{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
はじめに
近年、ランサムウェアやサプライチェーン攻撃などのサイバー攻撃は、その手口が高度化・巧妙化しており、企業の事業継続に深刻な影響を及ぼすリスクとなっています。ひとたび大規模なインシデントが発生すれば、業務停止による売上損失にとどまらず、顧客や取引先からの信頼失墜、さらにはブランド価値の毀損といった中長期的な経営リスクに直結します。
このような脅威に備え、有事においても事業を継続し、早期に復旧するための「サイバーBCP(事業継続計画)」の策定は、もはや情報システム部門だけの課題ではなく、経営レベルで取り組むべき重要なテーマとなっています。
一方で、多くの企業では自然災害を想定した従来型のBCPは整備されているものの、サイバー攻撃を起点としたBCPの策定は十分に進んでいないのが実情です。「どこから着手すべきかわからない」「情報システム部門任せになり、全社的な取り組みになっていない」といった課題感を抱える企業も少なくありません。
本記事では、サイバーBCPを実効性あるものとして策定・推進するためのアプローチの全体像と、各ステップにおいて押さえるべきポイントを整理して解説します。これからサイバーBCPの策定、あるいは既存計画の見直しに取り組む方々にとって、実践的な指針となることを目的としています。
サイバーBCPの推進は以下図表1のようなアプローチにて行います。
図表1:サイバーBCPの推進アプローチ
各ステップでの実施内容や考慮点について解説します。
1.目的・方針定義および推進体制の構築
サイバーBCPの検討においては、ランサムウェア対策やバックアップソリューションといった具体施策から検討を始めてしまいがちです。しかし、その前提として不可欠なのが、経営層との目的意識の共有です。
具体的には、以下のような観点について経営層と認識を合わせます。
- いつまでに、どのレベルの事業継続体制を実現するのか
- サイバー攻撃を受けた場合に、最低限回避すべき事態は何か
- 短期的・中長期的に許容できる業務停止や制約の範囲はどこか
例えば「重要業務については、システムが全面的に停止した場合でも、マニュアル対応により最低限の業務継続を〇日以内、〇週間以内に確立する」「完全復旧までの間、暫定的でもよいので業務利用可能な代替システム環境を年度内に整備する」といった形で、大枠の方向性を定義します。初期段階で経営合意されたゴールイメージを共有することで、議論の軸がぶれにくくなり、推進の効率化につながります。
サイバーBCPの推進体制においては、サイバーセキュリティ部門だけでなく、事業部門、危機管理部門、情報システム部門など多岐にわたる組織の関与が不可欠です(図表2)。このため、経営層についてもCIOやCISOといった情報システムやセキュリティの責任者だけでなく、事業やエンタープライズリスク管理の責任者を検討プロセスに巻き込むこと、さらには組織横断での取り組みとして推進するために適宜CEOのコミットメントを得ておくことも必要です。
図表2:サイバーBCP推進における関係者・関係組織と主な検討・関与タスク
関係者・関係組織 |
サイバーBCP推進における主な検討・関与タスク |
経営層 |
推進に対するコミットメント、推進上の重要決定事項に対する判断・承認、訓練参加 |
CISO・サイバーセキュリティ部門 |
シナリオ設定、インシデント対応体制・プロセス整備(危機管理体制との連携含む)、意思決定基準策定(サイバーリスク観点)、データバックアップ方針策定(サイバーリスク観点でのバックアップ取得対象・方法、バックアップデータの保護などに関する助言)、当局報告 |
CIO・情報システム部門 |
システム復旧手順・代替システム環境整備、データバックアップ方針策定 |
事業部門 |
重要業務特定、代替業務手段策定、システム復旧・バックアップに関する業務要件定義(最低限必要な機能、RPO/RTO等)、意思決定基準策定(事業リスク観点) |
経営企画・危機管理部門 |
事業継続管理(BCM)関連規程類へのサイバーBCPに関する事項追加、各部門のサイバーBCP策定に関する管理・取りまとめ、サイバー攻撃時の危機管理体制・対応プロセス整備(インシデント対応体制との連携含む) |
広報部門 |
顧客・メディア対応、インシデント公表基準策定 |
法務部門 |
サイバーセキュリティ・情報保護や事業関連の法令対応 |
併せて既存のBCPとの関係性を整理し、業務影響度分析や業務・システムマッピングなどについては既存成果物を最大限活用することで、検討や文書作成の重複を防ぎます。
2.重要業務・システムの特定(業務影響度分析)
次に、業務継続や復旧の優先順位を定めるため、業務影響度分析を実施します。ここでは重要業務を特定するとともに、それらが依存するシステム、ネットワーク、端末、クラウドサービスなどのITリソースを整理します。
この際、セキュリティのCIA(機密性・完全性・可用性)のうち、可用性が失われた場合の影響を十分に考慮することが重要です。「個人情報を扱っていないため重要ではない」といったように機密性観点のみで判断すると、事業継続上の重要性を見誤る可能性があります。
分析に多大な時間を要する場合は、過去の分析結果を活用したり、経営判断により対象業務を絞り込むなど、後続ステップに十分なリソースを確保する工夫が求められます。
3.シナリオ設定
サイバーBCPにおけるシナリオ設定では、想定する攻撃の種類と結果として生じる被害範囲の、二つの観点から検討します。
攻撃の種類としては、ランサムウェア攻撃、DDoS攻撃、取引先経由でのマルウェア感染など、一定の粒度で設定します。ただし、攻撃手法の詳細なプロセスを精緻に定義することが目的ではありません。
サイバーBCPでは、攻撃の過程よりも、結果としてどのシステムやデータが、どのような状態になるのかに焦点を当てることが重要です。例えば、特権奪取についても「どの手法で奪取されるか」ではなく、「奪取された結果、どこまで影響が及ぶのか」を重視します。
予測困難なサイバー脅威に対しては、原因ではなく結果に着目する「オールハザード型」のアプローチが有効です。業務影響度分析の結果を踏まえ、「重要業務システムの停止」「認証基盤の停止」「システム全面停止」など、現実的かつ検討価値の高い被害シナリオを設定します。自社システムだけでなく、取引先システムやクラウドサービスについても利用可否の前提を整理しておきます。
4.BCPの策定
対象業務の特定および優先順位づけ
シナリオ設定の結果を踏まえ、BCP策定の対象業務とその優先順位を決定します。影響範囲が限定的な場合もあれば、全社的に広範な業務が影響を受けるケースもあります。
全てを同時に検討しようとすると負荷が高くなるため、推進体制や予算などの制約を踏まえ、フェーズを分けてマイルストーンを設定し、重要度の高い業務から順次展開します。
業務の目標復旧レベルの定義
代替業務手段や代替システム環境を検討するため、目標復旧レベルを定義します。
例えば以下のような観点です。
- マニュアル対応に切り替えた場合、平時の何%程度の業務量を維持するのか
- 有事において、実施を見送ってもよい業務は何か
サイバー攻撃では、被害範囲の特定に時間を要することが多く、従来のRPO(Re covery Point Objective:目標復旧時点)/RTO(Recovery Time Objective:目標復旧時間)をそのまま適用できない場合があります。そのため、事業部門と認識を共有しながら、「データが存在しない初期状態の環境でも、即時利用したいシステム機能は何か」「どの時点までのデータであれば復旧を要するか」といった形で、時間軸とセットで要件を整理します。
システムの復旧前提の定義
システムが利用できなくなった時点からどれくらいの期間をしのげるレベルの代替業務手段を定義すればよいのか、復旧前提を定義します。事業部門側の疑問に対しては、サイバー攻撃によりシステムが利用できなくなった時点から起算し、経過期間とともに段階的なシステム復旧が行われる前提を置きます(例:XX日後にはメールやインターネットが復旧、XX週間後にはXXシステムが復旧、など)。
代替業務手段の定義
システム停止時の代替業務手段として、電話やFAX、事前に準備したスタンドアローン端末やスマートフォンの活用を想定します。必要に応じて、短期間で利用可能なクラウドサービスの一時利用も検討対象となります。
また、マニュアル対応増加時の要員確保やスキル面の課題についても、事前にシミュレーションしておくことが重要です。
代替システム・端末の整備
代替システムに関する要件や整備する環境の規模次第では、システム調達のため予算・導入計画を立て、別プロジェクト化により並行して進めます。
5.意思決定・コミュニケーション計画策定
サイバーBCPにおいては、個別業務やシステム単位の対応を定義するだけでなく、有事における意思決定とコミュニケーションの在り方を事前に明確にしておくことが極めて重要です。
サイバー攻撃発生時は、被害範囲や影響度が不明確な状況下で、迅速かつ重い判断を迫られる局面が多く、平時と同様の意思決定プロセスが機能しないケースも少なくありません。
そのため、サイバーBCPでは経営層を含む緊急時の体制・役割分担、意思決定およびエスカレーションの基準、社内外ステークホルダーへの情報共有方針を、あらかじめ整理・定義しておく必要があります。
具体的には、以下の観点を中心に検討します。
- サイバーインシデント発生時に設置される緊急対策体制(対策本部等)の構成、役割、運営方法
- 経営層、事業部門、CSIRT、情報システム部門など、関係組織間の連携方法
- システム停止、BCP発動、段階的復旧、外部公表といった重要判断を行う際の意思決定プロセスおよび判断基準
- ビジネス影響、インシデント調査の進捗状況、レピュテーションリスクなど、意思決定に必要となる検討要素
併せて、社内外のステークホルダーに対するコミュニケーション計画も整理します。具体的には、従業員、取引先、顧客、委託先、規制当局など、対象ごとに「誰が」「いつ」「何を」「どの手段で」伝えるのかを定義し、混乱や情報の錯綜を防ぐことが重要です。
有事の際には、強いプレッシャーの中で冷静かつ合理的な判断を行うことが難しくなる局面が想定されます。そのため、全てを現場判断に委ねるのではなく、一定の方針や判断軸を事前に定めておくことが、迅速かつ適切な対応につながります。
このような意思決定・コミュニケーション計画をサイバーBCPの中核要素として位置づけることで、技術対応や業務継続施策と経営判断を一体として機能させることが可能となります。
6.教育・訓練および継続的改善
机上・実機訓練
策定したサイバーBCPの実効性を高めるため、机上訓練や実機訓練を通じて検証を行います。訓練では全工程を網羅することにこだわらず、重点検証ポイントを明確にしたスコープ設定が有効です。
机上訓練では、BCP関連文書を、関係部門で読み合わせる形で一連のステップをウォークスルーし、部門間の役割分担の認識合わせや疑問点を解消するとともに、課題があればフォローアップ事項として管理・対応します。
実機訓練では、代替システム環境の起動や切り替えを実機にて行い、技術的課題や切り替え所要時間、ユーザー目線での使い勝手などについて検証します。本番システムや業務停止が必要となるケースもあるため、業務影響を鑑みて実施時期・時間帯や訓練中断の判断基準を設定しておく必要があります。
経営層訓練
経営層を対象とした訓練を通じて、不確実な状況下での意思決定を疑似体験することは、平時の意識醸成や部門間連携の強化にも寄与します。
こうして構築されたサイバーBCPは、一度策定して終わりではなく、脅威動向や技術環境の変化を踏まえ、継続的に見直し・改善していくことが求められます。
7.おわりに
サイバー攻撃は、発生頻度や手口の高度化により、もはや例外的なリスクではなく、事業継続を前提に向き合うべき経営課題となっています。サイバーBCPの策定は、単なるインシデント対応計画ではなく、「どの事業を、どの水準で、どの時間軸で守るのか」という経営判断を具体化する取り組みです。本稿で示した推進アプローチは、限られたリソースの中でも実効性を高めるための一つの考え方に過ぎませんが、自社の事業特性やリスク許容度を踏まえ、段階的に取り組みを進めていくことが重要です。サイバーBCPを継続的に見直し、磨き上げていくことで、企業のレジリエンス強化につながることを期待します。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
