因究明と対策の実行を行う。
3つめは、事業継続のサポートだ。約2,000名の公的資格や業務経験を保持したセキュリティスペシャリストやホワイトハッカーが連携して、顧客をサイバー攻撃から守り、有事の際の原因調査・再発防止策提案までを含めて事業継続をサポートする。
※クリックすると拡大画像が見られます
ソリューションを活用することで、サイバーセキュリティ経営ガイドライン Ver 2.0で指示されている項目を効率よく導入していくことが可能になる。
ソリューションの目玉「サイバー攻撃対応BCP策定コンサルティング」
こうしたBCPとセキュリティが融合したトータルソリューションはこれまでほぼ存在しなかった。必要性の高さは認識され始めていたものの、実際に提供するための知識やノウハウ、体制を有するベンダーは限られてしまうためだ。
例えば、セキュリティの専門ベンダーならBCPコンサルティングまでを提供しようとすると、BCP分野に強いコンサルタントが必要になる。一方、BCPコンサルティングに強みを持ったベンダーは具体的なセキュリティ製品やサービスに強いセキュリティスペシャリストが必要になる。BCPとセキュリティが違うものと認識されていたように、それぞれに強みを持った人材も分かれていたのが実情なのだ。
そこで、サイバー攻撃対応BCPソリューションでは、日立ソリューションズと日立システムズの強みを統合させた。両者はもともと日立グループの総合力を生かしたセキュリティ関連の製品とサービスを展開しており、BCPにもセキュリティにも強かった。
その強みが特に発揮されているのが「サイバー攻撃対応BCP策定コンサルティング」だ。コンサルティングは「事業への脅威分析」と「サイバー攻撃対応BCP策定」の2つのフェーズに分けられており、サイバー攻撃に特化した事業リスク分析と優先度に応じた対策や行動基準の作成を行う。作業期間は最短3ヵ月から可能だ。
一般に、BCPコンサルティングは全社的な取り組みになることが多い。そのため、期間も長く、費用も高額になりがちだ。一方、セキュリティコンサルティングは、ソリューションの導入がメインのため、BCP導入で使われるビジネスインパクト分析などの手法が利用されないことが多い。
サイバー攻撃対応BCP策定コンサルティングは、こうした課題を解消している。人材不足などでBCP策定が未着手の中堅中小規模の企業でも要件に柔軟に対応した低価格なBCP対応を実現することが可能だ。また「IEC62443」などの制御システムのセキュリティマネジメントシステムに準拠したコンサルティングも行う。
サイバー攻撃による事業停止リスクを正しく把握するためには、サイバーセキュリティだけのアプローチやBCPだけのアプローチでは不十分だ。サイバーセキュリティ経営ガイドラインが訴えるように、サイバーセキュリティに対応したBCPが今求められている。