高まるサイバー脅威にどう立ち向かう？ 経営層が陥りがちな方法論とは（2/2 ページ）

[中澤幸介，ITmedia]

BCPとセイバーセキュリティは一体的に整備を

　自然災害のために備えておいたBCPが、結果的にサイバーインシデントに役立つということはあり得る。2023年にランサムウェア攻撃によって機能が停止した徳島県のつるぎ町立半田病院や、大阪府の大阪急性期・総合医療センター、さらには3日間にわたりコンテナ搬出・搬入業務が停止した名古屋港コンテナターミナルは、いずれもBCPに取り組んでいたことで、迅速に対応できたことが事故報告書でも指摘されている。

　しかし、こうした自然災害想定のBCPでは、せいぜい連絡体制の構築にとどまり、システムの停止に対する事業継続までを実現することは難しい。サイバーセキュリティとBCPを一体的に構築し、サイバーインシデントによってシステムが止まったとしても、事業が継続できる体制を模索するべきだ。

　リスク対策は、あたかも樽のようなもので、一つの板が低かったり欠けたりすれば、全体の水は流れ出てしまう。リスクに対するバランスの取れた対応が求められる。

　もう一つ、最近よく耳にする「オールハザードBCP」という言葉についても触れておきたい。BCPは本来、災害などに限った計画ではなく、不測の事態においても、特定された重要業務が中断しないようにし、万一事業活動が中断した場合に目標復旧時間内に重要な機能を再開するための経営戦略だ。これには事業中断による顧客取引の競合他社への流出やマーケットシェアの低下、企業評価の低下から企業を守るという目的もある。

　従ってオールハザードアプローチは、特定の災害対策だけでなく、事業を中断させるあらゆるリスクに対応できるようにする、という概念においては異を唱えるつもりはない。しかし、それは初動対応が終わってから、通常のビジネスに早期に復旧させる狭義のBCPのプロセスであり、そもそもリスクを発生させないようにするための予防策は、当然、1つのBCPで完結するはずがない。自然災害なら防災、サイバー攻撃ならセキュリティ対策など、リスクごとに備え方は異なる。

　当然、初動対応においても、対処の方法は事案ごとに異なるのだ。火がついていれば消火をしなければいけないし、サイバー攻撃でウイルス感染をしたならネットワークの遮断やウイルスの除去をしなくてはいけない。これらを含めてオールハザードBCPと考えるのは、乱暴であるし、機能するはずもない。

注目を集めるNISTのCSF

　米国では、サイバーセキュリティ対策のフレームワークとして「Cyber Security Framework（CSF）」が定められており、そのVersion 2.0が2月に公開された。情報セキュリティ白書でも解説されていて、CSFは「識別（Identify）」「防御（Protect）」「検知（Detect）」「対応（Respond）」「復旧（Recover）」「統治（Govern）」の6つのカテゴリーで構成されている。これらの項目は、まさにBCPとサイバーセキュリティを合わせたもので、サイバー攻撃を防ぐだけでなく、被害を最小限にとどめ、早期の復旧を可能にするために有効だ。

　BCPとサイバーセキュリティ対策を一体的に進めていくためには、まず組織全体でリスクに対する共通の認識を持つことが重要である。BCP部門が自然災害のみを見て、セキュリティ部門が事業中断リスクを考慮しないような組織では、効果的なリスク管理は実現が難しい。リスク対策のベクトルを合わせるのは、経営トップの役割であり、まずは経営者としてリスク対策の方針を明確にし、全社的に共通認識のもとでサイバー対策や自然災害対策を推進することが必要だ。

著者プロフィール：中澤 幸介（なかざわ・こうすけ）

2007年に危機管理とBCPの専門誌リスク対策.comを創刊。

国内外多数のBCP事例を取材。

内閣府プロジェクト「平成25年度事業継続マネジメントを通じた企業防災力の向上に関する調査・検討業務」アドバイザー、平成26〜28年度　地区防災計画アドバイ ザリーボード、国際危機管理学会TIEMS日本支部理事、地区防災計画学会監事、熊本県「熊本地震への対応に係る検証アドバイザー」他。講演多数。

著書に『被災しても成長できる危機管理攻めの5アプローチ』『LIFE　命を守る教科書』、共著・監修『防災＋手帳』（創日社）がある。