{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
はじめに
「サイバーレジリエンスの構築に向けた推進上のポイント―オペレーショナルレジリエンスにおけるサイバーリスクへの対応―」では、オペレーショナルレジリエンスにおけるサイバーリスク対応の重要性について紹介しました。本稿では、サイバーインシデントが発生した際に、影響許容度の範囲に収まるよう迅速な業務継続、復旧対応までを行うために整備すべきと考えるCyber Recovery Playbookについて解説します。
なぜ今Cyber Recovery Playbookが注目を集めるのか
すでに多くの企業では、何かしらの事業継続計画(BCP)を整備しています。特に、東日本大震災や新型コロナウイルス感染症の影響もあり、自然災害やパンデミックを想定した事業継続計画が危機管理部門の旗振りのもと急速に整備されてきました。このようにリスクが顕在化、流行するに伴い、そのレジリエンスを確保するために、事業継続計画は拡充・進化する側面を持ちます。
では現在、レジリエンスの確保において想定すべき重要なリスクとはなんでしょうか。
その1つは「サイバーリスク」です。近年はサイバー攻撃の民主化が進み、またロシアによるウクライナ侵攻に見る地政学的な問題も相まって、サイバーリスクが顕在化しています。実際にランサムウェア攻撃などにより事業が長期間停止する被害が多発しています。サイバーリスクに対するレジリエンスの確保が求められており、特に金融機関を中心にサイバーレジリエンスへの注目度が高まりつつあります。
しかし、ランサムウェア攻撃の被害を受けた際に、事前に定めた業務継続目標を達成できる事業継続計画をどれほどの企業が持ち合わせているのでしょうか。
多くの企業の状況をみると、ことサイバーリスクにおける事業継続計画は依然として具体性・実効性に乏しいのが現状です。これには、第2線部門※の連携不足が要因の1つと考えられます。多くの企業において、事業継続計画全般は危機管理部門が所管していますが、サイバーリスクの所管はセキュリティ部門が担います。セキュリティ部門を中心に整備が進められたインシデント対応計画は、事業継続計画発動への接続が記述されていなかったり、事業継続目標を顧みない計画となっていたりすることが散見されます。実際に、いざサイバーリスクシナリオに基づいてオペレーショナルレジリエンスをテストすると、事前に整備したインシデント対応計画に従った対応がなされても、事業継続計画で定めていた事業継続目標(RTOなど)を達成できていないケースが多く見られます。
※第2線部門とは、3つのディフェンスライン(three lines defense)の考え方を構成する1つのディフェンスラインであり、リスクに対する監視の役割(第2線)を担うリスク管理部門やコンプライアンス部門を指します。3つのディフェンスラインの詳細は、こちらの記事をご参照ください。
このような状況を改善するキーソリューションの1つとして「Cyber Recovery Playbook」の整備が挙げられます。
Cyber Recovery Playbookという概念は新しくはないものの、迅速なインシデント対応・復旧や、事業継続といったレジリエンス確保の側面から、その重要性が再認識されています。
特にオペレーショナルレジリエンスの重要性が浸透しつつある金融機関や、高い事業継続が求められる企業にとっては、まずはサイバーリスクシナリオを用いて、オペレーショナルレジリエンスをテストし、事業継続目標を達成し得るか検証することが大事です。もし、事業継続目標が達成できず、その原因としてインシデント対応に時間を要しているなどの課題が検出されれば、Cyber Recovery Playbookの整備を検討することが推奨されます。
Cyber Recovery Playbookとは
Playbookとは、もともとアメリカンフットボールで利用される作戦や戦術をまとめたノートのことであり、あらかじめデザインされた数々の戦術(プレー)について、相手のさまざまなフォーメーションに応じて各選手がどのように動くべきかといったことが詳細に記述されています。これをサイバーインシデントへの対応に応用したものが「Cyber Recovery Playbook」で、ランサムウェア攻撃やデータ漏洩などのサイバーインシデントへの対応・復旧の手順をまとめたものを指します。
では、従来のインシデント対応計画とどのように違うのでしょうか。
従来のインシデント対応計画は、あらゆるインシデント対応に適用できるよう、汎用的な対応手順・プロセスが記述されています。そのため、インシデント対応にあたる者にはあらゆる場面で臨機応変な対応が求められるため、必要な対応がなされない、迅速性を欠くなどの状況に陥りやすいです。また、近年のビジネスエコシステムの拡大・多様化に伴い、インシデント対応の難易度は増しており、従来の汎用的なインシデント対応計画では、適切な対応ができない、あるいは適切に対応できたとしても迅速性を欠き、事業継続目標が達成できないケースが見られます。
一方、Cyber Recovery Playbookには、重要なビジネス・サービスの事業継続目標も踏まえ、具体的なケースを想定したインシデント対応手順や業務継続手順を具体的に記述します。そのため、適切かつ迅速なインシデント対応・業務継続対応が期待できます。
こうした背景から、オペレーショナルレジリエンスの取り組みが特に進んでいる英国や米国においては、インシデント対応という視点のみならず、事業継続という視点から、Cyber Recovery Playbookの有用性が再評価されています。特に当局が金融機関に対して2025年3月末までにオペレーショナルレジリエンスの構築を完了することを求めている英国*1, 2においては、既に複数の大手金融機関がCyber Recovery Playbookの整備を完了しています。
Cyber Recovery Playbookを整備することによる2つのメリット
1. 対応の迅速化
Cyber Recovery Playbookでは、 経営層、サイバーセキュリティ担当者、システム担当者、法務担当者など全ての担当者が同じ方針の下で、適切な順番で動けるように意思決定プロセスや対応方法を具体的に記述します。各チームでの対応状況が可視化されるとともに、バラバラに管理されがちな情報を集約・相互連携しながら適切な対応が行えるようになるため、各対応や判断が迅速化され、業務継続に向けた対応や、復旧に至るまでの時間短縮が期待できます。
結果として事業継続目標や素早い事業復旧の達成に寄与するなど、サイバーレジリエンスを高めます。
2. 正確かつ均一な対応
Cyber Recovery Playbookを整備することで、インシデント対応の精度の向上も期待できます。例えば、セキュリティ調査や証拠保全という抽象的なプロセスだけではなく、調査・証拠保全のタイミング、対象や項目、手順を具体的に記述しておくことが推奨されます。また、インシデント対応においては、規制当局への報告など、コンプライアンス面でも満たすべき要件があります。このような手続きについても、タイミングや報告基準、内容などをCyber Recovery Playbookに具体的に記述しておくことで、コンプライアンス遵守に寄与します。
上記を行うことにより、インシデント対応が担当者に依存せず均一化される効果も期待できます。
Cyber Recovery Playbookで用意しておくべきシナリオとは
Cyber Recovery Playbookは詳細な対応手順書になるため、特定のサイバーインシデントのシナリオに焦点を当てて作成することが望まれます。
典型的なシナリオの例としては、「マルウェア感染」、「フィッシングメール」、「データ侵害」*3などがあります。
各社において発生の可能性が高く、リスクの高いサイバーインシデントシナリオのうち、まずは上位3~5つに対してCyber Recovery Playbookの作成を行っていき、将来的には対応できるシナリオを拡張していくことが望ましいと考えます。このサイバーインシデントシナリオを選定する際は、自社および同業界や同事業を行っている企業に影響を与えた過去のインシデント事例、グローバルのサイバー脅威動向などを考慮することがポイントとなります。
特に昨今の脅威動向を踏まえると、「自社のランサムウェア感染」、「大規模なデータ侵害/流出」、「内部不正」のシナリオに対応できるCyber Recovery Playbookは最低限用意しておくべきと考えます。
Cyber Recovery Playbookに記載すべき主要項目
Cyber Recovery Playbookに記載すべき主要項目は、一般的に下記の4項目になります。ただし、内容は全ての企業で統一されたものではなく、各企業の環境に応じて作成することが重要となります。
項目1:スコープとガバナンス
Cyber Recovery Playbookのスコープを定義し、対象とするサイバーインシデントの種類や業務継続や復旧対応を管理するためのガバナンス構造などを記載します。またガバナンスの観点では、業務継続・復旧対応における関係者の役割と責任を明確にします。
項目2:発動と業務継続および復旧プロセスの概要
サイバーインシデントが発生した際のCyber Recovery Playbookを発動する条件や、エスカレーションの詳細、業務継続を行うためのプロセス、復旧プロセスの概要を記載します。
項目3:アクションカード
復旧プロセスごとに必要なタスクを実行するためのアクションカードを準備し、グループ化しておくことが望ましいと考えます。各アクションカードの中身には、作業者が見て対応できるよう、具体的な対応方法を記載します。アクションカードを作成する際の1つの重要なポイントとして、法規制に関連する対応方法を記載するアクションカードについては、最新の法的要件や業界標準などを調査したうえで、反映させることが望まれます。
項目4:付属資料(ツールやテンプレート集)
付属資料としては、業務継続・復旧プロセスをサポートするツール(チェックリスト、連絡先リストなど)、テンプレート(当局などへの報告フォーマットなど)、対応プロセスの概要などを用意しておきます。
Cyber Recovery Playbookの有効性の確認ポイント
Cyber Recovery Playbookの有効性を確認するための主な取り組みは大きく分けて、「定期的なレビューと更新」と「定期的な訓練の実施による改善」の2種類があります。これらの取り組みにて重要となる観点を確認し、継続的にCyber Recovery Playbookを改善することで、サイバーセキュリティ対応能力を向上させることができます。
■定期的なレビューと更新
下記の観点で、定期的にレビューし、更新を行うことが望まれます。最新のグローバルの脅威動向や法令動向を提供するPwCの「サイバーインテリジェンス」を活用することも有効です。
- オペレーショナルレジリエンスの結果を基にした更新:オペレーショナルレジリエンスの取り組み結果が、Cyber Recovery Playbookへ反映されているか
- リスクの再評価:定期的にサイバーリスクを見直し、Cyber Recovery Playbookが最新の脅威に対応しているか
- コンプライアンスへの適合:Cyber Recovery Playbookが最新の法的要件や業界標準に準拠しているか
- 新技術導入時の更新:新しい技術やシステムを導入した際に、Cyber Recovery Playbookが適切に更新されているか
- 役割と責任の明確化:組織変更などがあった際に、Cyber Recovery Playbook内で各メンバーの役割と責任が更新されているか
■訓練実施による改善
習熟度に応じて、研修型の机上演習だけでなく、実践的なインシデント訓練などを定期的に実施し、下記の観点などでCyber Recovery Playbookが実際のインシデント発生時に機能するかを確認・改善を行うことが望まれます。PwCは、経営層やセキュリティ部門だけでなく、あらゆる社員に対して経営層向け意思決定演習、サイバーインシデント対応訓練演習、レッドチーム演習など幅広いソリューションを提供しています。またこれらの演習は、米国CISA(Cybersecurity&Infrastructure Security Agency)のサイバーセキュリティシナリオに準拠した内容で提供することも可能です。
- 手順の十分性:手順に抜け漏れはないか。各ステップが明確に記述されており、誰でも理解し、実行できるか
- 事業継続性:インシデント対応下の限られたITリソース下において、事前に想定している業務継続対応を行うことができるか
- コミュニケーションと報告プロセスの検証:インシデント発生時の情報共有や経営層への報告プロセスが適切かつ迅速な対応として機能するか
- 従業員のトレーニング効果:Cyber Recovery Playbookに基づいた従業員トレーニングの効果を評価し、理解度や対応能力を改善しているか
- 自動化対応の有効性確認:インシデント対応の自動化を可能にするSOAR(Security Orchestration, Automation and Response)などのツールが効果的に機能するか
まとめ
Cyber Recovery Playbookは、組織がサイバーインシデントに備え、迅速に業務継続・復旧対応を実現するための重要なツールです。現状では、現場の担当者の経験に依存してしまったり、担当者の入れ替わりなどによってサイバーインシデントの対応できる能力が変わってしまったりするケースが散見されます。
そこで、Cyber Recovery Playbookを用意しておくことで、担当者の経験や能力などに依存せず、常に一定のレベル以上でのインシデント対応および迅速な業務継続・復旧対応までを確実に行えるようになると考えられます。
Cyber Recovery Playbookの作成には、業務およびシステム(サイバー含む)を理解でき、経営視点を持った人材が中心となって各部と調整・協力しながら取り組む必要があります。その理由として、以下の2点が挙げられます。
①自社のシステム環境などによって、どのように正しく対応・復旧をさせていくべきか各社によって異なる部分や独自のアプローチを持つ場合があることから、各社に応じて対応内容を検討する必要がある
②サイバーインシデントが発生した際にビジネス・サービスを提供している業務部門、リスク管理部門、サイバーセキュリティ部門、IT部門、法務部門、広報部門などが何をすべきか、どのようにコミュニケーション・連携すべきかを整理する必要がある。また、サイバーインシデント発生後に講じるべき対応や対策をどのような順序で行うかなどを整理する必要がある
本稿では、金融機関向けのオペレーショナルレジリエンスにおけるサイバーリスク対応の要の1つとしてCyber Recovery Playbookは紹介しました。しかし、さまざまなサイバーリスクが増加している昨今では、他の重要インフラ事業者においても、サイバーインシデント時の迅速な業務継続のための対応や復旧を可能にするため、Cyber Recovery Playbookを事前に準備しておくことが必要であると考えます。
*1:Bank of England, 2021, PS6/21 | CP29/19 | DP1/18 Operational Resilience: Impact tolerances for important business services, 2024/7/1閲覧,
https://www.bankofengland.co.uk/prudential-regulation/publication/2018/building-the-uk-financial-sectors-operational-resilience-discussion-paper
*2:FCA, 2017, Operational Resilience, 2024/7/1閲覧,
https://www.fca.org.uk/firms/operational-resilience#revisions
*3:National Cyber Security Centre (NCSC), 2019, Incident management “How to effectively detect, respond to and resolve cyber incidents”, 2024/7/1閲覧,
https://www.ncsc.gov.uk/collection/incident-management
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
