IT-BCPは、組織の主要な事業を支える情報システムを、災害や非常時にも継続あるいは早期復旧させるための計画である。必要な事前対策や教育・訓練、非常時の行動手順などで構成される。これまで国内では、地震などの災害を想定してBCPを策定してきたこともあり、IT-BCPも物理的な対策が重視されてきた。サイバー攻撃を想定した場合、何が変わってくるのか。

そもそもBCPの出発点はIT対策だった。ITBCPの構築支援を手掛ける富士通エフサスシニアBCアドバイザーの小友修氏によると、1960年代にデータ・リカバリー・プランと呼ばれていたものがBCPの前身にあたる。データ・リカバリー・プランは、主に物理的な災害や事故から重要なデータを守るファシリティマネジメントと、費用的な手当てをする保険の2つの考え方から成り立っていた。1970年代から80年代には、より災害にフォーカスをしてディザスター・リカバリープランと呼ばれるようになった。この頃になると緊急対応(エマージェンシー・レスポンス)や、被害後の対応となるCP(コンテンジェンシー・プラン)、ビジネス・リカバリー・プランが含まれた概念になり、1990年代から、この考え方を情報システムだけでなく、広く組織全般に当てはめて「重要な事業を重点的に守る」考え方に発展し、BCPと呼ばれるようになった。欧米では2001年9月11日の米国同時多発テロで、金融系の企業がBCPを発動し、被災した世界貿易センターから代替オフィスに移動して事業を継続したことで大きな脚光を集め、BCPへの取り組みは大企業を中心に一気に加速した。

一方、国内は、内閣府や経済産業省が中心となり、地震対策としてBCPを推進。そのような中で、IT-BCPの概念は、災害に対して重要な情報システムを継続または早期復旧させるための準備態勢として使われるようになり、サイバー攻撃など情報セキュリティの問題とは、必ずしも一体的な議論がされてこなかった。

実際、国内では、災害が起きるたびに情報システムが大きな被害を受けてきた。東日本大震災では「停電や通信のトラブルにより、ネットワークが長期間使えなくなった」「自家発電装置の燃料切れでシステムがダウンした」「サーバそのものが被災してデータの復旧が困難になった」「地震の揺れによりスプリンクラーが作動しPC端末やサーバが被災した」などの被害が数多く報告されている。

今回の熊本地震でも、現地の復旧にあたっているシステム会社の担当者によれば、PCの落下事故や、スプリンクラーの誤作動による被害が多発し、行政機関でも主要な防災システムが地震の揺れで被災したという事例も出ているそうだ。

こうした災害への備えとしては、一般的には、①BCPにおける優先業務を支える重要な情報システムを可視化、②仮に被災した際の目標復旧時間と、どのシステムをいつまで前のどのレベルまで戻すか目標復旧レベルをそれぞれ設定、③重要システムの構成・構造を明確化(PC、サーバ、LANケーブル、ルーター、電源、WI-FIなど)、④システムが抱える脆弱性を評価、⑤目標復旧時間内に再開・継続できるよう対策を検討・実施、という視点が求められる。

ところが、サイバー攻撃を想定した場合は、こうした視点で対策を行っていたとしても、スムーズな対応ができるとは限らない。そもそも被害を受けている場所や被害の範囲を特定することが難しく、被害状況を分析することが極めて困難となる。例えば、マルウェアが侵入して個人情報や機密情報が漏えいしているような場合、どれだけ個人情報が流出してしまっているのか、そもそも原因がサイバー攻撃かどうか判明させることも容易ではない。最近流行しているランサムウェアなら、反社会勢力になりうる敵に費用を払ってまでシステムを継続させるのか、解決策が見つかるまで復旧をあきらめるのか、難しい判断に迫られる。

こうした点について、2012年に経済産業省が出した「ITサービス継続ガイドライン(改訂版)」では、『ITサービス継続について、情報セキュリティに求められる「情報の機密性」「完全性」および「可用性」の中で、ITサービス継続は、主に「可用性」の維持に関係するものとして位置付けることができる』とした上で、『緊急時においては、ITサービス継続が主眼とする「可用性」の側面と「機密性」「完全性」の両立が困難な場合も想定されるが、企業の社会的責任や企業経営などの視点から合理的な判断に基づき、より重要と考えられる概念が優先されるべき』としている。

つまり、システムを継続することを前提としながらも、情報漏えいや、データの損失を食い止めるためには、時としてシステムを止めるなど、BCPとは相反する決断が必要なケースもあり得ることを示唆している。

これらの対応を速やかにするには、サイバー攻撃がもたらす被害をあらかじめ検証して対応を考え訓練・演習を積んでおくとともに、サイバーセキュリティの状態を常時監視し、サイバー攻撃を検知した際には、経営や企業ブランドに及ぼす影響などを考慮しながら、システムの継続・復旧の判断ができる体制が求められる。

日常的にシステムを監視し、大規模なセキュリティに関わる事件・事故が起きた際に早急な原因究明や影響範囲の特定を行うのがCSIRT(Computer Security Incident Response Team、インシデント対応専門チーム)だ。IT部門と経営との間に立って事業に及ぼす影響や可能な対策を助言する役割も持つ。

サイバー攻撃の場合、専門性が高い技術部隊と、経営、各事業部との連携がより重要になる。自然災害やサイバー攻撃など幅広いリスクを対象に企業の演習を支援するニュートン・コンサルティングのCISO兼プリンシパルコンサルタントの内海良氏は、「サイバーセキュリティは今や重要な経営課題の1つ。CSIRTの役割を検証し、対応力を高める演習が必要」と指摘する。例えば、CSIRTから経営層にエスカレーションするかしないかの判断が明確に行えるか、経営視点に立った報告ができるか、など。経営層は、CSIRTからの報告を受け、適切に判断・意思決定ができるか、あるいは各部署で社内外からの情報収集・共有が迅速に行えるかも検証すべき項目とする。

一方、IT-BCPで見落としてはいけない点について富士通エフサスの小友氏は、自然災害でもサイバー攻撃でもいずれの脅威についても、最も重要なことは、①自社の状況を取引先や顧客に正しく発信できるようメールサーバやホームページのウェブサーバについては最低限、代替できる方法を考えておくこと、②支払いのシステムは社会的責任が問われることからシステムが使えなくなった際の代替方法を考えておくこと、③自社の主要事業において重要業務を支えている情報システムは明確にしておくこと、の3点だと説く。さらに、事故や災害、サイバー攻撃事案が起きた際、誰が何をどのような手順で行うのかといったマニュアルを整備していない企業が多いことから、初動体制の構築を急ぐべきだとする。