2016/05/24
誌面情報 vol55
実際、国内では、災害が起きるたびに情報システムが大きな被害を受けてきた。東日本大震災では「停電や通信のトラブルにより、ネットワークが長期間使えなくなった」「自家発電装置の燃料切れでシステムがダウンした」「サーバそのものが被災してデータの復旧が困難になった」「地震の揺れによりスプリンクラーが作動しPC端末やサーバが被災した」などの被害が数多く報告されている。
今回の熊本地震でも、現地の復旧にあたっているシステム会社の担当者によれば、PCの落下事故や、スプリンクラーの誤作動による被害が多発し、行政機関でも主要な防災システムが地震の揺れで被災したという事例も出ているそうだ。
こうした災害への備えとしては、一般的には、①BCPにおける優先業務を支える重要な情報システムを可視化、②仮に被災した際の目標復旧時間と、どのシステムをいつまで前のどのレベルまで戻すか目標復旧レベルをそれぞれ設定、③重要システムの構成・構造を明確化(PC、サーバ、LANケーブル、ルーター、電源、WI-FIなど)、④システムが抱える脆弱性を評価、⑤目標復旧時間内に再開・継続できるよう対策を検討・実施、という視点が求められる。
ところが、サイバー攻撃を想定した場合は、こうした視点で対策を行っていたとしても、スムーズな対応ができるとは限らない。そもそも被害を受けている場所や被害の範囲を特定することが難しく、被害状況を分析することが極めて困難となる。例えば、マルウェアが侵入して個人情報や機密情報が漏えいしているような場合、どれだけ個人情報が流出してしまっているのか、そもそも原因がサイバー攻撃かどうか判明させることも容易ではない。最近流行しているランサムウェアなら、反社会勢力になりうる敵に費用を払ってまでシステムを継続させるのか、解決策が見つかるまで復旧をあきらめるのか、難しい判断に迫られる。
こうした点について、2012年に経済産業省が出した「ITサービス継続ガイドライン(改訂版)」では、『ITサービス継続について、情報セキュリティに求められる「情報の機密性」「完全性」および「可用性」の中で、ITサービス継続は、主に「可用性」の維持に関係するものとして位置付けることができる』とした上で、『緊急時においては、ITサービス継続が主眼とする「可用性」の側面と「機密性」「完全性」の両立が困難な場合も想定されるが、企業の社会的責任や企業経営などの視点から合理的な判断に基づき、より重要と考えられる概念が優先されるべき』としている。
つまり、システムを継続することを前提としながらも、情報漏えいや、データの損失を食い止めるためには、時としてシステムを止めるなど、BCPとは相反する決断が必要なケースもあり得ることを示唆している。
誌面情報 vol55の他の記事
おすすめ記事
-
過疎高齢化地域の古い家屋の倒壊をどう防ぐか
能登半島地震の死者のほとんどは、倒壊した建物の下敷きになって命を落とした。珠洲市や輪島市の耐震化率は50%程度と、全国平均の87%に比べ極端に低い。過疎高齢化地域の耐震改修がいかに困難かを物語る。倒壊からどう命を守るのか。伝統的建築物の構造計算適合性判定に長年携わってきた実務者に、古い家の耐震化をめぐる課題を聞いた。
2024/03/28
-
リスク対策.com編集長が斬る!【2024年3月26日配信アーカイブ】
【3月26日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:四半期ニュース振り返り
2024/03/26
-
-
-
-
-
リスク対策.com編集長が斬る!【2024年3月19日配信アーカイブ】
【3月19日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:副業・兼業のリスク
2024/03/19
-
リスク担当者も押さえておきたいサイバーセキュリティ対策の最新動向
本勉強会では、クラウド対応のサイバーセキュリティ対策の動向を、簡単にわかりやすく具体的なソリューションの内容を交えながら解説します。2024年3月8日開催。
2024/03/18
-
発災20分で対策本部をスタートする初動体制
総合スーパーやショッピングモールなど全国各地のイオン系列の施設を中心に設備管理、警備、清掃をはじめとしたファシリティマネジメント事業を展開するイオンディライト(東京都千代田区、濵田和成社長)。元日に発生した能登半島地震では、発災から20分後にオンラインの本社災害対策本部を立ち上げ、翌2日は現地に応援部隊を派遣し、被害状況の把握と復旧活動の支援を開始しました。
2024/03/18
-
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方