従来のBCPに不足している
サイバー攻撃対応の観点

独立行政法人情報処理推進機構(IPA)が発行する「情報セキュリティ10大脅威」では、昨年に引き続き2年連続で、組織向け脅威の1位に「ランサムウェアによる被害」がランクインしている※。実際に、今年にかけて大手企業の海外子会社やサプライチェーンの関連会社がランサムウェアの被害に遭っており、ニュースで目にした人もいるのではないだろうか。そのような背景もあるのだろう、我々が2018年から提供している「サイバー攻撃対応BCP策定コンサルティング」に対する問い合わせが増加している。5年ほど前に世界各国でランサムウェアの被害が相次いだ際にも最近の状況と同じく、多くの企業で事業停止や、業務遅延が発生していた。そのころより、我々は、サイバー攻撃対応を「Business Continuity Planning」(BCP)の一環で考えることを推奨しているが、今回改めてその必要性について紹介したい。

従来のBCPとサイバー攻撃対応を考慮したBCPとの違い

 BCPはすでに策定している、と答える企業も多いだろう。ただ、いま策定しているBCPは震災などの自然災害を想定したものになっているのではないだろうか。地震大国である日本では、これまでに何度も大きな地震を経験している。このような場合にも事業を継続できるようにするために、本番サイトとは異なる遠隔地や地盤の強いエリアにバックアップサイトを設けるなどの対策がなされてきた。しかし、ランサムウェア感染などの被害に遭った場合に、同じ対策で事業を継続できるだろうか。

 実際に当社の顧客環境で起きたことだが、バックアップサイトを準備していても、本番サイトのデータがランサムウェアによって暗号化されてしまうと、夜間バッチにより、暗号化されたデータがバックアップされてしまう(図1参照)。これでは、バックアップが意味を成さない。また、ランサムウェアがバックアップサイトに感染する可能性も十分考えられる。このように、災害を想定した従来のBCPではサイバー攻撃への対応が難しいのだ。ほかにも、サイバー攻撃を想定したBCPには災害を想定した対策とは異なる観点が求められる。これを踏まえ、サイバー攻撃対策に向けた例をいくつか紹介する(表1参照)。

●標的:災害は不特定多数に対し発生するが、サイバー攻撃は機密情報の窃取や身代金の要求など、対象を特定して行われる場合もある。対象となるのは、企業・業界・リモートワークをしている人・環境・国などさまざまだ。
●考慮すべき視点:災害の場合とは異なり、サイバー攻撃の場合は攻撃に遭ったからといって必ずしも被害者として見なされるわけではない。セキュリティ対策が不十分なため、顧客情報が漏えいしてしまった場合などには、加害者と見なされる場合もある。
●リスク低減対策:災害発生に備えた対策はできるが、実際に発生する災害の予測は難しくリスクの低減は困難だ。それに対し、サイバー攻撃には傾向がある。そのため、システム的対策、教育による対策などで、ある程度リスクの低減が可能だ。セキュリティパッチの適用、バージョンアップの実施、セキュリティ設定やアカウント・パスワード管理をしっかりと行うだけでもリスクを減らせる。
●被害状況把握:災害とは異なり、サイバー攻撃は気付かないうちに攻撃が進んでいることがあるため、被害に気付きにくい。
●復旧開始タイミング:災害が発生した場合、まずは避難し、その後復旧開始となるだろう。一方、サイバー攻撃の場合、復旧開始は原因究明の後となる。原因を把握し、対策した上でなければ、復旧したとしても再び同じ被害に遭う可能性があることを認識しておいてほしい。

サイバー攻撃に対応したBCPの策定

 それでは、サイバー攻撃の特性を考慮した上でBCPを策定するには、どこから手をつければよいのだろうか。ここで、手始めに実施してほしい二つのステップを紹介する。

①現状把握
下記のように、事業にとって重要となる項目を洗い出し、脅威となるサイバー攻撃を特定することで、影響を明確にする。
・絶対に停止させたくない業務
・絶対に窃取されたくないデータ
・事業に影響を及ぼす脅威
・被害に遭った場合の影響

②対策と行動基準の整理
インシデント発生時に、どのような対策を実施し、どのように行動すべきかを下記三つのステージに分けて考える。
・対策本部の設置
インシデント対応体制および役割、社内外への情報発信、関係部門・取引先・管轄省庁・警察などとの連携を明確にする。
・初期対応〜復旧
被害拡大防止、原因究明、縮退運転、再発防止の検討、対策優先度の整理、復旧体制などを整理する。
・平常時の対応
脆弱性対策体制と運用手順、セキュリティ対策の見直し、教育・訓練、社内への情報発信などの予防策を講じておく。

 これまで、サイバー攻撃を想定した取り組みや準備作業について説明してきたが、どれも重要な要素と言える。被害があってからでは遅い。ランサムウェア感染などのサイバー攻撃はいつ、どのシステムが対象となってもおかしくない。サイバー攻撃に対応したBCPを策定しておくことは非常に重要であるため、優先的に実施していただきたい。

※ 参考資料:「情報セキュリティ10大脅威 2022」
https://www.ipa.go.jp/security/vuln/10threats2022.html

早稲田大学グローバルエデュケーションセンター
非常勤講師

日立ソリューションズ
セキュリティソリューション事業部
企画本部
セキュリティマーケティング推進部 部長
Security CoEセンタ長
セキュリティエバンジェリスト
扇 健一 氏