最新セキュリティマネジメント(第10回)インシデントによる被害に備えた復旧体制の整備

リスクマネジメント 働き方改革

2022.03.15

  • PDF PDF
  • ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録(無料)してログインする必要があります。

 経済産業省が策定した「セキュリティ経営ガイドライン」で、経営者が社内に対して指示すべきポイントとして示された「重要10項目」。今回は8番目の項目「インシデントによる被害に備えた復旧体制の整備」について解説する。

速やかな復旧を可能にするために

 経済産業省と独立行政法人情報処理推進機構(IPA)が共同で策定した「サイバーセキュリティ経営ガイドライン Ver2.0」では、企業のIT活用を推進する上で経営者が認識すべきサイバーセキュリティに関する原則や、経営者がリーダーシップをもって取り組むべき項目がまとめられている。

 サイバー攻撃、マルウエア感染、不正アクセス、情報漏えいといったインシデントに見舞われた際、当事者である企業にとって最も気になるポイントは「早期の復旧と事業継続」といえるだろう。安全確保のため、インシデント発生後に業務を停止して被害状況を把握し、さらなる拡大防止を図ることは、セキュリティ対策として正しい方法だ。ただし、停止期間の長期化は経営に深刻なダメージを与えるため、可能な限り速やかに復旧させる必要がある。本ガイドラインでは経営者が先頭に立ってサイバーセキュリティ対策を進める重要性を指摘しているが、今回はインシデントからの復旧体制をどのように整備すべきかについて紹介する。

体制構築の進め方

 インシデントが発生すると社内は混乱に陥り、業務に何らかの支障が出ることは避けられない。もちろん、その時点の応急措置で無事に復旧するケースも考えられるのだが、サイバーセキュリティ経営をめざす企業の心構えとしては、常に業務停止という最悪の事態を想定し、あらかじめ復旧・業務再開を進めるための体制を構築しておくことが望ましい。

 復旧作業の進め方はインシデントの種類や被害状況など、個々の企業により異なるが、コンピューター、ネットワーク関連の問題は情報システム部門が中心的な役割を果たしているケースが多い。ただし、インシデントによる混乱で現場からの問い合わせが殺到したり、社外ベンダーなどとの交渉対応に追われたりする結果、本来優先して取り組むべき復旧作業が進まず、時間を要してしまう場合がある。これによって長時間業務が停止するような事態に陥ってしまうと、企業の経営そのものが深刻なダメージを受けることは明らかだ。復旧体制の構築に当たっては、速やかに復旧するため、担当者が的確に関係機関との連携や復旧作業を実施できるよう指示することが求められる。

 また、日ごろから復旧手順に従った演習を実施し、復旧までの時間を短縮するとともに、インシデント発生時の混乱を最小限に抑えるための取り組みも重要だ。この演習については前回解説した「サイバーセキュリティ経営ガイドライン Ver2.0」の指示7「インシデント発生時の緊急対応体制の整備」の付録Cに掲載されている項目を参照し、組織内であらかじめ手順を確認しておきたい。

 一方、早期復旧に向けた作業を開始するとともに、取引先など関係者にも現在の状況を説明する必要が生じる。その内容を挙げてみよう。

①インシデント発生の事実
発生日時、インシデントの具体的な内容、業務停止に至った経緯などを説明する

②被害状況
現時点で判明している被害、および今後発生する恐れのある事柄について説明する

③復旧予定
業務再開に向けた作業の内容、判明している復旧予定日時を提示する

 これらの項目はインシデントの種類、被害程度にかかわらず速やかに発表する必要があることは言うまでもない。復旧作業に追われて発表が遅れてしまうと、最悪の場合「(インシデント発生を)隠ぺいした」と捉えられ、社会的な信頼を失う恐れがある。発生を確認したら直ちに担当部署に報告し、営業時間外であっても発表できる体制を整備しておく必要がある。

整合のとれた計画策定を…

続きを読むにはログインが必要です

会員登録3つのメリット!!

  • 最新記事をメールでお知らせ!
  • すべての記事を最後まで読める!
  • ビジネステンプレートを無料ダウンロード!

執筆=林 達哉

「リスクマネジメント」人気記事ランキング

AIによるおすすめ記事

他の方はこんな記事も見ています

連載バックナンバー

オンラインセミナー動画

配信期間

2022年6月3日(土)~2023年3月31日(金)

業務効率化関連

企業のDX化と「攻め」のオペレーションへの転換

DXという言葉はすっかりバズワードとなり、今やすべての企業にとってデジタル化は必須となっています。
しかし、DXの捉え方は会社によってさまざまで、「とりあえずデジタル」のような取り組みをDXと位置付けているケースもございます。
本セミナーでは、まず第一部で企業におけるDXの定義とDX活動を着実に前進させるポイントについてご説明し、第二部ではDX活動の第一歩として「おまかせAI-OCR」を活用したオペレーション改革について、具体例を交えながらご紹介します。

配信期間

2022年5月11日(木)~2023年3月31日(金)

セキュリティ関連

テレワーク時代に潜むセキュリティリスク
~企業がとるべき対策とは~

組織のネットワークに侵入し、重要な業務データの暗号化や盗難と金銭目的の脅迫を行う「侵入型(標的型)ランサムウェア」が猛威を奮っています。
日本でも被害が相次ぎ最大限の警戒が必要な状況が続いていますが、オフィスのリスク・脅威への備えは万全ですか?
本セミナーでは、最新の侵入型ランサムウェア動向とその対策についてご紹介します。