IBM Services

BCP(事業継続)で今考えるべき課題はサイバー対策です

記事をシェアする:


BCP(事業継続)の課題について、私が解説します!

内山 豊和

日本アイ・ビー・エム株式会社
グローバル・テクノロジー・サービス事業本部
レジリエンシー・サービス事業部
コンサルティング&ソリューション企画
部長 内山 豊和


事業継続というと今までは自然災害、特に地震を想定したBCPが一般的です。
しかしながらビジネスの停止や業務中断を想定した場合には、地震などの自然災害のリスクもさることながら、サイバー攻撃によるリスクがより脅威を増しており、お客様もその対策を優先して実施している状況と考えます

サイバー被害も「もし」から「いつ」の時代です

震度5強以上の地震 *1 標的型メールの被害 *2 サイバー攻撃により
侵入された企業 *3
0.3回/月 430件/月 4社に1社

*1:気象庁ホームページ http://www.data.jma.go.jp/svd/eqdb/data/shindo/index.php
*2:警察庁広報資料 http://www.npa.go.jp/publications/statistics/cybersecurity/data/H30_kami_cyber_jousei.pdf
*3:トレンドマイクロ https://resources.trendmicro.com/jp-docdownload-form-m077-web-apt-2018.html

上の表は過去の地震やセキュリティインシデントの発生状況を取りまとめたものです。
2017年10月から2018年9月までの1年間で発生した震度5強以上の地震の発生は気象庁の記録によれば4件で月平均0.3回となります。
一方でサイバーインシデントとしては、警察庁の記録によると2018年上半期で報告されている標的型メールの被害だけでも半年で約2600件、月平均430件の被害が発生している状況です。またトレンドマイクロの調査によれば、サイバー攻撃を受けネットワークに侵入された形跡のある企業の割合は4社に1社の割合となっているそうです。
専門家のリスク想定では、首都圏直下型地震も南海トラフ地震も「発生リスクは非常に高くいつ発生してもおかしくない状況」なのですが、そうでない人からするとまだまだ「もし発生したら」の意識に変化はなく、「いつ自分が被害に合うのか」という思いが強いサイバーリスクのほうが、取り組み意識も高くなる。それが現状です。
参考までに事業継続の観点での自然災害リスクとサイバーリスクを比較すると次の表のようになります。ポイントとしては「ねらわれる」「局所的でありながら範囲がわかりにくい」「被害に遭いながら他者に影響を及ぼす」などが大きな違いです。

災害リスク サイバーリスク
種類 自然災害(地震・台風・水害など) 意図的な攻撃
対象 施設・設備、機器、要員など

物理的・全般的

価値ある電子アセットやデータなど

論理的・部分的

インパクト 広範囲

発生時に範囲を特定可能

局所的(範囲は不明)

発生後、範囲を確認する必要がある

復旧ポイント 規定の時点に復旧 復旧すべきポイントの検証が必要
コスト 復旧に必要なコスト 復旧コスト、調査コスト

訴訟、ネガティブ報道

対外的な立場 被害者(被災者)の立場 被害者の立場

加害者の可能性

(GDPRや個人情報保護、踏み台、拡散)

これだけ世間を賑わせているサイバーリスクですので、全てのお客様がすでに対策を取られており、アンチウィルスやファイヤーウォールを基本として、ログの分析や初動対応チームの組閣・運用までさまざまなソフトウェアやソリューションを活用しています。
しかしながら対策はそれで十分でしょうか?
ここで課題になるのは、ビジネスの継続性の維持です。セキュリティ対策チームとBCPチームの連携は、ビジネス継続の観点では十分に取れているとは言えません。
結果としてセキュリティ被害の初動対応をしている間、システムは停止しており、そのシステムに関連するビジネスは停止しているという問題が発生します。
このような問題を解消するためにアメリカの公的機関のNIST(National Institute of Standards and Technology)では従来のサイバー・セキュリティに加えレジリエンシーの観点も加味したサイバー・レジリエンシー・フレームワークの活用を提唱しています。2018年に新しい項目が追加され23のカテゴリーで、108問の質問となっています。ユーザーはこの質問事項に対する現在の対応状況と将来的にめざすレベルを選択し評価を行えます。
弊社もこのフレームワークに基づいた診断サービスを提供しております。結果を5つのフェーズにまとめて評価しご説明させていただきますので是非お問い合わせください。

e-メールでのお問い合わせ

IBM レジリエンシー・オーケストレーションの機能を実際に見てみたい!というかたはぜひ弊社営業までコンタクトください。
RESJPN@jp.ibm.com にご連絡ください。

送信タイトル:「レジリエンシー・オーケストレーション」問い合わせ
【必須事項】
お名前:
ご連絡先e-メール・アドレスもしくは電話番号:
勤務先会社名または所属団体名:
お問い合わせ内容:


参考リンク


エキスパートが解説する「IBM レジリエンシー・オーケストレーションの特徴」シリーズ


More IBM Services stories

IBM とAlliance to End Plastic Waste、データプラットフォームを構築し 環境内の世界中のプラスチック廃棄物の追跡を支援

IBM Services

IBMはサポートメンバーとしてアライアンスに参加:データプラットフォーム開発で協力し、プラスチック・バリューチェーンの利害関係者をサポート [米国ニューヨーク州アーモンク – 2020年12月15日(現地時間)発] IB ...続きを読む


IBM レジリエンシー・オーケストレーション発表! その特徴をご紹介-その4

レジリエンシー

「メインフレーム」について、私が解説します! 日本アイ・ビー・エム株式会社 グローバル・テクノロジー・サービス事業本部 ソリューション担当 部長 土屋 清之 「メインフレーム」もサポート開始し、システム全体の復旧を統合化 ...続きを読む


IBM レジリエンシー・オーケストレーション発表! その特徴をご紹介-その3

レジリエンシー

「ワークフロー」について、私が解説します! 日本アイ・ビー・エム株式会社 グローバル・テクノロジー・サービス事業本部 レジリエンシー・サービス事業部 コンサルティング&ソリューション企画 部長 内山 豊和 システ ...続きを読む