サイバー攻撃対策BCP とは?
BCP(Business Continuity Planning)とは、事業継続計画のことです。主に自然災害など緊急時への備えとして、多くの企業で策定されています。
では、サイバー攻撃対策BCPとは何か?
これはサイバー攻撃対策に特化したBCP対策の事です。
いま一般的に整備されているBCP対策は、【災害対策】に特化しています。
地震や津波によって、建物が被害を受けた、電気や水道が止まった、火事が起きた。出社できない、あるいは帰れなくなった……そういった自然災害を想定して、対策を考えられています。
しかし、災害対策を前提とした従来のBCPでは、サイバー攻撃のときには十分に機能しません。
何故なら、サイバー攻撃と災害とでは、取るべき対応が全く異なるからです。
災害の場合、行政への届け出は不要です。
しかしサイバー攻撃を受けた場合、どういった攻撃を受けたのか、どのような影響があったのか、取り扱う個人情報に被害は遭ったか、再発防止策はどうするか……といった内容を取りまとめて、行政に報告する必要があります。
自然災害で建物やシステムが被害を受けたとき、責める人はいるでしょうか?
自分の組織だけでなく、周囲の企業さんや民家もみんな大変であることは一目でわかります。
業務が停止していても、お客様や協力企業さんにも理解してもらいやすいです。
しかしサイバー攻撃の場合は、被害は目に見えません。
電気は通じていますし、誰かが怪我をしているわけでもありません。
被害を受けた組織以外、影響はありません。学校も商店も企業も、街はいつもどおりなのです。
その状況で「業務が出来ません」となれば、十分な理解を得るのは困難です。サイバー攻撃被害は、攻撃者が悪いのは当然なのですが、被害を受けた組織においても管理責任を問われるケースが非常に多いです。
パソコンや検査機などの機器が壊れた場合を考えてみましょう。
自然災害の場合、同じものを手配し、破損前と同じように設定するのが、最も簡単で素早い復旧方法になるでしょう。
しかしサイバー攻撃を受けた場合、同じ機器を用意し、同じセキュリティ設定を行っても、また壊されてしまいます。
サイバー攻撃を受けた場合、セキュリティの仕組みを変えることが必須になります。
「しっかり守っているから大丈夫」……それは誤った認識です。
サイバー攻撃には様々な手法がありますが、そのひとつに『脆弱性を突いた攻撃』というものがあります。
脆弱性とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生したサイバーセキュリティ上の欠陥のことを言います。
脆弱性が残された状態でコンピュータを利用していると、不正アクセスに利用されたり、ウイルスに感染したりする危険性があります。
脆弱性は、攻撃者が発見するほか、ベンダーから修正パッチの配布と同時に公開されます。
一番身近で有名なのは、Microsoftが公開し、WindowsUpdateを適用する、というのが分かり安いかと思います。
では、脆弱性が公開されてから、修正パッチを適用するまでの猶予時間は、どのくらいあるか、ご存知でしょうか。
……たった15分です。
攻撃者は、脆弱性情報が公表されるのを待っています。
そして情報が公開されると、すぐにその脆弱性を突いた攻撃手法を構築し、全世界に対して、「その攻撃が通用する相手」をスキャンします。
一度侵入できてしまったら、正規の管理者情報を窃取するなどの不正行為を行い、修正パッチが当てられても構わない状況を作り出してしまいます。
このスキャンが行われるまでの猶予時間が、15分といわれています。
では、15分以内に修正パッチを適用することは、現実的に可能でしょうか?
MicrosoftもAppleもアメリカ企業ですが、仮にアメリカで日中に脆弱性情報公開がされたとすれば、日本は深夜でしょう。
深夜に脆弱性情報をすぐキャッチするのは大変なことではないでしょうか。
また、公開された修正パッチを適用することにはリスクもあります。
自分たちの組織で作ったシステムや、他所のIT企業に構築してもらったシステムは、パッチを適用すると動かなくなるケースがあります。
このためのテストは15分で終わるでしょうか?
テストの結果、「プログラムを直さなければならない」ということが分かったとき、15分以内にプログラムを直すことは可能でしょうか?
更に、脆弱性はパソコンにだけ存在するわけではありません。
ネットワーク機器にも脆弱性は存在します。そして、機器が古いと、パッチを適用できないケースがあります。
もし、「いま使っている機器では最新のパッチが適用できない」、ということが分かった場合、15分以内に機器を発注し、調達することは可能でしょうか?
家庭用のルータ等なら量販店で買えるかもしれませんが、大きな病院や大企業で使っている高価なネットワーク機器は、そう簡単にはいきません。
15分以内に予算を確保し、稟議を通し、届けてもらうというのは、現実的にはほぼ不可能でしょう。
このように、15分以内にすべての対応をすることは、非常に困難です。
もちろん攻撃を受けるかどうかは、攻撃者の技術力や、攻撃対象の選定基準などにも左右されます。
対策を取っただけ、被害の可能性を減らすことも可能でしょう。
しかし、どれだけお金をかけて、どれだけきちんと防御を構築しても、「予測を上回る攻撃」というのは存在します。
攻撃を受けて壊される可能性を、完全にゼロにすることはできないのです。
世の中の情報セキュリティ対策はリスク偏重
いま主流の情報セキュリティ対策は、事前のリスク対策です。
・ウイルスに感染しないために、ウイルス対策ソフトを入れる。
・ネットワークを分離するために、ネットワーク機器を入れる。
・許可された人以外通さないために、認証システムを入れる。
・変な通信をさせないために、監視するシステムを入れる。
これらのリスク対策自体は、何も間違っていません。
しかし、「実際に壊されたらどうすればいいのか?」という事後対策ついては、十分に考えて準備されていない傾向にあります。
リスク(事前)とクライシス(事後)。
事故が起こる可能性がゼロにならない以上、両方の対策が必要です。
もちろん『バックアップ』等、事後対策を考えたサービスは世の中に存在しますが、すべてを何等かのサービスで完結する事は困難です。
サイバー攻撃被害が起こった場合には、行政に届け出をしたり、お客様への説明をしたりといった、人的対応が必ず発生します。
「お客様になんて説明すればいいですか!?」
「どこ(行政の報告先)に、どういう報告をすればいいですか!?」
「壊れたパソコンやシステムが直るまで、どうやって仕事すればいいですか!?」
これらは自分達で考えて対応しなければなりません。
特にサイバー攻撃被害が発生した後では、相談を受けた企業も滅多な事は言えないため、
「そこはお客様(皆さん)の方で決めていただかないと……」
といった回答しかできないケースがほとんどです。
サイバー攻撃被害を想定したBCPの作り方
これまで述べてきたように、万が一のサイバー攻撃被害発生時のことを考えて、専用のBCP対策を構築すべきです。
しかし、構築は簡単ではありません。
当然ですが、当てずっぽうでBCP対策を作っても、役に立つものにはならないでしょう。
またサイバー攻撃被害を受けた経験のない企業では、どうしても「こういった対応が必要なんじゃないか……」といった予測の範囲を出ません。
サイバー攻撃被害を想定したBCP対策を作るためには、
実際にサイバー攻撃被害を経験した有識者の協力が必要不可欠です。
弊社では、サイバー攻撃を想定したBCP対策の構築のお手伝いをしております。
・サイバー攻撃被害を実際に経験し、行政への届け出からシステム復旧まで一貫して行った有識者が、
・実際にお客様先に行き、現場を歩いてヒアリングを行い、
・豊富にご用意したテンプレートを基に、必要な対策や資料を漏れなく作成
・構築後の訓練まで一貫してサポート
・年度更新で常に最新のBCP対策を維持
サイバー攻撃被害の事後対策への備えは、
是非一度弊社にご相談ください。
よくある質問
お客様先に直接ご訪問させていただき、実際の現場を拝見したうえで、しっかりと適合した対策を構築します。
はい、問題ありません。弊社がノウハウを有していますので、しっかりと構築サポートをさせていただきます。