もし、あなたの会社のシステムが突然停止したら─何をすべきかすぐに判断し、行動に移せるだろうか。これは大企業だけの問題ではない。中小企業でも災害やサイバー攻撃、通信障害といった「もしも」の事態は起こり得る。こうした非常時に備えるため、「事業継続計画(BCP)」の中でも特にITに焦点を当てた「IT-BCP」の重要性が注目されている。大阪大学の猪俣敦夫教授に、IT-BCPの基本から導入・運用のヒントまでを伺った。
猪俣 敦夫(いのまた・あつお)
大阪大学D3センター教授
発生に気付いた時にはすでに深刻なダメージが
─最初に、IT-BCPとは何かについてご説明ください。
猪俣敦夫教授(以下、猪俣) IT-BCPは、情報システムやデータ、ネットワークといったIT資産の継続性に特化したBCPです。現代の企業活動において、ITシステムが止まることは、すなわち事業そのものが止まることを意味します。私は、「ITシステムが止まることを前提にして、止まった時に何をするか」を考えるべきだと思っています。そのために必要なのがIT-BCPです。
─IT-BCPは、一般的なBCPとどこが異なりますか?
猪俣 一番の違いは「初動の難しさ」です。例えば地震や火災であれば、人間の五感で「何かが起きた」とすぐに気付き、BCPを発動させることができます。その初動の早さがトラブルを未然に防いだり、被害を最小限に抑えたりすることに結び付きます。
しかし、システム障害やサイバー攻撃といったITシステムの災害は静かに進行します。「御社の情報が外部に漏れていますよ」と第三者から指摘されて気付くケースが多い。またはランサムウエア(コンピューターウイルスの一種で、感染によりファイルやシステムを暗号化し、その復旧と引き換えに身代金を要求する不正プログラム)による身代金要求が来て、初めて「何かが起きた」と異変に気付くのです。
その時には、すでに深刻なダメージが生じており、情報の復旧や事業の再開が非常に困難な状態になっています。このように、ITシステムの災害の場合、気付いた時にはすでに手遅れになっていることが多い。これが地震などの自然災害との最大の違いであり、対応の難しさでもあります。
コロナ禍を経て急増したサイバー攻撃の脅威
─IT-BCPを策定しておけば、ITトラブルが発生した際の対応に違いが出てくるのですか?
猪俣 はい。自然災害はいつ起きるかだけでなく、必ず起きるかどうかも分からないのが現実ですが、ITシステムの災害の場合は必ず起きるということを前提に考えなければなりません。ITシステムやパソコンは、いつか必ず壊れるものですが、多くの人はなぜか「壊れないもの」と思い込んでしまっている。だから、何か起きた時に「どうすればいいのか」というマニュアルが用意されていない。「誰に連絡をするのか」「どこまで業務を続けられるのか」という初動の対応がしっかりできないと、結果的に復旧が遅れてしまうのです。
実際、ある大学ではサイバー攻撃を受けてITシステムが2カ月も停止し、卒業証明書が発行できないという事態が発生しました。また、ある企業では、決算期にデータが壊れ、決算資料を出せないという不測の事態に陥りました。このようなトラブルを回避するためにも、平時から準備しておくことが非常に重要なのです。
─それに対して、現在の日本企業のIT-BCPに対する意識はどのような状況ですか?
猪俣 コロナ禍で大きく変わりました。2020年以降のテレワークの普及により、多くの人がVPN(仮想的な専用ネットワークで安全にインターネット接続する技術)を利用して自宅で仕事をするようになりました。その一方で、以前は情報管理を徹底して社外持ち出しが厳禁だった情報やデータの管理が緩んでしまい、それに加えてVPNのセキュリティ設定やアップデートが不十分だったため、そのころから多くの企業がサイバー攻撃の標的になりました。
その結果、ランサムウエアの被害は急増しました。こうした被害を通じて、ようやく「自分たちにもIT-BCPが必要だ」と気付く企業が増えてきたのです。
「誰かが何とかしてくれる」という甘い考えが一番怖い
─具体的にはどのような動きが出てきているのでしょうか?
猪俣 近年、交通や医療などの各業界でISAC(アイザック)というサイバーセキュリティの脅威に関する情報を共有・分析する組織ができ、サイバー攻撃への対応意識が高まっています。そこでは、BCPやIT-BCPといった災害時の対応マニュアルの作成や共有により、実践的な備えが進んでいます。ただし、サイバー攻撃による被害を受けても、それを公開する義務は企業にはないため、表に出てこない事例も多い。株価やサプライチェーンに連鎖する影響も大きいため、内々で処理してしまう企業が多いのが、残念ながら現状です。
─中小企業におけるIT-BCPに関する現状は?
猪俣 中小企業でも、近年は入札要件に情報管理の徹底が定められており、セキュリティ対策を進める例は増えています。しかし、人件費や人手不足などの理由から情報管理の専門人材がいる企業はほとんどありません。そのため、セキュリティ対応を外部の専門業者に任せきりになりがちで、被害発生時に自社で何をすべきか分からないケースが多い。これは大企業でも同様で、「誰かが何とかしてくれる」という甘い考えでいることが一番怖いのです。中小企業でも情報管理は組織全体の課題であり、特に経営者はサイバーセキュリティへの意識を高め、資金の投入について判断する必要があります。
─中小企業のサイバーセキュリティへの投資には、どのような課題がありますか?
猪俣 セキュリティ投資は、「何も起きなかったこと」が最大の成果で、金銭的なリターンが見えにくいため、中小企業の経営者に理解されにくい。これは情報や知財の重要性を経営者自身がどう認識するかにかかっています。高額なセキュリティ投資が難しい中小企業には、大阪商工会議所の「商工会議所サイバーセキュリティお助け隊サービス」のような低額の支援サービスが有効です。これはIPA(独立行政法人情報処理推進機構)の基準を満たすサービスを大阪商工会議所が提供するもので、UTM(複数のセキュリティ機能を統合し、ネットワークを保護・管理するシステム)の導入や24時間365日のネットワーク監視体制など、基本的なサイバーセキュリティを提供するものです。100点満点のものではないかもしれませんが、安心感は提供してくれます。
IT-BCPを策定すれば障害時に迅速な対応が可能に
─IT-BCPを策定することで、企業にはどのようなメリットがありますか?
猪俣 IT-BCPを策定することで一番重要なのは、マニュアルを作成することです。これは、ITシステムの災害が起こった際の対応と手順、連絡先を定めたもので、用意しておけば、問題が発生した際に迅速に対応できます。
現在、多くの企業が業務システムをクラウドに依存し、データ保存や帳票管理もすべてウェブ上で完結しています。しかし、クラウドが停止した際に、どこに連絡すべきか分からない企業が大半で、復旧するまで耐えるしかないのが現状です。こうした状況に備えておけば、クラウド停止時でも最低限の業務が行えるよう事前に決めておくことができます。例えば、ネットワークから切り離されても顧客の連絡を受けられる手段を確保したり、帳票をプリンターで出力してFAX送信に切り替えたりするなど、アナログ対応を準備しておくことで、業務継続の確実性が高まります。
