私は、情シスセキュリティ担当者として、日々多くのサイバー攻撃リスクに直面しています。特に近年、ランサムウェア攻撃による被害は深刻化しており、事業継続そのものが脅かされる事態が頻発しています。
この記事では、サイバー攻撃、特にランサムウェア被害を想定したBCP(事業継続計画)の重要性と、策定するための具体的なポイントについて解説します。
1. BCP(事業継続計画)とは?なぜサイバー攻撃に備える必要があるのか
BCP(Business Continuity Plan)とは、災害やシステム障害といった緊急事態が発生した際に、事業を中断させない、または中断しても早期に復旧させるための計画です。
多くの企業では、地震や火災などの自然災害を想定したBCPは策定していますが、サイバー攻撃を想定したBCPは手薄になりがちです。しかし、ランサムウェアによるシステム停止やデータ暗号化は、事業活動を完全に麻痺させ、取引先や顧客からの信用失墜、巨額の賠償金、復旧費用など、甚大な被害をもたらします。
2. ランサムウェア被害を想定したBCP策定の3つのポイント
BCP策定にあたっては、以下の3つのポイントを押さえることが重要です。
2.1. 被害範囲の特定と事業への影響度評価
まず、ランサムウェア攻撃が自社のどのシステムに、どの程度の被害をもたらすかを想定します。
- 基幹システム(例: 受発注システム): 停止した場合、取引が停止し、売上に直接的な打撃を与える。
- 顧客情報データベース: 情報が流出した場合、個人情報保護法違反となり、社会的信用の失墜と賠償責任が発生する。
- 社内ファイルサーバー: 業務データが暗号化され、日々の業務が遂行不能になる。
これらのシステムごとに、復旧までの許容時間(RTO: Recovery Time Objective)や復旧時点での目標データ量(RPO: Recovery Point Objective)を具体的に設定します。
2.2. 緊急時の対応体制の構築
攻撃発生時に誰が、何を、どのように行うのか、役割と手順を明確に定めます。
- 初動対応: 感染した端末のネットワークからの切り離し、被害範囲の特定、関係部署への報告。
- 情報共有: 経営層、IT部門、法務部門、広報部門など、緊急連絡網を整備し、正確な情報を迅速に共有する。
- 外部連携: 警察、セキュリティ専門ベンダー、顧問弁護士への連絡体制を事前に構築する。
2.3. 復旧と事業継続のための対策
被害からの復旧と事業の早期再開に向けた具体的な対策を計画します。
- バックアップの確保: 重要なデータはオフラインで定期的にバックアップを取る。オンラインで接続されたバックアップもランサムウェアの標的になり得るため、注意が必要です。
- 代替手段の確保: システムが使えない場合でも、事業を継続するための代替手段を準備する。例えば、受発注システムが停止した場合は、電話やFAXでの手動対応に切り替えるなどです。
- 訓練の実施: 策定したBCPは、実際に機能するかどうかを定期的に訓練し、見直しを繰り返します。訓練を通じて、計画の不備や課題を洗い出すことができます。
3. まとめ
サイバー攻撃は、もはや他人事ではありません。特にランサムウェア攻撃は、中小企業であっても事業継続に壊滅的な影響を与え得ます。
まだBCPを策定していない企業や、自然災害対策のみのBCPしかない企業は、これを機にランサムウェア被害を想定したBCPの策定に着手することを強く推奨します。
経済産業省の「サイバーセキュリティ経営ガイドライン」や、内閣官房に新設された「国家サイバー統括室」が公開している「サイバー攻撃を受けた組織における対応事例集」なども、BCP策定や見直しの際に非常に参考になります。
