第2回 NIST SP800からサイバーBCP見直しのヒントを探る（加速フェーズ）

オペレーショナルレジリエンスを強化する上で、「サイバー攻撃」は昨今避けて通れないトピックとなっています。今年1月にIPA（情報処理推進機構）が公表した情報セキュリティ10大脅威の1位が「ランサム攻撃による被害」であるとおり、大規模なサイバー攻撃にて事業継続に影響が出るようなインシデントが増加しています。これにより、日本企業でもレジリエンス強化の観点でサイバーセキュリティ対策を見直す動きが進んでいます。

コラムシリーズ「混沌としたリスク環境を乗り越える―オペレーショナルレジリエンス強化に向けたBCPの見直し」の第2回では、サイバーBCPの策定・見直しのヒントをNIST（National Institute of Standards and Technology：米国立標準技術研究所）によるセキュリティガイドライン「NIST SP800」から探り、オペレーショナルレジリエンスの加速フェーズについてお届けします。なお、各フェーズの大まかな説明は第1回コラムをご参照ください。

過去に「サイバーインシデントを想定したIT-BCPはなぜ必要なのか」というコラムをリリースしていますが、「必要性については理解したものの、どう見直してよいのか分からない」という声も上がっています。

IT-BCPとサイバーBCPには被害想定から復旧において図表1のような違いがあり、それぞれ独自に検討が必要な項目が複数見られます。一方で復旧時のシステム間の依存関係や、バックアップリソースの項目は共通で利用できるものもあるため、両者の差分を明確にすることで、重要な論点にフォーカスした検討ができると考えられます。

レジリエンスジャーニーの2回目にあたる本コラムでは、NISTのドキュメントやフレームワークを参考に、IT-BCPやサイバーBCPの見直しのポイントを整理します。昨今のサイバーインシデントを踏まえ、既存計画の見直しに取り組む企業の経営者や、リスク担当の方の参考になれば幸いです。

リスクシナリオの見直しと、ガイドラインとしてのNIST SP800

日本企業の多くはこれまで自然災害、特に地震でデータセンターやハードウェアが被害を受ける想定の下にIT-BCPを策定してきました。このため、東日本と西日本に分散してデータセンターを持ち、災害対策用のバックアップシステムを配置する構成が多く取られています。この影響を受けてか、サイバー攻撃についても「リスク評価を行う」のではなく「破滅的な事象を回避しつつ、できる範囲のことをする」というアクションにつながることが多く、実際にインシデントが起きた後の復旧プロセスの検討は後回しにされがちです。

NISTは米国連邦政府の情報システムのセキュリティ分野におけるガイドラインを提供するドキュメント群ですが、セキュリティに係るガバナンスをはじめ、インシデントの検知から対応、復旧までのサイクルをカバーしており、継続的にセキュリティ向上を行うためのフレームワークが提供されています。このことから、企業としてのリスク想定にサイバー攻撃を含めて見直す上でも参考になります。

サイバーBCP観点で参照すべきドキュメント

NISTはサイバーセキュリティのガイドラインであり、幅広くサイバーセキュリティに関連したドキュメントが整備されていますが、事業継続、とりわけサイバーBCPの観点で参照できるものを選定すると、以下図表2のドキュメントが挙げられます。

本コラムでは上記のうち、既存のIT-BCPとの位置付けを明確にし、不足している計画やリソースを明確にする観点で「NIST SP 800-34r1 Contingency Planning Guide for Federal Information Systems（連邦情報システムのための緊急時対応計画ガイド）」を、サイバー攻撃に対して、検討が不足しがちな復旧について見直す観点で、「NIST SP 800-184 Guide for Cybersecurity Event Recovery（サイバーセキュリティ事象復旧ガイド）」を紹介します。

既存のIT-BCPとの位置付けを明確にし、不足している計画やリソースを明確にする

既にIT-BCPがある中でサイバーBCPを追加で検討する場合や、「復旧」までを考えてサイバーBCPを見直す場合、現状の計画群を生かすため、既存のBCPやIT-BCPの復旧手順や連絡体制が流用できるのかを精査することが望ましいと考えられます。

NIST 800-34r1はBCPを中心に、IT-BCPに関連したガイドとなっています。この中では、サイバーインシデントに関する計画はサイバーインシデント対応計画（CIRP）として、情報システムに係る計画群の一つに位置づけられています。また、関連する計画としてITシステム緊急時対応計画（ISCP）を呼び出し、必要に応じて復旧手順の計画とも紐付けると定義しています（図表3）。

図表3：各緊急時対応計画間の関係性

日本の企業では、既に自然災害を想定したIT-BCPを策定しているケースが多いですが、これはNISTで定義されている災害復旧計画（DRP）とISCPが該当します。これに対して、サイバーBCPではCIRPと、そこから呼び出されるISCPが該当します。

サイバー攻撃からの回復では、システムが深刻な被害を受けた状態からリストアするという観点で、ある程度災害復旧計画が流用できると考えられます。一方で、復旧時の連絡体制や、バックアップの種類／復元ポイントなど、流用できない、もしくは流用できるか精査が必要な手順もあります。このため、システムの復旧に係る手順は、既存のDRPもしくはそれに紐付く下位の手順書をサイバーインシデントに対応する形で一部書き直す（分冊する）ことが有効と考えられます。

また、既に設定した緊急時の計画群を整理する際には、NISTの計画分類を参考にすることができます。図表3で色分けされているとおりNISTでは緊急時の計画を以下のカテゴリで分類し、それぞれの関連性を整理しています。

• ビジネス／ミッションに関する計画群
• 資産／人に関する計画群
• 情報システムに関する計画群

日本企業ではBCP／IT-BCP／サイバーインシデント対応が独立して計画されていることが多く、時に担当部署や対応する範囲の違いにより、緊急時の計画間で整合性が取れていないことがあります。サイバーBCPを策定・見直しする際には、既存の計画との関係性や過不足の整理が必要です。NISTでの計画間の関係性を参考に現行の計画群の関係性を見直し、流用できるところ、追加が必要なところを検討すると同時に、危機管理に対する体制の見直しや責任の明確化をしてみてはいかがでしょうか。

サイバーインシデントからの復旧に係る計画の整理

前述のとおりNIST 800-34r1を参考に現行の計画群を見直すと、復旧に係る計画、つまりISCPに当たる部分は、災害対応とサイバーインシデントの両方から呼び出されていることが分かります。

日本の企業においても、システムの構成によっては災害対策としてIT-BCPで準備したリソースが復旧に流用できるケースもある一方で、緊急時の連絡体制や切り替え／復旧の開始条件など、サイバーBCPで見直しが必要な項目も多々あります。

NIST SP 800-184サイバーセキュリティ事象復旧ガイドには、特定技術によらない復旧計画策定上のポイントが記載されており、サイバーBCPにおいて復旧プロセスを計画する上で参考になるポイントが記載されています。具体的には、「復旧計画の策定からプレイブックの作成」「テストに関するガイダンス、戦術的な対応（被害直後の対応）」「戦略的な対応（サイバー攻撃からレジリエントな環境を作るための継続した対応）などの定義」、それらを計測する上での「指標」などについて触れられています。

本コラムではこれらの中から「復旧計画に含めるべき項目」「復旧手順を開発する上でのポイント」「復旧フェーズとシナリオの例」について抜粋してご紹介します。

計画に含めるべき項目

復旧計画に含めるべき項目として、NIST SP 800-184には10項目が挙げられています（図表4）。項目自体は自然災害を想定したIT-BCPに含まれるのと同様のものを多く含みますが、サイバー用に検討が必要な観点が記載されています。

図表4：復旧計画に含めるべき項目

*1.原文では「オフサイト保管の詳細」と記載されているが、昨今バックアップに関しては改変不可なバックアップや、各種データ保全機能を持つ製品があるため記載を修正。

*2.原文では「インフラストラクチャ、ハードウェア、ソフトウェア」と記載されているが、昨今クラウドサービスの利用も進んでいるため記載を修正。

復旧手順開発上のポイント

復旧手順を開発する上では、4つのポイントが挙げられています（図表5）。

図表5：復旧手順開発のポイント

復旧フェーズとシナリオの例（ランサムウェアによる暗号化を想定）

実際の企業で発生するシナリオについての参考例と、それぞれのフェーズですべきことについても記載があります。NIST SP 800-184では戦術的な対応（被害直後の対応）と、戦略的な対応（継続してサイバー攻撃からレジリエントな環境を作るための対応）に分けて検討することを推奨しており、それぞれのフェーズでの計画例が示されています（図表6）。

スペースの都合上、各フェーズでの実施内容は要約して記載していますが、原文ではより詳細に計画策定におけるポイントが記されています。例えば「戦術的復旧フェーズにおけるコミュニケーション手段を合意」では、攻撃者が影響を与えた判断を分析し、コミュニケーションに係る製品群（チャットやメール、IP電話など）が影響を受けていないこと、また攻撃者からの盗聴リスクも低いことを確認の上、復旧時のコミュニケーションツール群の利用を決定する、とされています。

このように、サイバーBCPにおいて復旧手順を作成する場合は、NIST SP800-184を参照することで、サイバー攻撃に向けた検討の論点をある程度の網羅性をもって行うことができると考えます。

まとめ

本コラムでは、自然災害に対するIT-BCPを策定した企業がサイバーBCPを策定・更新することを想定した上で、NIST SP800における各種ドキュメントを紹介しました。

昨今の攻撃手法の巧妙化や、攻撃へのAIの利用、地政学的なリスクの増大などを考えた場合、固有リスクの「発生可能性」はこれまで以上に高まっている状況です。このため、外部環境の変化を受けたリスクシナリオの見直しや、サイバー攻撃によるリスクが顕在化した場合の復旧までを見据えたサイバーBCPの策定が望ましいと考えます。サイバー攻撃に対してのレジリエンスを高める上で、本コラムが参考になれば幸いです。