従来のIT-BCP/DRの考え方ではサイバーセキュリティの要求に応えられなくなっている(写真:Adobe stock)

BCPそのものとなったIT-BCP

一般に、IT-BCPは地震などの災害発生時、IT(特にサーバー)が停止することへの対応策として、サーバーシステムの冗長化(DR: Disaster Recovery)を主な対象としていました。しかし、サイバーセキュリティへの対応がBCPとして急務となった今、従来のIT-BCP/DRの考え方では、その要求に合致しているとは言えなくなってきました。

従来の考え方にもとづくバックアップの格納方法ではハッカーに通用しない(写真:Adobe stock)

例えば、サイバーセキュリティ対策で最重要なバックアップは、災害対策のケースでは、情報システム部門の運用負荷軽減を考慮し、暗号化も施されず、コンテナ仮想化として同一ネットワークドメイン上でオンライン化されているか、他のバックアップ用サーバー上で同一コンテナとして格納されているか、のどちらかでした。

これではハッカーたちがネットワークに侵入すれば、すぐにバックアップ用コンテナを認識し、ここをロックするのは容易いことであり、ランサムウェア攻撃が発覚した時点ですでにこのようなバックアップはまったく機能しません。

日本の大企業でさえ、IT-BCP/DR の取り組みは災害対応のみであり、サイバーセキュリティを統合したIT-BCP/DR にはほど遠い状況です。それでも大企業であれば、問題の本質を経営が理解すれば、情報システム部門の負荷は高くなりますが、技術的な問題はなく、ある程度の投資を受けることで早急に全面的な改良が実施できるだろうと思われます。問題は、サプライチェーン側である中堅・中小企業です。

サイバーセキュリティBCPはサプライチェーン全体が対象。中堅・中小企業も敬遠していられない(写真:Adobe stock)

中堅・中小企業の経営者は、机上のBCPは策定できても、IT-BCP/DRはハードルが高いとして敬遠されてきました。費用の問題、対応技術の問題、運用(復旧手順等)の問題が、IT-BCP/DRを遠ざけていました。巨大地震はいつ来るか分からないとして、経営者は半ばリスク受容として考えていたかもしれません。

しかしサイバー攻撃は、今の問題です。ITが止まれば、事業が止まり、大企業以上に、企業経営の継続が困難になります。

ここではそうした中堅・中小企業がIT-BCP/DRを構築する手法として、段階別の成熟モデルという考え方、構築フレームワークを解説します。