サイバーインシデントを想定したIT-BCPはなぜ必要なのか？

サイバーインシデントでは重い決断が迫られる

まずは、従来の「災害対策のIT-BCP」と「サイバーインシデントを想定したIT-BCP」との違いについて考えていきましょう。災害対策のIT-BCPでは、通常の本番環境システムとは別に、災害発生時の緊急システムを遠隔地に準備しておき、実際に災害が発生した際に本番システムから災害対策システムへの切り替えを行うのが一般的です。この切り替えにあたっては、開始の条件が規定されていることが一般的です。例えば「震度5強以上の地震が起きた場合」や「データセンターが物理的に被災して障害が出た場合」といった一定の条件がトリガーとなるため、ある程度ルールベースでIT-BCPの発動を決断できます。

しかし、サイバーインシデントを想定したIT-BCPの場合はどうでしょうか。自然災害時と違って、サイバーインシデントでは自社のシステムだけが攻撃を受けているため、外部からは被害が見えないケースも少なくありません。そんな中、被害の拡大を止めるためにシステムを止めなければいけないという難しい判断を迫られる可能性があります。これは一時的にではあっても自ら事業継続を止めることを意味するため、判断を下す経営者、事業の責任者にとって、災害時の切り替えに比べて重い意思決定になります。

こうした意思決定と並んで考えておかなければいけないのが連絡手段の確保です。社内メールやチャット、ウェブ会議システムを使った連絡は、社内のITインフラが機能していることが前提となります。サイバーインシデントが発生しシステムに障害がある場合、メールもチャットも使えないため、意思決定に時間がかかってしまうことも考えられます。実際、海外の事例では、ランサムウェアの被害で社内システムが全滅し、デジタル化された電話システムもダウンすることにより、被害を受けた企業に全く連絡がつかなくなる事例も発生しています。

また、本番環境がランサムウェアなどのサイバー攻撃を受けて暗号化された場合、災害対策環境にも同じ変更が転送されてしまうため、本番と災害対策の環境が同時に被災する可能性があります。攻撃者はバックアップも含め破壊を試みることが多く、本番環境だけでなく災害対策側のデータが破壊されることも想定しておくべきでしょう。

すでに災害対応のIT-BCPが存在している企業も、上記のようなサイバーインシデントに対応できる体制になっているかどうか、改めて見直す必要があります。

業務とシステムのアーキテクチャの変更にあわせて重要度を再定義する

多くの企業で、DXの推進、デジタル端末利用の推進などにより、ビジネスプロセスがエンドツーエンドでデジタル化され、在庫や現場の状況確認にIoTが導入されるなど、ビジネスプロセスのデジタル化が進むにつれて、業務とプロセスが急速に変化しています。

業務プロセスが変更する背景で、システムのアーキテクチャも急速に変化しており、従来は見られなかった在宅勤務やリモートからのアクセスの利用、クラウド（SaaS／IaaSの利用)、IoTによるこれまでなかった経路でのインターネット経由での接続の増加などにより、システムのリスクと重要度の両方が変化しています。

リスク変化の一例として、リモートアクセスやIoTの利用などにより、企業のシステムへの接続が増えることで、従来型のシステムの入口を限定し防御を固める「境界型防御」だけでは攻撃を防ぎきれなくなりつつあり、必要に応じて情報資産へアクセスを制限する「ゼロトラスト」の導入が必要となっています。

もちろん、アーキテクチャやシステムの変化は、リスクだけを増大させているわけではありません。ランサムウェアに対応するため、イミュータブルバックアップの製品などで、一定期間変更不可能なバックアップを取得することで、復旧を含めた対策を検討することも可能になっています。また、クラウドの利用により、これまでより柔軟なリソース調達を行うことで復旧を迅速に行うこともできます。

重要なのは、業務とシステムの重要度を、ビジネス影響分析などを行い、事業継続に必要なリソースを特定した上で、「現在の」事業継続に必須のリソースにフォーカスして対応策を立てることで、IT-BCPをサイバー対策に対応できる計画にすることです。