Posted: 19 Dec. 2022 4 min. read

第11回 デジタル時代におけるIT-BCP必要性の高まり【IT-BCP整備のポイント】

<連載>持続的な成長のためのリスクテイクに際して、企業はどうCyberと向き合うべきか

1.  背景

グローバルでのビジネスの拡大、多様化、複雑化により企業の事業活動を取り巻く環境は大きく変化しています。この環境変化に対応し、競争力を高めるため、IT活用・デジタル化が進んでいるのは周知の事実です。

そのようなデジタル化が進む中、システムの大規模障害が社会問題となることが多くなり、システム障害の発生の抑制と発生時の対処をより適切に行うことによる、「システム・サービスの継続性担保」が求められています。これまで、震災などの影響もあり、BCP(事業継続計画)の検討は進んでいるところはあっても、システム・サービスの継続性を担保するための「IT-BCP」の検討が十分にできていないことが多く見受けられます。

この先、サプライチェーンで連なる取引先や委託先とのシステム面での接点もますます増える傾向にあるため、自社内だけでなくサプライチェーンを構成するシステムのIT-BCPも考慮する必要性が高まっています。特に、IT-BCPの一部としてのサイバーセキュリティ対策を確実に講じておかないと、外部接続先や委託先を踏み台にしたサイバー攻撃による情報漏洩やサービス妨害・停止等が生じかねません。

つまり、委託先等からの不正侵入による自社の機密情報の漏洩等、機密性観点のリスクに加え、委託先を踏み台にした自社へのサイバー攻撃に伴うシステム障害や工場の稼働停止等、可用性観点のリスク、また、委託先から調達するソフトウェア脆弱性に起因する製品・サービスの完全性観点でのリスクも顕在化していると言えます。

また、DXが進み、IT部門の役割・責任範囲が拡大する中でサイバー攻撃の脅威やIT依存度の高まりにより、大規模システム障害発生リスクは増大すると考えられます。

次に、以下に述べる事例や動向からもIT-BCPの重要性が高まっていると判断することができます。

 

■脅威・障害の事例

近年、システム障害やサイバー攻撃によるシステム停止により、事業に深刻な影響を与えるインシデントが増えてきています。その中で、従来のIT-BCPが充分に機能していない部分があることや、従来のIT-BCPの考え方だけでは充分に対処ができない脅威がでてきていることが浮き彫りになってきています。

 

<社内外へのシステム・サービス提供に影響を与える主な事象例>
  • 待機系への切替作業のミスによるサービス再開の遅延(切替作業手順が更新されていなかった)
  • バックアップデータの復旧ができず、データを手動で再入力(バックアップデータからの復旧の試験を実施していなかった)
  • クラウドサービスの障害による外部サービスの停止(利用しているクラウドベンダーの障害を考慮していなかったため、対応が遅れてしまった)
  • 委託先や接続先のシステムを経由したマルウェア感染(委託先システムまで考慮していなかった)

 

<社内外へのシステム・サービス提供に影響を与えた金融機関の事例①>

システム障害が複数回発生し、利用している顧客がサービスを利用できないトラブルが発生した。

  • 開発や障害対応における品質を確保するための検証が不足していること
  • 保守・運用に係る問題点を是正しておらず、委託先への管理を十分に行っていないなど、新基幹システムを安定稼働させるための保守管理態勢を整備していないこと
  • 危機対応に係る態勢整備の状況について、訓練や研修などを通じて十分に検証していないこと

がシステム障害が発生した原因であると考えられる。

 

<社内外へのシステム・サービス提供に影響を与えたIT企業の事例②>

クラウドサービスに大規模障害が発生し、これらのサービスを利用している30社超でシステムトラブルが発生した。

空調などを管理する制御システムのバグと、制御システムと空調装置などを接続するPLCの異常動作が重なったことが原因であると考えられる。

 

 

2. IT-BCP検討における留意点

前述の事例にある内容に加え、下記の点が考慮不足となるようなケースが見受けられるため、IT-BCP検討においては特に留意が必要となります。

① サプライチェーンで連なる委託先・取引先システムのIT-BCPの考慮不足
自社のシステムだけでは、全体の業務が成り立たない場合があるため、委託先・取引先のシステムが正常に稼働していないケースも考慮する必要があります

②  IT-BCP発動時/サイバーインシデント発生時の定期的な訓練
待機系への切替が機能するかも含めた、定期的な訓練を実施しておかなければ、有事の際、スムーズな対応ができなくなる可能性があります

③ システム障害対応に対する経営姿勢の欠如
IT-BCPの準備をシステム部門任せにしており、重要な経営課題の一つとして扱われていないため、IT-BCPに向けた予算確保や人材不足に陥ることがあります

④ クラウドサービスの利用拡大に向けた対策検討
クラウドサービスの事前に契約内容やサービス範囲を確認しておき、障害対応で考慮の部分については、自社での対応や別途仕組みを検討しておく必要があります

⑤ IT-BCP対応以前にやるべきことの対策不足
有事発生時の対応だけでなく、そもそもシステム障害が発生しにくくなるような設計・構築を導入時に品質担保しておく必要があります

⑥ ユーザ部門導入システムの障害対応への備え
システム導入の民主化が進むにつれ、ユーザ部門主導によるシステム導入がなされるケースが増えてきています。その際、システム障害への備えがされていないケースが見られます


 

3. IT-BCPのポイント

これまで述べてきたシステム・サービス停止リスクへの対応を強化すべく、情報システム自体の継続・復旧戦略に着目して、IT-BCPを高度化する必要性が高まっています。具体的には、障害発生やサイバーインシデントにあった際の初動対応や事業継続対応を取りまとめたIT-BCPの整備が必要となっています。

全ての障害や攻撃を想定して備えることは現実的ではありませんが、障害発生・攻撃を受けた直後から被害拡大までの時系列シナリオをパターン化し、刻々と変化する被害状況に対して現行のBCP(特に初動対応)が適時適切に機能するのかを検証して、脅威に対する強度を高めるべきです。

そのためには、基本方針や戦略を記述したIT-BCP基本計画および、具体的な手順等(戦術)を取りまとめたIT-BCPを整備します。

IT-BCPは、現状評価・課題整理から文書化までを5つのステップで行い、ステップ6で導入することで構築、強化します。

また、IT-BCPを単なる情報システム的な対策として捉えず、IT-BCP順守のためのガバナンス態勢構築、委託先管理の改善などをも含めた、総合的なアプローチをもって検討することが重要です。

 

 

4. さいごに

IT-BCP対策を疎かにすると、自社内だけではなく、取引先への影響や社会的問題へ発展するリスクがあるため、IT部門任せではなく、重要な経営課題の一つとしてとらえて、検討・推進していくことを推奨します。

さらに、最新IT・デジタルツールの活用拡大、システム導入の関与者の拡大などに応じて、これまで考慮していなかった新たな脅威が常に発生しているため、一過性ではない、継続的なIT-BCPの見直しをも計画的に行うべきと考えます。

 

本連載のバックナンバー

第1回 Cyber Everywhereの時代に求められる対応(GREAT RESET IN Cyber Security)

第2回 ESGにおけるサイバーセキュリティ【ESG投資及びディスクロージャーとCyberについての考察(投資家等外部ステークホルダーからの要請)】

第3回 サイバーインシデントに関する開示の国際動向【米国証券取引委員会(米国SEC)のサイバーセキュリティ開示の規則案への対応準備について】

第4回 M&Aにおけるサイバーセキュリティ

第5回 SAP移行とセキュリティ・バイ・デザイン対策【セキュリティ・バイ・デザインなき業務基盤にDXは成しえない】

第6回 「投資」に値する効果的なサイバーセキュリティ対策【サイバーセキュリティ × データアナリティクス専門家の必要性】

第7回  情報安全保障に関する提言【真偽不明な「情報」が満ち溢れる昨今のデジタル社会における「情報」に関する問題点と必要なリスク対策とは?】

第8回  クラウドセキュリティ態勢とガバナンス強化【情報セキュリティガバナンス態勢強化に向けたアプローチ】

第9回  転換期を迎えている“サイバーセキュリティに関する委託先管理”の概念・捉え方【適切な委託先選定、委託先モニタリングを通じた委託先管理】

第10回  サイバーリスクの高まりに対する内部監査の役割【DXに伴うサイバーリスクの高まりにおいて、内部監査の役割重要度が増大】

第12回  断絶の時代をリードするシフトレフト〜ビジネスにアジリティをもたらすDevSecOps〜

第13回  地方公共団体DXに伴うサイバーリスクの高まり~地方公共団体におけるセキュリティ対策~

プロフェッショナル

井上 健一/Inoue Kenichi

井上 健一/Inoue Kenichi

デロイト トーマツ サイバー合同会社 マネージングディレクター

標的型攻撃、Webサイトへの不正アクセス、内部行為者による情報漏えい、コンピュータウイルス感染等、様々な情報セキュリティ事故に関して、調査、復旧、再発防止等を支援するプロジェクトを数多くリードしている。事故対応にて得られた知識・経験を活かし、金融機関、製薬業、商社、ECビジネスなどに対するサイバーセキュリティ管理態勢診断を提供している。  

中山 和彦/Nakayama Kazuihko

中山 和彦/Nakayama Kazuihko

デロイト トーマツ グループ ディレクター

ITに関する計画策定、要件定義、システム導入~運用保守といったシステムライフサイクル全般に渡っての経験を有する。現職のデジタルガバナンスユニットにて、主としてスマートワーク関連サービス(ペーパーレス、電子帳簿保存法対応、消費税インボイス制度対応、デジタル化による業務効率化対応など)、システムリスク対応サービス(アクセスコントロール、システム安定稼働対応、IT-BCPなど)を担当。

角屋敷 輔/Tasuku Sumiyashiki

角屋敷 輔/Tasuku Sumiyashiki

デロイト トーマツ グループ ディレクター

外資系コンサルティング会社にて大規模システム開発のPMO等を複数担当。有限責任監査法人トーマツ入社後は、グローバルガバナンスやグローバルリスクマネジメント体制の高度化、調達・購買機能の強化、サプライチェーンリスクに関するサービス等、多岐にわたり従事。