サイバー攻撃を意識したBCPにおいては、通常のシステム障害や災害、パンデミック時とは異なる対応が求められます。異なる点と対応を以下の表にまとめました。
サイバー攻撃 | 災害、パンデミック | サイバー攻撃への対応 | |
---|---|---|---|
標的企業・団体 | 標的型が多い | 不特定 | 情報等リスクを洗い出し対応検討が必要 |
考慮する視点 | 被害者・加害者視点 | 被害者視点 | 情報漏洩、踏み台サーバ等、加害者視点での考慮も必要 |
リスク低減対策 | リスク低減可 | リスク低減は困難 | 防止対策で可能な限りリスクを減らせる |
被害状況把握 | 気づきにくい | 気づきやすい | 早期発見のための監視、BCP発動契機が必要 |
復旧開始タイミング | 原因究明後 | 即時 | 原因を究明してから適切な復旧をし再攻撃に備える |
復旧に必要な行動 | 影響把握と原因究明 | 影響把握 | 再攻撃に対応できる仕組みを考慮する |
体制の違い | 原因調査部隊が必要 | 原因調査部隊は不要 | CSIRTによる原因究明と対策立案が必要 |
参考:IT-BCP(災害・パンデミック)とサイバー攻撃対応BCPの違い(https://www.hitachi-solutions.co.jp/security/sp/solution/task/cyberbcp.html)
サイバー攻撃に対するBCPにおいて、具体的にどのような対策に取り組めばよいのでしょうか。サイバー攻撃を受けた際、「攻撃に耐える・被害から回復する・適応できる能力を備える」という対応力が重要です。
予防・検知・復旧までを考えるには、以下のようなBCPを発動するための判断基準を考えておく必要があります。
NECがまとめているサイバー攻撃に備えたIT-BCPの構築では、「7つの視点」を踏まえた対応が重要としています。7つの視点をそれぞれ紹介します。
サイバー攻撃は、そもそも発生させないための「予防」が大切です。脆弱性対策等の予防措置により、サイバー攻撃発生リスクを低減させることができます。そのためには、システムのセキュリティレベルを高める必要があります。ITシステムのリスク評価と脆弱な箇所への対策を実施し、情報システム部門との連携により最新のパッチ適用等を行います。
多層的な防御が平常時から重要です。
災害時と違いサイバー攻撃は、攻撃を受けていることに気づかない場合や、改ざんや漏洩などの被害が発生していることに気づかない場合があります。発見が遅れれば、その分被害が拡大するリスクが高まるだけでなく、加害者になることさえあります。
日頃から最新のサイバー攻撃手法を知り、攻撃の検知やシステム監視、ツール導入などによって発見の遅れをなくします。またサイバー攻撃が発生したらすぐに対応できるよう、従業員の教育や訓練をすることも大切です。
サイバー攻撃には見えない事象も多く、被害の規模が把握できないためにBCP発動の判断が難しくなります。しかし判断に時間がかかると被害が拡大する恐れがあるため、迅速な発動判断が必要です。
そのために担当者間で発動判断基準を共有し、普段から教育訓練を繰り返し行うことで、素早く対応できるようにしておく必要があります。重要なシステムやファイルなど、優先順位を決めておくことも重要です。
災害時BCPでは、システム損壊時の代替機に従来と同じものを用意することが多いです。しかしサイバー攻撃においては、同じ代替機を使用すると再び同じサイバー攻撃に遭うリスクが高まります。災害時の対応とは異なる、遠隔地の代替機に切り替えるなど、同じ脅威にさらされにくい対応が必要です。
またシステム代替機やバックアップの取得は、被害発生時にすぐ切り替えず、問題がないと判断してから行います。
サイバー攻撃を受けた際、被害の原因を特定できないまま復旧などを行うと、再び攻撃を受けるリスクや他の組織や関連会社にまで被害を拡大させることがあります。二次被害を防ぐためにも、原因分析・究明を行う「CSIRT(シーサート)」などの設置が求められます。
被害の原因を特定したら、被害拡大防止を大前提としたシステム・業務の復旧を行います。
被害を受けた場合、いち早く通常業務へ復旧するためには、被害の内容と規模を正確に把握し、復旧への準備をしなければなりません。CSIRTなどと連携して被害状況を把握し、適切な対応をする必要があります。復旧行動においても、脆弱性やデータの信頼性をしっかり確認した上での復旧が大切です。
情報漏洩や改ざんの被害は、システム復旧のコスト以外にも賠償費用などがかかる場合があります。情報漏洩や改ざんによる対応方針や手順を決めておき、どのくらいの費用が必要かも想定しておきましょう。それによって、自社金庫や銀行との取り決め、サイバー保険への加入などを検討する必要があります。
サイバー攻撃に対応するには、災害やパンデミック時とは異なるBCP対策が必要です。サイバー攻撃は次々と新手の脅威が出てくることもあり、自社だけでサイバーセキュリティを構築するのは難しい面もあります。専門家などへも相談し、専門家の視点や意見を取り入れることで、より堅牢な対策を構築することができます。