リスクの洗い出し
情報システム部門 2022年7月15日

緊急事態に情報セキュリティ対策を継続するために

私が今学習中の『IPA情報セキュリティマネジメント試験』ですが、前回の記事で「企業が情報セキュリティ対策を始めるには」について書きました。

今回も『情報セキュリティマネジメント』について覚えたことをみなさんに紹介していけたらと思っています。みなさんの頭の中でふんわりイメージが浮かぶと嬉しいです。

安心してインターネットを使うために、『情報セキュリティマネジメント』を少しでも身近に感じて頂ければ幸いです。

緊急時(サービスの中断や災害発生時)、情報セキュリティを考えて事業を継続させるためには、事前の対応計画が必要です。組織全体の事業継続計画(BCP)※1と矛盾がないように、組織全体で整理しておくと良いそうです。

※1事業継続計画(BCP)
企業が自然災害、大火災、テロ攻撃などの緊急事態に、事業資産の損害を最小限にとどめつつ、中核となる事業の継続または早期復旧を可能とするために、平常時に行うべき活動や緊急時における事業継続のための方法、手段などを取り決めておく計画のことです。
出典:中小企業庁 中小企業BCP策定運用基準~緊急事態を生き抜くために~

具体的には、緊急時に中核事業であるサービスに付随する業務(受注処理、人員、材料など)を確保した上で、IT資産に対するセキュリティの維持や、人材・ハード機器などのバックアップ体制も考えておく事が推奨されているようです。

緊急事態の区分

緊急事態の度合いをレベル分けする人

緊急時に適切に対応するためには、緊急の度合いに応じて緊急事態の区分を明らかにしておく必要があります。
例えば、緊急時の脅威によって、レベル1(影響を及ぼすおそれのない事象)、レベル2(影響を及ぼすおそれの低い事象)、レベル3(影響を及ぼすおそれの高い事象)などに区分しておくことで、実際に脅威が生じた時の対応を迅速化できます。

緊急事態というと自然災害による損害などが思いつきます。それ以外にも、通常時におけるハード機器の故障など、小さい規模から大きい規模のものまで、色々ある事に気づきます。

実際、目の前で起きている緊急事態に対応していると、どんどん時間が経過して、いつの間にか業務終了時間で1日何もできなかった…。なんて事もあると思います。そんな時のために事前に緊急事態の区分をして、いますぐ対応が必要な事なのか、後で対応すれば良い事なのか整理しておくとスムーズだと思いました。

緊急事態への対応

緊急時の対応を検討する人

緊急時対応計画

緊急時対応計画(Contingency Plan:コンティンジェンシ計画)とは、サービスの中断や災害発生時に、システムを迅速かつ効率的に復旧させる計画です。
初期の対応計画では、初動で何を行うかなどを中心に計画します。完全な復旧を目指さず、暫定的に対応することもあります。
被害状況の調査手法なども定めておき、迅速に情報を集めて対応することが求められます。

緊急時の初動というと、電源確保やシステム障害の原因特定など色々想像できます。また、休日や夜間などの連絡体制や実際に対応する人員確保なども重要と感じます。

こういった緊急事態が起こった直後、すぐ行動に移して復旧を行っていくためには、緊急時の対応計画を先に考えておくことが大切だと思います。

復旧計画

緊急時対応の後に事業を完全に復旧させるための計画です。暫定的ではなく、恒久的な復旧を目指します。特に、地震などの災害からの復旧の場合には、すぐに完全復旧を行うのは難しいので、暫定的な対応を行った後に順次、通常の状態へと普及させていきます。

地震などの自然災害では、建物や道路など、社会活動に必要なインフラが破壊されてしまいます。それに伴って、壊れたハード機器類を交換するとしても、注文から納品までとても時間がかかることが想定されます。

組織の事業を完全復旧するためには、通常時におけるハード機器の利用数や機能を把握したり、特定の仕入先だけではなく、普段から複数の仕入先と関わり合いをもつことも必要ではないかと感じます。

障害復旧

緊急時、または日常においても、システムに障害が発生したときにはその復旧を行います。日頃からデータのバックアップ対策を行っておき、復旧に備えておくことが大切です。
バックアップしたデータは、システムのすぐそばに置いておくほうが通常時の復旧は早いですが、地震などの大災害時には、バックアップごと被災してしまうリスクがあります。そのため、バックアップデータは、遠隔地に保管しておき、大きな災害に備えることも大切です。

業務に使っているデータをバックアップをするには、組織や各部署において対象範囲やデータの保存方法、保管場所など、いろいろと決めることがありそうです。

緊急事態への対応計画を検討すると、自分が思っている以上にやることがあって、大変なことだと感じます。ですが、いつ起こるかわからない緊急事態に向けて、万全な計画をたてておくと安心だと思いました。

ディザスタリカバリ

ディザスタリカバリーを検討する人

ディザスタリカバリとは、事業継続マネジメントにおける概念の一つで、災害などによる被害からの回復措置や、被害を最小限に抑えるための予防措置などのことを指します。
ディザスタリカバリを計画する際には、災害発生時からどれくらいの時間以内にシステムを再稼働しなければならないかを示す指標であるRTO(Recovery Time Objective:目標復旧時間)や、システムが再稼働したときに、災害発生前のどの時点の状態までデータを普及しなければならないかを示す指標であるRPO(Recovery Point Objective:目標復旧時点)をあらかじめ決め、それに合わせてバックアップシステムなどを事前に考えておきます。

システム障害によって業務が停止すると、組織の売上にも影響が出る可能性があります。損害を最小限に抑えるためには、障害発生から早く元の状態に戻す必要があり、RTO(目標復旧時間)やRPO(目標復旧時点)を意識して計画を立てる事が大切だと思います。

例えば 復旧した時、直近の売上データが消えてしまうと、もう一度さかのぼって前回やった内容を確認しなくてはなりません。また、障害が発生したタイミングによっては、商品の出荷時刻や納期などにも影響が出てきます。

システム障害が発生してもすぐ復旧できるように、予備装置をスタンバイしたり、データのバックアップ頻度を増やしたりと、早く元の状態に戻すための方法が気になってきます。

サポートユーティリティ

サポートユーティリティ、電源

サポートユーティリティとは、装置にとってのライフラインに対する管理策のことです。サーバ室の空調や、停電を防ぐための電気、水冷、消火装置などのための水道などが考えられます。
JIS Q 27002:2014(11.2.2サポートユーティリティ)において、警報装置を取り付けることや、定期検査を行うことなどの管理策が定められています。

組織のネットワークなどを構成する装置には、ライフラインが不可欠です。必要な場合は、物理的な経路が異なる複数の供給元を確保することも推奨されています。

※参考

緊急時にあらゆる脅威に全て対応するのは不可能だと思います。自分たちの組織にとって何がいちばん大切なのか見極めて、その大切なことを守るには何を優先させれば良いのか。少し考えてみようと思いました。

組織で情報セキュリティをご検討頂いているご担当者さまだけに関わらず、パソコンなどの情報資産を使っている全ての方に意識が必要なことだと感じます。いろいろある緊急事態にどう対応するか考えてみてはいかがでしょうか。

「情報セキュリティマネジメント」は奥が深くて大変そうですが、IT資産の利用はセキュリティ投資とセットで考えていくことがとても重要だと思います。できることで良いので少しずつ対策を取って行けたらと思います。

弊社には「情報処理安全確保支援士(略して:登録セキスペ)」が在籍しています。
『情報セキュリティ』についてお困りの方は、弊社までお問い合わせください。
ご連絡お待ちしております。

記事の著者:

Web制作ならアズシエルにご相談ください。

Web制作パートナーとしてサイトの企画からデザイン、運用まで支援します!Webサイト制作についてはこちらからサービスをご確認ください!

サイトの制作も運用も月額定額料金でプロにお任せできるサービスのバナー

この記事をSNSでシェアする!