サイバー攻撃を意識した事業継続計画
その考え方と対策の重要ポイント

　サイバー攻撃に対してはBCP（事業継続計画）の観点からも対策を施しておくことが必要だ。まずやるべきことは被害を予防／防止することである。もっとも昨今の悪質化・巧妙化するサイバー攻撃を完全に防ぐことは容易ではなく、被害が発生した際の対策も準備しておく必要がある。特に重要業務が停止してしまった場合、いかに早期に復旧できるかが重要なポイントとなる。その意味ではサイバー攻撃に対するBCPも、地震や洪水など大規模災害発生時の復旧対策とよく似ている。

　ただし、サイバー攻撃に対するBCPと大規模災害に対するBCPでは根本的に異なる点もある。「サイバー攻撃による被害発生時は、ただ単にシステムを復旧すればよいわけではありません。被害の及んでいる範囲の調査や原因の分析など、その前に実施しなければならないことが数多くあります。これを怠った場合、再び同じ攻撃を受けて、被害の発生を繰り返してしまうことになります」とNECソリューションイノベータの角道 淳平氏は警鐘を鳴らす。

　また、BCPは通常のシステム障害対応とも異なることも理解しておく必要がある。その点について角道氏は「一言で表現すれば『組織に大きな影響を及ばす事業停止に至るかどうか』にあります」と語る（図1）。 　BCPはその名の通り「事業継続にむけた計画」であるため、極端なことをいえば事業に大きな支障が発生しないのであれば、BCPを発動する必要はない。従ってBCPにおいては、「事業を止めずに継続させるためにはどうしたらよいか」を常に考え、その上で「サイバー攻撃が発生した際にシステムのみの単純な対応でよいのか」、それとも「事業継続活動をスタートさせるのか」という切り分けをまず行う。「この最初の分岐をどういった基準に基づいて実施するのかが、サイバー攻撃に対するBCPで重要なポイントの1つとなります」と角道氏は語る。

　それではサイバー攻撃に対するBCPでは、具体的にどんなことに取り組めばよいのだろうか。角道氏は「サイバー攻撃を受けるという前提に立ち、『サイバーレジリエンス』の考え方を取り入れることが必要です」と説く。

　ここでいうサイバーレジリエンスとは、サイバー攻撃を受けたとしても、その攻撃に耐え、被害から回復し、適応できる能力のこと。BCPの観点からこのサイバーレジリエンスを考慮したとき、企業が備えるべきものとして角道氏が挙げるのが、「被害を最小限に抑える能力」と「早急に元の状態に復旧する能力」の2つである。

　まず「被害を最小限に抑える能力」としては、被害を予防すること、被害をすぐに検知して被害の拡大を防ぐこと、さらには被害の影響範囲を特定して速やかに必要な対応を取れることが重要なポイントとなる。

　具体的な対策としては、サイバー攻撃の予防／検知に重点を置いたシステム対策のほか、CSIRT（Computer Security Incident Response Team）による検知と対応判断、SOC（Security Operation Center）による事象の検知などを行う。

　一方の「早急に元の状態に復旧する能力」については、あらかじめ優先順位をつけておき、復旧対応に取り組むことが重要だ。また、再度被害に遭わないように、必ず特定された原因への適切な対処を行った上で、迅速なシステムの復旧に努めなくてはならない。

　対策としては、復旧に重点を置いたシステム対策のほか、CSIRTによる原因分析などを行う。加えて前述したBCP発動基準や、社外へ対応依頼する際の基準などもあらかじめ定義しておく。

　また、サイバー攻撃による被害（インシデント）が発生してBCPを発動させた際には、情報システム部門やCSIRT、SOCだけでなく、経営陣をトップとする事業継続対策本部、被害の影響を受けた部門、従業員も連携して対応に当たることになるため、それぞれの役割や行動手順もあらかじめ整理して理解しておいたほうがよい。「特に経営層によるBCP発動判断をいかに迅速かつスムーズに行うことができるかどうかが、全体的な事業継続活動に大きく影響します」と角道氏は強調する。

　当然そこではCSIRTやSOCも重要な役割を担うことになる。「BCPの活動体制（対策本部）と情報セキュリティの責任者（CISO、CIOなど）、情報セキュリティ委員会、情報システム部門などをCSIRTやSOCと連携させ、サイバー攻撃による被害をすぐに検知し、速やかに原因分析を行うことで、組織として事業継続判断を行える体制を整えておくことが望まれます」と角道氏は語る。

　システム視点からのBCPについても、サイバーレジリエンスの観点から「予防」「検知」「復旧」の仕組みを整備することが肝要だ。

　まず「予防」の観点からは、DDoS対策、ファイアウオールの設置、アクセス制御、マルウエア対策ソフトの導入などが基本となる。次に「検知」の観点からは、ログの取得、攻撃の検知（IDS／IPS）、統合ログ管理ツールの導入のほか、外部の検知サービスの利用も検討しておきたい。そして「復旧」の観点からは、冗長構成の採用とともにバックアップを取得することが必須となる。

　加えてバックアップしたものが同時に被害に遭わないような保管方法や復旧方法を講じておくことも忘れてはならない。さらに「サイバーレジリエンスのためには、組織全体で意識的に取り組む必要があります。セキュリティ教育の徹底や経営判断力の強化はその一例です」と角道氏。また、被害額の大きさに応じてサイバー保険の契約も考慮に入れておくことも選択肢の1つだという（図2）。 　こうしたサイバーレジリエンスを念頭に置いた総合的な対策をBCP行動手順と組み合わせることで、サイバー攻撃に対するBCPを効果的に構築することができるわけだ。

　ただし、こうしたBCPを自社のみで作成することは容易ではない。そこで、NECソリューションイノベータでは、NECグループが培ってきたBCPおよびリスク対策に関する専門知識やスキルをベースに、経験をもつコンサルタントが企業・組織ごとのニーズや課題に沿った幅広いソリューションやコンサルティングサービスを提供しているという。

　BCP専門家による網羅的なレベル診断を行い、BCP上の脆弱性および今後の対策を報告する「BCPレベル診断」をはじめ、既に策定されているBCPと現状を確認して改善策を提案する「BCP見直し支援」、想定される災害から業務への影響度を分析して有効なBCPを立案する「BCP策定支援」といったメニューはその一例だ。

　加えて重要リソースや公共インフラなどが一定期間使用できなくなる状況を想定し、緊急時行動全般や意思決定の手順を確認・実践する「BCP訓練支援」、BCPに関する社内への教育サポートや講習会を実施し、従業員の理解を向上する「BCP教育支援」などにも対応している。

　「企画から構築、運用、定着化まで、あらゆるフェーズの課題に応えられるメニューを取り揃えていることが、当社の強みです」と角道氏。もしサイバー攻撃に対するBCPで課題を抱えているのであれば、相談してみるのもよいだろう。