パーソルグループとSky株式会社は、sightを通してエンジニアの自分らしいキャリアを応援しています

虎の巻!セキュリティ論 #09/災害時やトラブルにおける組織のITへの対策 ~IT事業継続について~(後篇)

f:id:sky-pca:20191020115615p:plain

 


ITについては、一般的な事業継続で実施する内容とは異なることに注意

非常事態の宣言とコミュニケーションツールとしてのIT

経営者が非常時に対応しなければならないことの中で特に重要なのは、「非常事態を宣言する」ことです。非常時は、収益を目指した日常の事業が停止されるため、株主に対して説明責任を負う経営者は、どのように判断して事業を停止したのかについての責任を問われます。すなわち、経営者は自己の判断でもうけを出す事業を止めるということを内外に明らかにするために、非常事態だと宣言しなければならないということです。これは、政府や自治体が大規模な災害時に実施する非常事態宣言の民間版と考えることができます。

しかし、収益をあげることを目的としている企業は、非常事態の宣言に対して慎重にならざるを得ません。非常事態モードになったあとは、モノを作る製造業のみならず、すべての企業においても、早期の事業再開が求められます。

事業継続モードで必要となるのは、全従業員や取引先との連絡、相談、スケジュール調整です。そのための手段として、メールやSNSなどの情報連絡ツールが用いられますが、災害時などの非常時にはそれらを使うことが難しくなると想定しておかなければなりません。未曾有の大災害であった東日本大震災においては、被害の大きさから安否確認や連絡に手間取り、多くの企業で非常事態宣言までに大変な時間を要しました。経営者自身も被災者であるため、非常事態を宣言して事業継続計画モードに移行できない、従業員も連絡が取れないなどによって、事前に立てていた事業継続計画を生かしきれなかったという声も多くあがりました。IT部門のサポートが必須です。(3)

事業継続モードで事業継続を進めるには、ITのどのサービスがどの時点で必要になるかを事前に決めておくことです。多くの組織の事業継続にはこの視点が欠けています。IT事業継続計画において、事業に直結したITサービスの復旧については細かく計画されていることが多いのですが、メールなどのコミュニケーションツールについても早期に復旧できるようきちんと盛り込んでおかなければなりません。

事業継続におけるITの特殊性

地震や火災、水害などと違い、サイバー攻撃などセキュリティの脅威による被害は、多くが図3に示すように発生直後には事象が伴いません(※3)。そのため、被害を最小限にとどめるためには事象が起きたことをいち早く検出することが求められます。

図3:ITでは事象の影響がすぐに現れない(1を加筆修正)

f:id:sky-pca:20191101051940p:plain

標的型攻撃に用いられるマルウェアは、長期間潜伏してスパイ活動を行います。そのため標的型攻撃と疑われるメールの受信を検知後、表面的には何も被害がなかったとしても安心することはできません(※4)。このようにサイバー攻撃などのセキュリティの脅威に対しては、実際の事象が起きた時点ではトラブルを検知できないということを知っておかなければなりません。

個人情報漏えい事件の原因の多くは、ITシステムの問題に起因するものではありません。しかし、組織としては問題が解決するまでITシステムを停止せざるを得ません。セキュリティの脅威に対しての事業継続は、工場などの施設が災害で破壊されたりするのとは大きく状況が異なります。すなわち、ITについては、一般的な事業継続で実施する内容とは異なることに注意してください。従って、復旧や回復においては必ずしも図3のように時間の経過とともに復旧できない場合もあります。


起こり得る事態を想定して訓練しておくと、
いざというときに役立ちます

IT事業継続での訓練の重要性

組織では、火災訓練や標的型メール攻撃訓練など多様な訓練を実施していますが、災害などさまざまな事象(トラブル)を想定した訓練を平常時に行っておくことは、突然襲ってくる事象に備える意味で重要です。これは、事前に訓練しておくと、何か事象や事件が起きたときに、自然に体が動くということが言われているからです。とっさの機転が利く人もいますが、すべての従業員にそれを期待することはできません。起こり得る事態を想定して訓練しておくと、いざというときに役立ちます。特に、災害やサイバー攻撃などの緊急時、人間には冷静に考える余裕がありません。そのため、非常事態に組織内のITがどうなるのか、どのようなITサービスを使って安否確認などの連絡するのかなどを訓練しておくことが望まれます。

また、ITサービスでは、標的型メールを受けたときの訓練に加え、運用者にはITサービスをどのように復旧するかなどの訓練も必要となります。BCMでは範囲が広いため、ITについて十分に対応されていないことも多いので注意が必要です。

レイヤー構造のIT事業継続を

ITサービスについては、レイヤー構造で考えるとわかりやすいでしょう。例えば、ネットワークはすべてのITがつながっているプラットフォームであるため、ネットワーク機器の損傷によりITサービスが停止する事態となり、ネットワークに問題がなくてもサーバーが使えなければWebアプリケーションが使えません。そのため、ITサービスをレイヤーごとに分けておき、依存関係を把握しておくことが求められます。

また、Webサービスなどは、ほかのサーバーと連携してサービスを提供しているので、どことつながってサービスを提供しているかを把握することも重要です。

■レイヤー構造で見たネットワーク

f:id:sky-pca:20191101051944p:plain

最後に

非常時の事業モードは通常とは異なります。ITサービスが使えないことで平常時とは流れが変わってしまうため、困惑してしまうことが多いでしょう。例えば、今までできていたメールの一斉連絡ができなくなると、個々に連絡を取らなければならず負荷がかかります。

また、非常時に何が重要かはその事態になってみなければわからないことが多々あります。不幸にして、大規模な個人情報漏えいを起こしてしまった場合には、原因が解明できるまでITサービスを停止しなければなくなりますが、ハードウェアに問題がなければ早期に復旧したいと思うのがIT担当者ではないでしょうか。しかし、問題解決には漏えいの原因分析やフォレンジクスなどが必須で復旧には時間がかかります。いつ復旧させられるかは経営者マターとなることを覚えておいてください。


 

(※3)例えば、巨大地震の際に外部電源は切れているのに装置がバックアップ電源で稼働するようなケースがあります。この場合には、装置が正常稼働しているように思えてしまいます。しかし、予備電源の電力が喪失すると止まってしまうこともあります。

(※4)数か月後に潜り込んだマルウェアが重要なデータを外部に送ることもあります。


参考文献

(1)原田要之助「大規模な情報漏えい事件の特性と対策の考え方」情報セキュリティ総合科学 第4号2012年11月

(2)鈴木 宏幸 新原 功一 原田 要之助「大規模個人情報漏えい事故の特性を考慮した事業継続対策」システム監査学会論文誌2016年、Vol29,No.1

(3)原田要之助「東日本大震災に学ぶ事業継続計画とITの在り方 組織におけるITリスク管理」情報セキュリティ総合科学、第3号2011年11月 

(4)「IT サービス継続ガイドライン」改訂版、2012年 

(5)「IT-BCP 策定モデル」内閣サイバーセキュリティセンター(NISC) 

情報セキュリティ大学院大学客員教授:原田 要之助

1954年京都生まれ。1979年京都大学大学院工学部数理工学専攻修了。電信電話公社(現NTT)の研究所で通信ネットワークの監視、制御システムを開発。1999年から情報通信総合研究所にてセキュリティのコンサルや監査に従事、大阪大学工学部大学院工学研究科の特任教授を経て2010年から2019年まで情報セキュリティ大学院大学教授。マネジメントと事業継続を講義。2019年より客員教授。経産省のIT関連の委員会の委員、2008年から2010年までISACA(情報システムコントロール協会)国際本部副会長、セキュリティマネジメント学会会長、日本ITガバナンス協会理事などを歴任。


第10回/Coming soon