第11回 デジタル時代におけるIT-BCP必要性の高まり【IT-BCP整備のポイント】

つまり、委託先等からの不正侵入による自社の機密情報の漏洩等、機密性観点のリスクに加え、委託先を踏み台にした自社へのサイバー攻撃に伴うシステム障害や工場の稼働停止等、可用性観点のリスク、また、委託先から調達するソフトウェア脆弱性に起因する製品・サービスの完全性観点でのリスクも顕在化していると言えます。

また、DXが進み、IT部門の役割・責任範囲が拡大する中でサイバー攻撃の脅威やIT依存度の高まりにより、大規模システム障害発生リスクは増大すると考えられます。

次に、以下に述べる事例や動向からもIT-BCPの重要性が高まっていると判断することができます。

■脅威・障害の事例

近年、システム障害やサイバー攻撃によるシステム停止により、事業に深刻な影響を与えるインシデントが増えてきています。その中で、従来のIT-BCPが充分に機能していない部分があることや、従来のIT-BCPの考え方だけでは充分に対処ができない脅威がでてきていることが浮き彫りになってきています。

＜社内外へのシステム・サービス提供に影響を与える主な事象例＞

• 待機系への切替作業のミスによるサービス再開の遅延（切替作業手順が更新されていなかった）
• バックアップデータの復旧ができず、データを手動で再入力（バックアップデータからの復旧の試験を実施していなかった）
• クラウドサービスの障害による外部サービスの停止（利用しているクラウドベンダーの障害を考慮していなかったため、対応が遅れてしまった）
• 委託先や接続先のシステムを経由したマルウェア感染（委託先システムまで考慮していなかった）

＜社内外へのシステム・サービス提供に影響を与えた金融機関の事例①＞

システム障害が複数回発生し、利用している顧客がサービスを利用できないトラブルが発生した。

• 開発や障害対応における品質を確保するための検証が不足していること
• 保守・運用に係る問題点を是正しておらず、委託先への管理を十分に行っていないなど、新基幹システムを安定稼働させるための保守管理態勢を整備していないこと
• 危機対応に係る態勢整備の状況について、訓練や研修などを通じて十分に検証していないこと

がシステム障害が発生した原因であると考えられる。

＜社内外へのシステム・サービス提供に影響を与えたIT企業の事例②＞

クラウドサービスに大規模障害が発生し、これらのサービスを利用している30社超でシステムトラブルが発生した。

空調などを管理する制御システムのバグと、制御システムと空調装置などを接続するPLCの異常動作が重なったことが原因であると考えられる。

２. IT-BCP検討における留意点

前述の事例にある内容に加え、下記の点が考慮不足となるようなケースが見受けられるため、IT-BCP検討においては特に留意が必要となります。

① サプライチェーンで連なる委託先・取引先システムのIT-BCPの考慮不足
自社のシステムだけでは、全体の業務が成り立たない場合があるため、委託先・取引先のシステムが正常に稼働していないケースも考慮する必要があります

②  IT-BCP発動時/サイバーインシデント発生時の定期的な訓練
待機系への切替が機能するかも含めた、定期的な訓練を実施しておかなければ、有事の際、スムーズな対応ができなくなる可能性があります

③ システム障害対応に対する経営姿勢の欠如
IT-BCPの準備をシステム部門任せにしており、重要な経営課題の一つとして扱われていないため、IT-BCPに向けた予算確保や人材不足に陥ることがあります

④ クラウドサービスの利用拡大に向けた対策検討
クラウドサービスの事前に契約内容やサービス範囲を確認しておき、障害対応で考慮の部分については、自社での対応や別途仕組みを検討しておく必要があります

⑤ IT-BCP対応以前にやるべきことの対策不足
有事発生時の対応だけでなく、そもそもシステム障害が発生しにくくなるような設計・構築を導入時に品質担保しておく必要があります

⑥ ユーザ部門導入システムの障害対応への備え
システム導入の民主化が進むにつれ、ユーザ部門主導によるシステム導入がなされるケースが増えてきています。その際、システム障害への備えがされていないケースが見られます

３. IT-BCPのポイント

これまで述べてきたシステム・サービス停止リスクへの対応を強化すべく、情報システム自体の継続・復旧戦略に着目して、IT-BCPを高度化する必要性が高まっています。具体的には、障害発生やサイバーインシデントにあった際の初動対応や事業継続対応を取りまとめたIT-BCPの整備が必要となっています。

全ての障害や攻撃を想定して備えることは現実的ではありませんが、障害発生・攻撃を受けた直後から被害拡大までの時系列シナリオをパターン化し、刻々と変化する被害状況に対して現行のBCP（特に初動対応）が適時適切に機能するのかを検証して、脅威に対する強度を高めるべきです。

そのためには、基本方針や戦略を記述したIT-BCP基本計画および、具体的な手順等（戦術）を取りまとめたIT-BCPを整備します。

IT-BCPは、現状評価・課題整理から文書化までを5つのステップで行い、ステップ6で導入することで構築、強化します。

また、IT-BCPを単なる情報システム的な対策として捉えず、IT-BCP順守のためのガバナンス態勢構築、委託先管理の改善などをも含めた、総合的なアプローチをもって検討することが重要です。

４. さいごに

IT-BCP対策を疎かにすると、自社内だけではなく、取引先への影響や社会的問題へ発展するリスクがあるため、IT部門任せではなく、重要な経営課題の一つとしてとらえて、検討・推進していくことを推奨します。

さらに、最新IT・デジタルツールの活用拡大、システム導入の関与者の拡大などに応じて、これまで考慮していなかった新たな脅威が常に発生しているため、一過性ではない、継続的なIT-BCPの見直しをも計画的に行うべきと考えます。

関連ページ

・デロイト トーマツ グループのサイバートップページ

本連載のバックナンバー

・第１回 Cyber Everywhereの時代に求められる対応（GREAT RESET IN Cyber Security）

・第２回 ESGにおけるサイバーセキュリティ【ESG投資及びディスクロージャーとCyberについての考察（投資家等外部ステークホルダーからの要請）】

・第３回 サイバーインシデントに関する開示の国際動向【米国証券取引委員会（米国SEC）のサイバーセキュリティ開示の規則案への対応準備について】

・第４回 M&Aにおけるサイバーセキュリティ

・第５回 SAP移行とセキュリティ・バイ・デザイン対策【セキュリティ・バイ・デザインなき業務基盤にDXは成しえない】

・第６回 「投資」に値する効果的なサイバーセキュリティ対策【サイバーセキュリティ × データアナリティクス専門家の必要性】

・第７回  情報安全保障に関する提言【真偽不明な「情報」が満ち溢れる昨今のデジタル社会における「情報」に関する問題点と必要なリスク対策とは？】

・第８回  クラウドセキュリティ態勢とガバナンス強化【情報セキュリティガバナンス態勢強化に向けたアプローチ】

・第９回  転換期を迎えている“サイバーセキュリティに関する委託先管理”の概念・捉え方【適切な委託先選定、委託先モニタリングを通じた委託先管理】

・第10回  サイバーリスクの高まりに対する内部監査の役割【DXに伴うサイバーリスクの高まりにおいて、内部監査の役割重要度が増大】

・第12回  断絶の時代をリードするシフトレフト〜ビジネスにアジリティをもたらすDevSecOps〜

・第13回  地方公共団体DXに伴うサイバーリスクの高まり～地方公共団体におけるセキュリティ対策～

・第14回  地方公共団体のGovCloudの移行後の必要なセキュリティ対策【基幹業務のクラウド化に伴う必要なセキュリティ対策に関する考察】

・第15回  スマートシティ推進における個人データの保護・活用

執筆者

中山 和彦／Nakayama Kazuhiko
デロイト トーマツ リスクアドバイザリー株式会社

ITに関する計画策定、要件定義、システム導入～運用保守といったシステムライフサイクル全般に渡っての経験を有する。現職のデジタルガバナンスユニットにて、主としてスマートワーク関連サービス（ペーパーレス、電子帳簿保存法対応、消費税インボイス制度対応、デジタル化による業務効率化対応など）、システムリスク対応サービス（アクセスコントロール、システム安定稼働対応、IT-BCPなど）を担当。
 

※所属などの情報は執筆当時のものです。