2017/07/18
海外のレジリエンス調査研究ナナメ読み!
田代 邦幸
自動車メーカー、半導体製造装置メーカー勤務を経て、2005年より複数のコンサルティングファームにて、事業継続マネジメント(BCM)や災害対策などに関するコンサルティングに従事した後、独立して2020年に合同会社Office SRCを設立。引き続き同分野のコンサルティングに従事する傍ら、The Business Continuity Institute(BCI)日本支部事務局としての活動などを通して、BCMの普及啓発にも積極的に取り組んでいる。一般社団法人レジリエンス協会 組織レジリエンス研究会座長。BCI Approved Instructor。JQA 認定 ISO/IEC27001 審査員。著書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)
今回は、BCMの専門家や実務者による非営利団体BCI(注 1)が 2017 年 6 月に発表した『Cyber Resilience Report 2017』(以下、「本報告書」と略記)をとり上げる。BCI は、この 1 年前にも同様の調査を実施して調査報告書を公開しており、紙媒体の『リスク対策.com』で紹介させていただいたが(注 2)、わずか 1 年でも意外に変化が見られた部分があったので、ここで改めて紹介したいと思う。
調査は BCI 会員を主な対象としてアンケートで行われ、69 カ国の 734 人から回答を得ている。およそ 1/3 程度が欧州からの回答であり、次いでアジアからの回答が 1/3 程度、北米からの回答が 1 割程度である。前回調査と比べるとアジアからの回答が大幅に増えている(注 3)。 回答者の役割を見ると、全体の半分弱が事業継続の担当者であり、リスクマネジメント、IT 災害復旧、情報セキュリティを担当している人がそれぞれ 1 割程度となっている。
調査結果を見ると、回答者の 64% が過去 12 ヶ月間にサイバー・セキュリティに関する何らかのインシデントを経験しているという。この数字は前回調査とほとんど変わらないが、内訳に若干の変化が見られる。
図 1 はその内訳であり、上位 5 位までの順序と割合はほとんど変わらないが、第 6 位にランサムウェアが登場している。これは前回調査では選択肢すら無かったものであり、ここ 1 年間でいかに急速に増えてきたかが分かる。
このランサムウェアに関しては本報告書でも特に注目しており、「Case study」として 1 ページを割いている。ここでは英国の国民保険サービスおよびドイツや米国の病院で発生した、ランサムウェアによるインシデントの事例が紹介されているが、ビットコインで身代金の支払に応じた例もあれば、バックアップされたデータを用いることで身代金の支払を免れた例もあり、組織内の IT 部門による迅速かつ適切な対処が重要であることが指摘されている。
また、ランサムウェアを仕込む主な方法がフィッシングやソーシャル・エンジニアリングであることから、従業員に対する教育や意識向上が組織のサイバー・ディフェンスを強化するために重要であると強調されている。
また図 2 は、サイバー・セキュリティ事故への対応計画の妥当性をどのように検証しているかを尋ねた結果である(注 4)。前回調査と大きく異なるのは、第 3 位に侵入テスト(penetration tests)が加わっていることである。これも前回調査では選択肢すら無かったものである(注 5)。前回調査と比べると、何らかの演習を実施するというものが全体的に上位に上がってきており、サイバー・セキュリティに関するインシデントの増加に伴い、具体的かつ実践的な対策に取り組む組織が増えていることが伺える。
本報告書では他にも、サイバー・セキュリティに関するインシデントによる被害額や、ソーシャルメディアに関する課題など、興味深い内容を多く含んでいる。ページ数も比較的少なく、全体的に図を多用した読みやすい報告書なので、ご一読をお勧めしたい。
■ 報告書本文の入手先(PDF 17 ページ/約 3.1 MB):
http://www.thebci.org/index.php/bci-cyber-resilience-report-2017
注 1) BCIとは The Business Continuity Institute の略で、BCMの普及啓発を推進している国際的な非営利団体。1994年に設立され、イギリスを本拠地として、世界100カ国以上に8000名以上の会員を擁する。http://www.thebci.org/
注 2) 本報告書の 2016 年版については、紙媒体の『リスク対策.com』vol. 56(2016 年 7 月発行)の連載記事「レジリエンスに関する世界の調査研究」第 15 回で紹介させていただいた。
注 3) 前回調査では欧州からの回答が 50%、北米が 16%、アジアが 10% であった。
注 4) 対策方法に関する調査結果は前回調査とほとんど変化が無かったので、本稿では記述を省略した。
注 5) 前回調査の時点で侵入テストを実施していた組織は、「起こり得るシナリオに基づく演習」などを選択していた可能性がある
(了)
海外のレジリエンス調査研究ナナメ読み!の他の記事
おすすめ記事
リスク対策.com編集長が斬る!【2024年4月16日配信アーカイブ】
【4月16日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:熊本地震におけるBCP
2024/04/16
調達先の分散化で製造停止を回避
2018年の西日本豪雨で甚大な被害を受けた岡山県倉敷市真備町。オフィス家具を製造するホリグチは真備町内でも高台に立地するため、工場と事務所は無事だった。しかし通信と物流がストップ。事業を続けるため工夫を重ねた。その後、被災経験から保険を見直し、調達先も分散化。おかげで2023年5月には調達先で事故が起き仕入れがストップするも、代替先からの仕入れで解決した。
2024/04/16
工場が吹き飛ぶ爆発被害からの再起動
2018年の西日本豪雨で隣接するアルミ工場が爆発し、施設の一部が吹き飛ぶなど壊滅的な被害を受けた川上鉄工所。新たな設備の調達に苦労するも、8カ月後に工場の再稼働を果たす。その後、BCPの策定に取り組んだ。事業継続で最大の障害は金属の加温設備。浸水したら工場はストップする。同社は対策に動き出している。
2024/04/15
動きやすい対策本部のディテールを随所に
1971年にから、、50年以上にわたり首都圏の流通を支えてきた東京流通センター。物流の要としての機能だけではなく、オフィスビルやイベントホールも備える。2017年、2023年には免震装置を導入した最新の物流ビルを竣工。同社は防災対策だけではなく、BCMにも力を入れている。
2024/04/12
民間企業の強みを発揮し3日でアプリ開発
1月7日、SAPジャパンに能登半島地震の災害支援の依頼が届いた。石川県庁が避難所の状況を把握するため、最前線で活動していた自衛隊やDMAT(災害派遣医療チーム)の持つ避難所データを統合する依頼だった。状況が切迫するなか、同社は3日でアプリケーションを開発した。
2024/04/11
組織ごとにバラバラなフォーマットを統一
1月3日、サイボウズの災害支援チームリーダーである柴田哲史氏のもとに、内閣府特命担当の自見英子大臣から連絡が入った。能登半島地震で被害を受けた石川県庁へのIT支援要請だった。同社は自衛隊が集めた孤立集落や避難所の情報を集約・整理し、効率的な物資輸送をサポートするシステムを提供。避難者を支援する介護支援者の管理にも力を貸した。
2024/04/10
リスク対策.com編集長が斬る!【2024年4月9日配信アーカイブ】
【4月9日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:安全配慮義務
2024/04/09
自衛隊員の直接入力で情報連携がより早く
1月1日の能登半島地震発生から約30分、防災科学技術研究所の伊勢正氏は内閣府に向かっていた。災害時情報集約支援チーム(ISUT)の一員として、石川県庁を支援するためだ。同日中に馳浩石川県知事らとともに石川県庁に到着。自衛隊や消防、警察の実動部隊が集め、紙の地図上に集約した通行可能道路の情報を、さまざまな防災関係機関で活用できるよう電子地図上に整理していった。
2024/04/09
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
![危機管理2022[特別版]](https://risk.ismcdn.jp/mwimgs/f/6/160wm/img_f648c41c9ab3efa47e42de691aa7a2dc215249.png)
![2021年BCP事例総まとめ[永久保存版]](https://risk.ismcdn.jp/mwimgs/a/6/160wm/img_a6cb301164bcf0e91b3b99a03924748a119304.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方