災害用BCPの転用を
そこで、筆者が実務経験上有用と感じているのが、既存の防災対策を土台としてサイバーセキュリティを考えるというアプローチである。
有事の際の事業継続計画(BCP)を例にとると、11年の東日本大震災以降多くの企業が自然災害を念頭に置いたBCPを策定している。内閣府(防災担当)「令和3年度企業の事業継続及び防災の取組に関する実態調査」 によると、21年時点で、中堅企業においては40.2%が「策定済み」で11.7%が「策定中」、大企業においては70.8%が「策定済み」で14.3%が「策定中」と回答している。大企業を中心にBCPの策定が進んできていることが分かる。
この自然災害用のBCPを土台にして、サイバーリスクの特殊性を加味したサイバーリスク版のBCPを策定するというアプローチである。このアプローチは既に用意されたBCPをベースとするので、取り組みを始めやすいという利点がある。
また、自然災害とサイバー攻撃とは、原因自体は異なるものの、会社内の基幹システム、業務用ソフトウェア、ネットワークといったITインフラが影響を受けるという点で共通する。名古屋港へのサイバー攻撃においても、港湾での物流が全面的にストップするということは地震による津波や風水害によるものと類似する。
その後の業務復旧に向けたシナリオは、対策責任者の選定、対策チームの組成、関係者への適時の情報連携、代替機器によるオペレーションへの移行といった自然災害に対するものと似ている点が少なくない。そのため、既存のBCPをそのままサイバーリスクに応用できる部分が多い。
BCPの実際の応用事例として、21年10月に徳島県の半田病院で発生したランサムウェア攻撃事案がある。同時案の調査報告書によると「半田病院は、事前に主に地震災害用に定めていた事業継続計画(Business Continuity Plan、以下 「BCP」という。)を発動し、発生当初から災害級の取り扱いでインシデント対応にあたった」、「システムの復旧が難しいとの報告をうけた当直医が、救急受け入れの不可も判断し、関係各位に連絡をした。同日午前8時過ぎには病院幹部職員も参集し災害相当と判断。10 時に災害対策本部を設置、BCP に基づく対応を行った。「災害」と判断したことが功を奏し、会議においても診療継続に向けた解決策や回避策の検討など、各部署の担当者が現場の状況を確認し合い、情報共有と連携を図ることができていた」とある。自然災害用のBCPがサイバー攻撃の際にも有効に応用できたことが示されている。
日本は地震や台風といった自然災害が多いことから、日本企業において自然災害対策は蓄積の多い分野といえる。その蓄積をサイバー分野においても有効に活用することで、日本企業のサイバーセキュリティ向上に大きく役立つことが期待できるのではなかろうか。
▲「Wedge ONLINE」の新着記事などをお届けしています。
