昨今ランサムウエアやハッキング等でコンピュータ・システムが利用不能となり、企業や市町村のサービスが長期間マヒする「インシデント」が増加しています。このような事態に対して(1)サイバーセキュリティ対策と独立して「サイバー・レジリエンシー(回復力/継続性)対策」を立案し、更に(2)既存のビジネス・レジリエンシー対策(BCP/DR)との一体運用が必要だと考えられます。弊社では、この分野の課題と対処方策をレポート:CISO Guide to Cyber Resiliency: Building a Future of IT Stabilityにまとめました。ここではその概要をご紹介します。
■ サイバー・レジリエンシー対策の必要性
企業や地方自治体のビジネス・レジリエンシー(回復性/継続性)対策(ディザスター・リカバリー(DR)/ビジネス継続性(BCP)などとも称される)は、これまで地震などの自然災害や停電/火災など「物理的な」事故/災害を想定して、事業の継続方策が検討されてきた。昨今ランサムウェアなどサイバー攻撃がビジネスをマヒさせるケースが散見されるようになり、サイバー・インシデントを含んだレジリエンスの確保が必要だとの認識が広がっている。ところが、これまでコンピュータ・システム被害を防ぐサイバーセキュリティ対策はあっても、サイバー・インシデント後の事業継続や復旧方策を検討してきたケースは多くない。
■ サイバーセキュリティ対策とサイバー・レジリエンシー対策の分離
ここでは、まずサイバーセキュリティ対策とサイバー・レジリエンシー対策を区別してみたい。
(1)サイバーセキュリティ対策
これまで実施されてきた、サイバー攻撃からの被害を防ぐ/最小限に留める施策全般
・サイバー被害予防策導入の徹底(脆弱性への対処など)
・サイバー攻撃の検知と阻止方策の導入
・デジタル情報の保護(暗号化など)
・DDoS攻撃に対するシステム保全など
(2)サイバー・レジリエンシー対策(サイバー・インシデント後の復旧対策)
レジリエンスの確保には、まずサイバー攻撃がビジネスにどのような影響を与えるか(「顧客サポートができない」「営業活動ができない」「流通が止まる」「生産ができない」など)を理解し、継続の必要度に合わせたリカバリー対策(全面復旧/部分復旧を目指すのか、代替手段を導入するか等)を考案する必要がある。更に以下のような事項の事前検討も必要となるだろう。
・ビジネス全体としてのダウンタイムの最小化
・金銭的被害の最小化
・意思決定手順の明確化(「いつ社内業務をレジリエンシー・モードに切り替えるか」「いつ社内/社外にインシデントを宣言するか」「非常時における外部リソース活用方策」など)
■ サイバー・レジリエンシーとビジネス・レジリエンシー対策の融合
サイバー・レジリエンシーの骨格が出来た後は、従来からあるビジネス・レジリエンシー対策との整合性を検証し、インシデント対応の一体化が必要となる。その中ではインシデント対応体制の見直しやチーム・メンバーのトレーニング/相互理解の強化なども含まれるだろう。
国際情勢が緊張感を増す中、米国では(高度な技術力を持つ)他国家によるサイバー攻撃への警戒感が高まっている。そのようなサイバーセキュリティ動向も念頭におきながらサイバー・レジリエンシー対策の立案を進める必要があると思われるがどうだろう。