最新セキュリティマネジメント(第10回)インシデントによる被害に備えた復旧体制の整備

リスクマネジメント 働き方改革

公開日:2022.03.15

  • PDF PDF
  • ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録(無料)してログインする必要があります。

 経済産業省が策定した「セキュリティ経営ガイドライン」で、経営者が社内に対して指示すべきポイントとして示された「重要10項目」。今回は8番目の項目「インシデントによる被害に備えた復旧体制の整備」について解説する。

速やかな復旧を可能にするために

 経済産業省と独立行政法人情報処理推進機構(IPA)が共同で策定した「サイバーセキュリティ経営ガイドライン Ver2.0」では、企業のIT活用を推進する上で経営者が認識すべきサイバーセキュリティに関する原則や、経営者がリーダーシップをもって取り組むべき項目がまとめられている。

 サイバー攻撃、マルウエア感染、不正アクセス、情報漏えいといったインシデントに見舞われた際、当事者である企業にとって最も気になるポイントは「早期の復旧と事業継続」といえるだろう。安全確保のため、インシデント発生後に業務を停止して被害状況を把握し、さらなる拡大防止を図ることは、セキュリティ対策として正しい方法だ。ただし、停止期間の長期化は経営に深刻なダメージを与えるため、可能な限り速やかに復旧させる必要がある。本ガイドラインでは経営者が先頭に立ってサイバーセキュリティ対策を進める重要性を指摘しているが、今回はインシデントからの復旧体制をどのように整備すべきかについて紹介する。

体制構築の進め方

 インシデントが発生すると社内は混乱に陥り、業務に何らかの支障が出ることは避けられない。もちろん、その時点の応急措置で無事に復旧するケースも考えられるのだが、サイバーセキュリティ経営をめざす企業の心構えとしては、常に業務停止という最悪の事態を想定し、あらかじめ復旧・業務再開を進めるための体制を構築しておくことが望ましい。

 復旧作業の進め方はインシデントの種類や被害状況など、個々の企業により異なるが、コンピューター、ネットワーク関連の問題は情報システム部門が中心的な役割を果たしているケースが多い。ただし、インシデントによる混乱で現場からの問い合わせが殺到したり、社外ベンダーなどとの交渉対応に追われたりする結果、本来優先して取り組むべき復旧作業が進まず、時間を要してしまう場合がある。これによって長時間業務が停止するような事態に陥ってしまうと、企業の経営そのものが深刻なダメージを受けることは明らかだ。復旧体制の構築に当たっては、速やかに復旧するため、担当者が的確に関係機関との連携や復旧作業を実施できるよう指示することが求められる。

 また、日ごろから復旧手順に従った演習を実施し、復旧までの時間を短縮するとともに、インシデント発生時の混乱を最小限に抑えるための取り組みも重要だ。この演習については前回解説した「サイバーセキュリティ経営ガイドライン Ver2.0」の指示7「インシデント発生時の緊急対応体制の整備」の付録Cに掲載されている項目を参照し、組織内であらかじめ手順を確認しておきたい。

 一方、早期復旧に向けた作業を開始するとともに、取引先など関係者にも現在の状況を説明する必要が生じる。その内容を挙げてみよう。

①インシデント発生の事実
発生日時、インシデントの具体的な内容、業務停止に至った経緯などを説明する

②被害状況
現時点で判明している被害、および今後発生する恐れのある事柄について説明する

③復旧予定
業務再開に向けた作業の内容、判明している復旧予定日時を提示する

 これらの項目はインシデントの種類、被害程度にかかわらず速やかに発表する必要があることは言うまでもない。復旧作業に追われて発表が遅れてしまうと、最悪の場合「(インシデント発生を)隠ぺいした」と捉えられ、社会的な信頼を失う恐れがある。発生を確認したら直ちに担当部署に報告し、営業時間外であっても発表できる体制を整備しておく必要がある。

整合のとれた計画策定を…

続きを読むにはログインが必要です

\ かんたん入力で登録完了 /

会員登録3つのメリット!!

  • 最新記事をメールでお知らせ!
  • すべての記事を最後まで読める!
  • ビジネステンプレートを無料ダウンロード!

執筆=林 達哉

【TP】

「リスクマネジメント」人気記事ランキング

連載バックナンバー

最新セキュリティマネジメント

無料!おすすめのダウンロード資料

  • 企業の情報セキュリティリスク認知調査2023

    企業の情報セキュリティリスク認知調査2023

    テクノロジーの進化によって、生産性の向上や多様な働き方の実現などの恩恵がもたらされる一方、サイバー攻撃も多様化・複雑化の一途をたどっています。こうした中、攻撃手法などの情報セキュリティリスクをどれくらい認知しているのだろうか。その最新動向について調査しました。

  • 情報セキュリティ対策意識調査2022

    情報セキュリティ対策意識調査2022

    DX推進が企業にとって成長のドライバーとなる中、サイバー攻撃も多様化・複雑化の一途をたどっています。AIやRPAなど各種のICTテクノロジーや、社内外のコミュニケーションを円滑化するクラウドストレージ活用が進む現在、企業における情報セキュリティ対策はどうなっているのだろうか。対策度合いや、脅威に感じるもの、対策をするうえでの課題などの最新動向について調査を行いました。

  • その対策は効果ナシ!セキュリティの常識を検証する

    その対策は効果ナシ!セキュリティの常識を検証する

    サイバー攻撃の被害が深刻化し、従来のセキュリティの常識が 崩れ始めています。本当に必要な対策とは何か?情報セキュリティ大学院大学の大久保隆夫教授にお聞きしました。

オンラインセミナー動画

  • 新着記事

配信期間

配信期間:2023年9月15日(金)~2024年8月30日(金)

セキュリティ関連

【経済産業省サイバーセキュリティ課登壇】 サイバー攻撃に対して中小企業が取るべき対策とは

  • 新着記事

配信期間

2023年5月31日(水)~2023年12月26日(火)

法改正関連

税理士登壇!インボイス制度の解説