サイバーセキュリティ経営ガイドラインも推奨 今こそ求められている「サイバー攻撃に対応したBCP」

ZDNET Japan Ad Special

2018-03-02 15:00

[PR]サイバー攻撃による事業停止が大きなリスクになっている。最近のサイバー攻撃にはかつての常識が通用しないことがほとんどだ。特にビジネスに与えるインパクトが桁違いに大きくなった。

サイバー攻撃で事業停止。なぜBCPは発動されないのか?

 サイバー攻撃による事業停止が大きなリスクになっている。最近のサイバー攻撃にはかつての常識が通用しないことがほとんどだ。特にビジネスに与えるインパクトが桁違いに大きくなった。WebサイトやECサイトといったITシステムが止まるだけでは済まないケースもある。ときには製品を製造するラインやサプライチェーンそのものまで止まってしまう。

 記憶に新しいのは、昨年、国内で大きな被害をもたらした脅威であるWannaCryだろう。データを暗号化して身代金を要求するランサムウェアと呼ばれる脅威だが、Windowsファイル共有の脆弱性を突いて自己増殖するウイルスのような性質をもっていた。感染力と感染スピードが高く、インターネット閲覧用のPCだけでなく、社内システムを管理するPCや生産整備を管理するPCにも感染を広げた。この結果、生産やサービス提供を一時的に停止する企業が多発したのだ。

 なかには海外の製造拠点や研究拠点での感染が発端となったケースもあった。製造設備や検査機器へのセキュリティパッチ適用が遅れ、そこから日本国内の業務システムへと感染が広がった。脅威に国境線がないことをまざまざと見せつけた格好だ。

 ビジネスへのインパクトが桁違いに大きくなった背景には、いくつかの理由が考えられる。まず、脅威が高度化・巧妙化したことだ。ITだけでなく医療機器や制御系システム、IoT機器などにまで対象が広がったことも大きい。また、こうした機器はパッチ適用が難しいことも影響している。しかし、最も大きな理由が考えられる。それは、対策のための発想が根本的に変わったのに、それに合わせた対策ができていないことだ。

 実際、こう思ったことはないだろうか。「サイバー攻撃で事業が止まるほどの事態が起きたのに、なぜBCP(Business Continuity Planning: 事業継続計画)は発動されないのか?」。サイバー攻撃リスクはいまや経営課題だ。だが、それが事業継続の計画を実行する事態として捉えられていないのだ。

「サイバーセキュリティ経営ガイドライン」でBCP関連項目が追加

 BCPは、パンデミックや自然災害が発生したときに備える対策だ。事業が停止する事態に陥ったときどう復旧させ事業を継続させていくかの手順が書かれている。一方、サイバーセキュリティは、サイバー攻撃の発生に備える対策が中心だ。インシデントと呼ばれる緊急事態の発生に迅速に対応していくためのさまざまな対策を行う。

 一般的には、このようにBCPとサイバーセキュリティ対策は異なるものとして考えられている。IT-BCPという言葉もあるが、これはBCPをITの側面でどう整備するかを指した言葉だ。しかし、サイバー攻撃はいまや事業継続を左右する経営課題だ。そうであるなら、本来サイバーセキュリティ対策を含めたBCPが必要になるはずだ。

 逆に言えば、BCPとサイバーセキュリティが同じ経営課題として統合的に把握されていないことが、被害の拡大につながっている要因だと考えられないだろうか。

 例えば、BCPでは、災害によるシステムダウンやデータ消失に備えて、災害対策(DR)サイトを構築する。だが、現在のサイバー攻撃はネットワークを介してDRサイトのデータをも破壊してしまう。実際、WannaCryの被害事例のなかには、バックアップ対象のデータが暗号化され、そのデータが暗号化されたままDRサイトにバックアップされ、復旧が不可能になったケースがある。従来のBCPでは現在のサイバー攻撃に耐えられないのだ。

 また、BCPの復旧手順や推進体制も、現在のサイバー攻撃に耐えられるようには設計されていない。従来の手順では、ウイルスなどに感染したPCは、ネットワークから隔離して駆除したのち再接続するという流れだった。しかし、現在は、ネットワーク内部に脅威が潜伏するため、再接続した段階で再び感染してしまう。

 災害対策本部も、訓練のなかでこうしたサイバー攻撃を受けたときの対応を想定していない。専門的な知識をもった人材も少ない。攻撃を受けてから「どこに何を連絡すればいいかわからない」というBCPの初動すらできないケースも少なくない。

 つまり、サイバー攻撃で事業が停止してもそれに対応するBCPがないのが大きな問題なのだ。組織全体でサイバー攻撃に対応したBCP対策を講じる重要性は日増しに高まっている。実際、経済産業省が公表し、多くの企業が参考にしている「サイバーセキュリティ経営ガイドライン」では、昨年の改訂版のVer 2.0で、新たにリスク対応策(防御・検知・分析)の実施やインシデント発生時の復旧体制の整備についての項目が追加された(同書P.11、P.14)。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]