最新セキュリティマネジメント（第10回）インシデントによる被害に備えた復旧体制の整備

　経済産業省が策定した「セキュリティ経営ガイドライン」で、経営者が社内に対して指示すべきポイントとして示された「重要10項目」。今回は8番目の項目「インシデントによる被害に備えた復旧体制の整備」について解説する。

速やかな復旧を可能にするために

　経済産業省と独立行政法人情報処理推進機構（IPA）が共同で策定した「サイバーセキュリティ経営ガイドライン Ver2.0」では、企業のIT活用を推進する上で経営者が認識すべきサイバーセキュリティに関する原則や、経営者がリーダーシップをもって取り組むべき項目がまとめられている。

　サイバー攻撃、マルウエア感染、不正アクセス、情報漏えいといったインシデントに見舞われた際、当事者である企業にとって最も気になるポイントは「早期の復旧と事業継続」といえるだろう。安全確保のため、インシデント発生後に業務を停止して被害状況を把握し、さらなる拡大防止を図ることは、セキュリティ対策として正しい方法だ。ただし、停止期間の長期化は経営に深刻なダメージを与えるため、可能な限り速やかに復旧させる必要がある。本ガイドラインでは経営者が先頭に立ってサイバーセキュリティ対策を進める重要性を指摘しているが、今回はインシデントからの復旧体制をどのように整備すべきかについて紹介する。

体制構築の進め方

　インシデントが発生すると社内は混乱に陥り、業務に何らかの支障が出ることは避けられない。もちろん、その時点の応急措置で無事に復旧するケースも考えられるのだが、サイバーセキュリティ経営をめざす企業の心構えとしては、常に業務停止という最悪の事態を想定し、あらかじめ復旧・業務再開を進めるための体制を構築しておくことが望ましい。

　復旧作業の進め方はインシデントの種類や被害状況など、個々の企業により異なるが、コンピューター、ネットワーク関連の問題は情報システム部門が中心的な役割を果たしているケースが多い。ただし、インシデントによる混乱で現場からの問い合わせが殺到したり、社外ベンダーなどとの交渉対応に追われたりする結果、本来優先して取り組むべき復旧作業が進まず、時間を要してしまう場合がある。これによって長時間業務が停止するような事態に陥ってしまうと、企業の経営そのものが深刻なダメージを受けることは明らかだ。復旧体制の構築に当たっては、速やかに復旧するため、担当者が的確に関係機関との連携や復旧作業を実施できるよう指示することが求められる。

　また、日ごろから復旧手順に従った演習を実施し、復旧までの時間を短縮するとともに、インシデント発生時の混乱を最小限に抑えるための取り組みも重要だ。この演習については前回解説した「サイバーセキュリティ経営ガイドライン Ver2.0」の指示7「インシデント発生時の緊急対応体制の整備」の付録Cに掲載されている項目を参照し、組織内であらかじめ手順を確認しておきたい。

　一方、早期復旧に向けた作業を開始するとともに、取引先など関係者にも現在の状況を説明する必要が生じる。その内容を挙げてみよう。

①インシデント発生の事実
発生日時、インシデントの具体的な内容、業務停止に至った経緯などを説明する

②被害状況
現時点で判明している被害、および今後発生する恐れのある事柄について説明する

③復旧予定
業務再開に向けた作業の内容、判明している復旧予定日時を提示する

　これらの項目はインシデントの種類、被害程度にかかわらず速やかに発表する必要があることは言うまでもない。復旧作業に追われて発表が遅れてしまうと、最悪の場合「（インシデント発生を）隠ぺいした」と捉えられ、社会的な信頼を失う恐れがある。発生を確認したら直ちに担当部署に報告し、営業時間外であっても発表できる体制を整備しておく必要がある。

整合のとれた計画策定を…