1. HOME
  2. KAYO NEWS
  3. 不定期配信 マウスちゃんとメモリ主任のIT1年生49

KAYO NEWS

華陽ニュース

不定期配信 マウスちゃんとメモリ主任のIT1年生49

情報の重要性が増す昨今、弊社では情報セキュリティについて、その意義や情報を共有する取り組みを続けています。
担当チームが社内向けにまとめた資料などを基に、軽い読み物を不定期でお届けできればと思いますので、ご笑覧頂ければ幸いでございます。

 社内BCP訓練が行われたある日。眉間にちょっとしわを寄せて、スマホに入力していたマウスちゃん。送信を終わってほっと一息つきます。横ではイーさんも同じように送信を終えてほっとした顔をしていました。
 「自分、家族、家屋、出社・・・訓練だって分かっててもちょっと緊張しますね、BCP関連って。」
 「僕らは送信すれば終わりだけど、それを取りまとめて状況を確認して指示を出して・・・って、BCPチームの人はもっと大変だよね。」
 「そうですよねえ。それに、今は訓練ですから、避難経路を確認するのも、チェックリストに従って復旧手順を進めるのも短時間で終わりますけど、実際にはもっとあたふたしちゃって、時間がかかるんだろうなあって思います。」
 「いざという時にそうならないための訓練で、BCPなんだけどね。」
 

 「BCPって『事業継続計画』でしたっけ。」
 「うん。『Business Continuity Plan』の頭文字だって。何らかの原因で企業活動に支障が出たときに、どう止めてどう復旧して事業を継続するか、ってことだから、本来は様々な脅威に対処できないといけないと思うけど、自然災害を想定した文脈で使われることが多い気がするね。」
 「うちも訓練は地震が起きたっていう想定で行われてますもんね。脅威って言うならほかにも、水害とか感染症とか・・・」
 「最近はサイバー被害に遭った時のBCPも、もっと浸透すべきだって話があるよ。」
 「サイバー被害かあ。そもそもサイバー被害って、今遭ってるのかどうかもはっきりしなくて不気味ですよね。」
 「それが自然災害とサイバー被害の違うところのひとつなんだって。地震にしても水害にしても、自然災害は起こった時もBCPを発動するタイミングもはっきりしてるけど、サイバー被害は実際に遭っているのにそれに気づくのが遅れることもあるから、まず『気づくこと』それから『予防すること』が大切な観点のひとつなんだって。」
 「でも『気づくこと』って、具体的に何をすれば良いんでしょう?・・・」

 「厚生労働省が公表している『サイバー攻撃を想定した事業継続計画(BCP)策定の確認表』が参考になるかもしれませんね。」
 教えてくれたのはメモリ主任。社内BCP訓練で忙しいはずですが、二人の質問に嫌な顔もせず応じてくれます。
 「厚生労働省?ですか?」
 「医療機関では2023年4月からサイバーセキュリティ対策が義務化されているので。」
 「ああ、いろいろありましたもんね。」
 「はい。その流れで、サイバーBCPの策定も実質義務化されているので、厚労省がBCPを策定する際の参考になる確認表を公表しているのですよ。『平時』『検知』『初動対応』『復旧処理』『事後対応』の各段階に応じて事前に決めておいたり対処しておくべき項目をリストアップしています。医療機関向けではありますが、一般企業でも十分参考になるチェックリストだと私は思います。」
 「『平時』っていうのが、予防段階のことですか?」
 「そうですね。とはいっても、難しいことは書いてありませんよ。『平時』について挙げられているのは

・所有している情報機器が、利用していないものや外部委託しているものも含めて全部把握できているか
・情報機器の構成図が整備・更新できているか
・システムが停止したときの影響範囲が把握できているか
・各機器の脆弱性への対応ができているか
・発災時の組織内と外部への連絡体制が整備できているか
・リスクを検知するための体制ができているか
・教育訓練が実施できているか
・バックアップを実施しているか
・復旧手順が確認できているか

といったことです。」
 「え、でも、これを全部、体系的に構築して、実施して、周知して、更新して、ってなると、結構大変なんじゃあ・・・」
 「そのためか、サイバーBCPを策定している企業はまだ少ないようですね。警察庁が3月13日に発表した2024年のランサムウエア被害の状況によると、実際に被害に遭った55の企業・団体のうち、サイバーBCPを策定していたのは16.4%にとどまっていたそうですから。」
 「サイバーBCPでも一般のBCPと同じように訓練ってするんですか?」
 「そうですね。まずは一般のBCPと同じように、被害を検知したと仮定して、初動対応や連絡網を確認し、復旧手順や外部連絡のシミュレーションといった訓練から始めるべきだと思います。そのほかにも、標的型メールを実際に受け取ったときの対応を確認する『標的型攻撃メール訓練』や、攻撃者の視点でシステムに攻撃を仕掛けてみる『レッドチーム演習』、総務省所管の組織が提供している『実践的サイバー防御演習』といったものもありますよ。」

 訓練計画を立てておきます、と微笑むメモリ主任の顔に背筋を凍らせながら、そそくさと席に戻った2人。
 「私たち、なんか地雷踏んじゃいました・・・?」
 「地雷、というより、導火線に火をつけた、みたいな?・・・」
 メモリ主任に火をつけてしまった時のBCPはあったかしら、と思わずもう一度、規程を見直す2人なのでした。