もし、あなたの会社のシステムが突然停止したら─何をすべきかすぐに判断し、行動に移せるだろうか。これは大企業だけの問題ではない。中小企業でも災害やサイバー攻撃、通信障害といった「もしも」の事態は起こり得る。こうした非常時に備えるため、「事業継続計画(BCP)」の中でも特にITに焦点を当てた「IT-BCP」の重要性が注目されている。大阪大学の猪俣敦夫教授に、IT-BCPの基本から導入・運用のヒントまでを伺った。
猪俣 敦夫(いのまた・あつお)
大阪大学D3センター教授
発生に気付いた時にはすでに深刻なダメージが
─最初に、IT-BCPとは何かについてご説明ください。
猪俣敦夫教授(以下、猪俣) IT-BCPは、情報システムやデータ、ネットワークといったIT資産の継続性に特化したBCPです。現代の企業活動において、ITシステムが止まることは、すなわち事業そのものが止まることを意味します。私は、「ITシステムが止まることを前提にして、止まった時に何をするか」を考えるべきだと思っています。そのために必要なのがIT-BCPです。
─IT-BCPは、一般的なBCPとどこが異なりますか?
猪俣 一番の違いは「初動の難しさ」です。例えば地震や火災であれば、人間の五感で「何かが起きた」とすぐに気付き、BCPを発動させることができます。その初動の早さがトラブルを未然に防いだり、被害を最小限に抑えたりすることに結び付きます。
しかし、システム障害やサイバー攻撃といったITシステムの災害は静かに進行します。「御社の情報が外部に漏れていますよ」と第三者から指摘されて気付くケースが多い。またはランサムウエア(コンピューターウイルスの一種で、感染によりファイルやシステムを暗号化し、その復旧と引き換えに身代金を要求する不正プログラム)による身代金要求が来て、初めて「何かが起きた」と異変に気付くのです。
その時には、すでに深刻なダメージが生じており、情報の復旧や事業の再開が非常に困難な状態になっています。このように、ITシステムの災害の場合、気付いた時にはすでに手遅れになっていることが多い。これが地震などの自然災害との最大の違いであり、対応の難しさでもあります。
コロナ禍を経て急増したサイバー攻撃の脅威
─IT-BCPを策定しておけば、ITトラブルが発生した際の対応に違いが出てくるのですか?
猪俣 はい。自然災害はいつ起きるかだけでなく、必ず起きるかどうかも分からないのが現実ですが、ITシステムの災害の場合は必ず起きるということを前提に考えなければなりません。ITシステムやパソコンは、いつか必ず壊れるものですが、多くの人はなぜか「壊れないもの」と思い込んでしまっている。だから、何か起きた時に「どうすればいいのか」というマニュアルが用意されていない。「誰に連絡をするのか」「どこまで業務を続けられるのか」という初動の対応がしっかりできないと、結果的に復旧が遅れてしまうのです。
実際、ある大学ではサイバー攻撃を受けてITシステムが2カ月も停止し、卒業証明書が発行できないという事態が発生しました。また、ある企業では、決算期にデータが壊れ、決算資料を出せないという不測の事態に陥りました。このようなトラブルを回避するためにも、平時から準備しておくことが非常に重要なのです。
─それに対して、現在の日本企業のIT-BCPに対する意識はどのような状況ですか?
猪俣 コロナ禍で大きく変わりました。2020年以降のテレワークの普及により、多くの人がVPN(仮想的な専用ネットワークで安全にインターネット接続する技術)を利用して自宅で仕事をするようになりました。その一方で、以前は情報管理を徹底して社外持ち出しが厳禁だった情報やデータの管理が緩んでしまい、それに加えてVPNのセキュリティ設定やアップデートが不十分だったため、そのころから多くの企業がサイバー攻撃の標的になりました。
その結果、ランサムウエアの被害は急増しました。こうした被害を通じて、ようやく「自分たちにもIT-BCPが必要だ」と気付く企業が増えてきたのです。
「誰かが何とかしてくれる」という甘い考えが一番怖い
─具体的にはどのような動きが出てきているのでしょうか?
猪俣 近年、交通や医療などの各業界でISAC(アイザック)というサイバーセキュリティの脅威に関する情報を共有・分析する組織ができ、サイバー攻撃への対応意識が高まっています。そこでは、BCPやIT-BCPといった災害時の対応マニュアルの作成や共有により、実践的な備えが進んでいます。ただし、サイバー攻撃による被害を受けても、それを公開する義務は企業にはないため、表に出てこない事例も多い。株価やサプライチェーンに連鎖する影響も大きいため、内々で処理してしまう企業が多いのが、残念ながら現状です。
─中小企業におけるIT-BCPに関する現状は?
猪俣 中小企業でも、近年は入札要件に情報管理の徹底が定められており、セキュリティ対策を進める例は増えています。しかし、人件費や人手不足などの理由から情報管理の専門人材がいる企業はほとんどありません。そのため、セキュリティ対応を外部の専門業者に任せきりになりがちで、被害発生時に自社で何をすべきか分からないケースが多い。これは大企業でも同様で、「誰かが何とかしてくれる」という甘い考えでいることが一番怖いのです。中小企業でも情報管理は組織全体の課題であり、特に経営者はサイバーセキュリティへの意識を高め、資金の投入について判断する必要があります。
─中小企業のサイバーセキュリティへの投資には、どのような課題がありますか?
猪俣 セキュリティ投資は、「何も起きなかったこと」が最大の成果で、金銭的なリターンが見えにくいため、中小企業の経営者に理解されにくい。これは情報や知財の重要性を経営者自身がどう認識するかにかかっています。高額なセキュリティ投資が難しい中小企業には、大阪商工会議所の「商工会議所サイバーセキュリティお助け隊サービス」のような低額の支援サービスが有効です。これはIPA(独立行政法人情報処理推進機構)の基準を満たすサービスを大阪商工会議所が提供するもので、UTM(複数のセキュリティ機能を統合し、ネットワークを保護・管理するシステム)の導入や24時間365日のネットワーク監視体制など、基本的なサイバーセキュリティを提供するものです。100点満点のものではないかもしれませんが、安心感は提供してくれます。
IT-BCPを策定すれば障害時に迅速な対応が可能に
─IT-BCPを策定することで、企業にはどのようなメリットがありますか?
猪俣 IT-BCPを策定することで一番重要なのは、マニュアルを作成することです。これは、ITシステムの災害が起こった際の対応と手順、連絡先を定めたもので、用意しておけば、問題が発生した際に迅速に対応できます。
現在、多くの企業が業務システムをクラウドに依存し、データ保存や帳票管理もすべてウェブ上で完結しています。しかし、クラウドが停止した際に、どこに連絡すべきか分からない企業が大半で、復旧するまで耐えるしかないのが現状です。こうした状況に備えておけば、クラウド停止時でも最低限の業務が行えるよう事前に決めておくことができます。例えば、ネットワークから切り離されても顧客の連絡を受けられる手段を確保したり、帳票をプリンターで出力してFAX送信に切り替えたりするなど、アナログ対応を準備しておくことで、業務継続の確実性が高まります。
─IT-BCPを通じて業務フロー以外にも得られる効果はありますか?
猪俣 もう一つのメリットは、情報資産の「棚卸し」ができることです。多くの企業ではデジタルのデータが分散し、きちんと管理されないままになっています。するとサイバー攻撃を受けた際にどのデータが盗まれたかが把握できず、対応が後手に回る原因になります。事前にデータの保存場所や件数を把握しておけば、漏えい時にも正確な説明と迅速な対応が可能です。
また、情報の廃棄も重要な視点です。紙と違いデジタル情報は古いものも保存したままになりがちで、それが過去のデータの漏えいにつながります。そういった意味でも、棚卸しによる情報資産の定期的な整理と削除が重要であることがお分かりになると思います。
経営者は現場任せにせず対応を自分で決断すべき
─IT-BCPを策定するに当たり、まずはどのように始めたら良いでしょうか?
猪俣 IT-BCPはゼロからつくるのが難しいため、同業者の事例を参考に、自社用にカスタマイズしてマニュアル化するのが有効です。特にITシステムの災害発生時の連絡先や、個人情報漏えい時の報告、復旧の手順などを事前に定めておく。これを怠ると信頼を失うリスクがあり、平時の備えが組織の信頼性を守ります。
また、経営者はランサムウエアで身代金を要求された際の判断を「私はよく分からないから、君たちでうまく対応してくれ」と現場任せにせず、自分で決断すること。事前にサイバー攻撃に対応するポリシーを明文化しておき、例えば「ランサムウエアには絶対に金を払わない」と決めておけば、対応は迅速になります。
─策定に当たり、参考になる資料がありましたらご紹介ください。
猪俣 IPAが無料で公開している「中小企業の情報セキュリティ対策ガイドライン」です。ここには、経営者がどのように判断すべきか、社内での具体的な対応ステップや事例が網羅されています。頻繁に改定されているので、最新の情報が得られます。まずはこの一冊から取り組むのが良いでしょう。もう一つは経産省が出している「中小企業BCP策定運用指針」。少し情報が古いですが、こちらも良いガイドラインになります。
─策定や運用をしていくに当たり、社内に専門の担当者を置く必要はあるでしょうか?
猪俣 中小企業が自社でセキュリティ担当を配置するのは現実的でなく、本来の業務とも異なるために負担が大きい。だからこそ、「サイバーセキュリティお助け隊サービス」のような外部支援サービスを活用し、必要に応じて相談できる体制を整えることが、現実的で効果的な対策といえます。
サイバー攻撃を受けるきっかけの多くは人由来
─BCPと同様、IT-BCPでも事前の訓練は必要ですか?
猪俣 はい、間違いなく必要です。防災訓練とは異なり、ITシステム災害の訓練は、ほとんど行われていません。しかし実際には、サイバー攻撃を受けた時に適切に初動対応ができるかどうかは、事前に訓練をしていたかどうかで大きく変わります。ITシステム障害時の対応では、迅速な連絡体制が重要です。伝言ゲームを避けるため、経営者に直接情報が届く連絡網を平時から整備し、実際の訓練でその経路を確認・強化しておくことが求められます。
また、サイバー攻撃の予防策として、標準型攻撃メール(情報を盗むことなどを目的として送られてくるメール)に対する訓練を行うことも重要です。実はサイバー攻撃を受けるきっかけの多くは人由来です。送られてきたメールに「あなたのアカウントに非常事態が起こっています。すぐにここをクリックして確認してください」といった脅しのメールがあると、多くの人がついクリックしてしまう。それがサイバー攻撃を引き寄せる入り口になっているのです。
─では、実際に攻撃された場合はどう行動すべきですか?
猪俣 まず、取引先や関係機関への連絡を速やかに行うこと。ただし、ここで大切なのは「自分たちは被害者である」という意識を持つことです。加害者はあくまで攻撃者です。多くの企業が、自分たちがミスをしたかのように謝罪してしまいますが、これは大きな誤解です。もちろん、管理体制の不備があれば反省すべきですが、基本的には被害を受けた側ですから、申し訳ないという意識は変えて、対応していただきたい。
─経営者もこれからはサイバーセキュリティに関して意識改革が必要になってきますね。
猪俣 はい。まずは経営層がサイバーセキュリティについて、しっかり理解しておくことが重要です。といっても技術的な部分まで理解する必要はなく、サイバー攻撃などのITシステムの障害がどのようにして起こるのか、という大ざっぱなことで十分です。そして、同業者はどのような対策を取っているのか、同業者コミュニティや他社の経営者たちとの交流で情報収集しておくことが重要です。
─最後に、IT-BCPの重要性について改めてお願いします。
猪俣 私は「IT-BCPは“起きる前提”で備えるもの」だと強く思っています。これまでのサイバーセキュリティは「IT障害を起こさないようにする」ことが中心でしたが、これからは「起きた時に会社をつぶさないための備え」としてのIT-BCPが不可欠です。手順を整える、マニュアルをつくる、訓練をしておく。大きな投資をしなくても、今すぐできる対策がたくさんあります。「IT障害が起きても事業を止めない」ための備えを、今日から始めていただきたいと思います。
商工会議所サイバーセキュリティお助け隊サービスはこちら
中小企業の情報セキュリティ対策ガイドラインのダウンロードはこちら
