サイバーセキュリティ経営ガイドラインも推奨 今こそ求められている「サイバー攻撃に対応したBCP」

ZDNet Japan Ad Special 2018年03月02日 15時00分

  • このエントリーをはてなブックマークに追加

[PR]サイバー攻撃による事業停止が大きなリスクになっている。最近のサイバー攻撃にはかつての常識が通用しないことがほとんどだ。特にビジネスに与えるインパクトが桁違いに大きくなった。

サイバー攻撃で事業停止。なぜBCPは発動されないのか?

 サイバー攻撃による事業停止が大きなリスクになっている。最近のサイバー攻撃にはかつての常識が通用しないことがほとんどだ。特にビジネスに与えるインパクトが桁違いに大きくなった。WebサイトやECサイトといったITシステムが止まるだけでは済まないケースもある。ときには製品を製造するラインやサプライチェーンそのものまで止まってしまう。

 記憶に新しいのは、昨年、国内で大きな被害をもたらした脅威であるWannaCryだろう。データを暗号化して身代金を要求するランサムウェアと呼ばれる脅威だが、Windowsファイル共有の脆弱性を突いて自己増殖するウイルスのような性質をもっていた。感染力と感染スピードが高く、インターネット閲覧用のPCだけでなく、社内システムを管理するPCや生産整備を管理するPCにも感染を広げた。この結果、生産やサービス提供を一時的に停止する企業が多発したのだ。

 なかには海外の製造拠点や研究拠点での感染が発端となったケースもあった。製造設備や検査機器へのセキュリティパッチ適用が遅れ、そこから日本国内の業務システムへと感染が広がった。脅威に国境線がないことをまざまざと見せつけた格好だ。

 ビジネスへのインパクトが桁違いに大きくなった背景には、いくつかの理由が考えられる。まず、脅威が高度化・巧妙化したことだ。ITだけでなく医療機器や制御系システム、IoT機器などにまで対象が広がったことも大きい。また、こうした機器はパッチ適用が難しいことも影響している。しかし、最も大きな理由が考えられる。それは、対策のための発想が根本的に変わったのに、それに合わせた対策ができていないことだ。

 実際、こう思ったことはないだろうか。「サイバー攻撃で事業が止まるほどの事態が起きたのに、なぜBCP(Business Continuity Planning: 事業継続計画)は発動されないのか?」。サイバー攻撃リスクはいまや経営課題だ。だが、それが事業継続の計画を実行する事態として捉えられていないのだ。

「サイバーセキュリティ経営ガイドライン」でBCP関連項目が追加

 BCPは、パンデミックや自然災害が発生したときに備える対策だ。事業が停止する事態に陥ったときどう復旧させ事業を継続させていくかの手順が書かれている。一方、サイバーセキュリティは、サイバー攻撃の発生に備える対策が中心だ。インシデントと呼ばれる緊急事態の発生に迅速に対応していくためのさまざまな対策を行う。

 一般的には、このようにBCPとサイバーセキュリティ対策は異なるものとして考えられている。IT-BCPという言葉もあるが、これはBCPをITの側面でどう整備するかを指した言葉だ。しかし、サイバー攻撃はいまや事業継続を左右する経営課題だ。そうであるなら、本来サイバーセキュリティ対策を含めたBCPが必要になるはずだ。

 逆に言えば、BCPとサイバーセキュリティが同じ経営課題として統合的に把握されていないことが、被害の拡大につながっている要因だと考えられないだろうか。

 例えば、BCPでは、災害によるシステムダウンやデータ消失に備えて、災害対策(DR)サイトを構築する。だが、現在のサイバー攻撃はネットワークを介してDRサイトのデータをも破壊してしまう。実際、WannaCryの被害事例のなかには、バックアップ対象のデータが暗号化され、そのデータが暗号化されたままDRサイトにバックアップされ、復旧が不可能になったケースがある。従来のBCPでは現在のサイバー攻撃に耐えられないのだ。

 また、BCPの復旧手順や推進体制も、現在のサイバー攻撃に耐えられるようには設計されていない。従来の手順では、ウイルスなどに感染したPCは、ネットワークから隔離して駆除したのち再接続するという流れだった。しかし、現在は、ネットワーク内部に脅威が潜伏するため、再接続した段階で再び感染してしまう。

 災害対策本部も、訓練のなかでこうしたサイバー攻撃を受けたときの対応を想定していない。専門的な知識をもった人材も少ない。攻撃を受けてから「どこに何を連絡すればいいかわからない」というBCPの初動すらできないケースも少なくない。

 つまり、サイバー攻撃で事業が停止してもそれに対応するBCPがないのが大きな問題なのだ。組織全体でサイバー攻撃に対応したBCP対策を講じる重要性は日増しに高まっている。実際、経済産業省が公表し、多くの企業が参考にしている「サイバーセキュリティ経営ガイドライン」では、昨年の改訂版のVer 2.0で、新たにリスク対応策(防御・検知・分析)の実施やインシデント発生時の復旧体制の整備についての項目が追加された(同書P.11、P.14)。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

連載

CIO
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]