2025.01.07
リスクは自然災害だけではない 「サイバーBCP」を企業が策定すべき理由
目次
日本は災害大国であり、いつどんな地震や台風などに遭遇するかわかりません。
自然災害は企業活動に大きなダメージを与えます。そうした非常事態からいかに早く事業を復旧させるかの事業継続計画(BCP)を策定することが急務になっています。
しかし、いま企業活動に潜むリスクは自然災害だけではありません。サイバー攻撃も大きな脅威のひとつです。
ことし6月にはKADOKAWAが大規模なサイバー攻撃を受け、主要サービスが停止するという事態も発生しました。
そこで、サイバー攻撃に備えた「サイバーBCP」の策定も必要になっています。
半数の企業がBCP策定の意向
2024年の初めに起きた能登半島地震は最大震度7を超える規模で、事業拠点への直接的な影響だけでなく、インフラの断絶で企業・消費活動にも大きな影響を与えました。
こうした中、帝国データバンクが全国の1万1,410社から回答を得た調査によると、BCPの策定意向を持つ企業の数が5割に達しました。
BCP策定意向の有無
(出所:帝国データバンク「事業継続計画(BCP)に対する企業の意識調査(2024年)」)
https://www.tdb.co.jp/resource/files/assets/d4b8e8ee91d1489c9a2abd23a4bb5219/b209670834584a7a9310404530fa98a8/sp20240625.pdf p1
これは、4年ぶりの高水準になっているということです。能登半島地震を目の当たりにしたことが危機感を強めたと考えられます。
しかし、BCPの策定意向を持つ企業の構えは、自然災害に対するものだけではなくなっています。
事業の継続が困難になると想定しているリスク
BCPの策定意向を持っている企業は、このようなリスクを想定しています。
事業継続に対して想定しているリスク
(出所:帝国データバンク「事業継続計画(BCP)に対する企業の意識調査(2024年)」)
https://www.tdb-di.com/2024/06/sp20240625.pdf p3
大企業、中小企業ともに「自然災害」がトップに挙げられていますが、次に想定しているリスクは「情報セキュリティ上のリスク(サイバー攻撃など含む)」となっています。
サイバー攻撃もまた、企業活動に大きな影響を与える要因であるとの認識が広がっています。
自然災害とサイバー攻撃のリスクの違い
しかし、自然災害とサイバー攻撃では、性質と復旧過程が異なります。
両者の考え方について見ていきましょう。
自然災害に備えたBCPの考え方
自然災害の場合は比較的、受けた被害を把握しやすいと言えます。「目に見える」部分が多いからです。
そして、稼働を続けられるインフラや人材をまず中核事業の復旧に充てることで最も大きなダメージを避ける、というのが自然災害を想定したBCPの基本的な考え方です。
BCPのイメージ
(出所:内閣府「事業継続ガイドライン-あらゆる危機的事象を乗り越えるための戦略と対応-(令和5年3月) 」
https://www.bousai.go.jp/kyoiku/kigyou/pdf/guideline202303.pdf p4
緊急事態の発生時に何を優先するのか、そのために各社員はどのように行動をするのか、といったことがメインになります。
サイバー攻撃のリスク
一方でサイバー攻撃の場合、まず発生の瞬間は基本的には把握できません。障害が起きて初めて被害に気づき、しかしその時にはすでに、いくつものトラブルが同時発生しているという状態です。上の図でいう「急拡大」の状態で被害が発覚するという特徴があるのです。
サイバー攻撃からの復帰まで
(出所:NECソリューションイノベータ「BCP・リスク対策コンサルティング / シリーズ BCPの視点 第7回 サイバー攻撃に備えたIT-BCPの構築(前編)」)
https://www.nec-solutioninnovators.co.jp/sl/bcp/series/itbcp.html
例えば最近多発しているランサムウェアによるサイバー攻撃の場合、システムが使えなくなり、場合によっては全業務の停止をある日突然余儀なくされる、という形で被害が明らかになります。
しかし、それ以前に情報の抜き取りはすでに行われており、システム停止という目に見えるものだけではない被害を受けている状態です。
ランサムウェアによる攻撃は、KADOKAWAもそうでしたが「システムの暗号化を解くための金銭」「抜き取った情報を公開しないための金銭」という、2重の脅迫をかけるのが一般的です。たとえシステムの暗号化を解くことができたとしても、どのような情報が抜き取られたのかを確認し漏えいを防ぐ対応ができなければ、本格的な事業再開は難しくなってしまいます。
また、ウイルスの感染経路やウイルスがどこまで広がっているかが判明するまで、どの端末をどこまで使い続けていいのか、どこから復旧を始めれば良いのかの判断も難しくなります。
サイバーBCPの考え方
独立行政法人情報処理推進機構は、サイバーBCPの基本姿勢を次のように紹介しています。
サイバー攻撃は情報漏えいだけでなく、重要なシステムの停止等による業務停止を引き起こすものがある。そのため、自然災害等を想定した既存のBCPと連携する等、組織としてサイバー攻撃によるインシデントに対する復旧体制を整備することが望まれる。
実践する上でのファーストステップとしては下記の3点が考えられる。
・自然災害等を想定したBCP策定の経験を有するチームとインシデント対応チームで情報を共有する
・インシデント影響度に応じた復旧対応の判断基準および判断フローを整備する
・システム障害の事業継続に与える影響が大きく優先度の高いシステムについて、復旧手順を検討し演習により確認する<引用:独立行政法人情報処理推進機構「プラクティス・ナビ」>
https://www.ipa.go.jp/security/economics/practice/practices/Practice233/
「事業継続に与える影響が大きく優先度の高いシステム」について演習する、という優先度の設定は従来のBCPの考え方と変わりません。
しかし、サイバー攻撃による情報漏えいの場合は、顧客やサプライチェーンへの適切な説明と対応が求められることも想定しておかなければなりません。また、攻撃者からの金銭の要求に対してどう対応するかの想定も必要です。
自然災害の場合はある程度周囲からの理解を得られるかもしれませんが、サイバー攻撃の場合は企業の日々の警戒が足りなかっただけ、と見なされることが多いでしょう。
自然災害に比べれば、周囲の目は「仕方ない」とはなりにくい部分があります。
損害保険への加入もひとつの手段
なお近年では、サイバー攻撃による損害に対応する保険商品も多く登場しています。
一例としては、以下のような費用が補償されるというものです。
サイバー攻撃への対応と補償範囲の一例
(出所:一般社団法人全国損害保険協会「サイバー保険とは」)
https://www.sonpo.or.jp/cyber-hoken/about
上の図のように補償内容はおもに3種類あり、
- 事故対応費用
- 損害賠償責任
- 利益損害・営業継続費用
といった具合です。
また、サイバーBCPの場合、自社の社員だけでは策定は難しいことでしょう。
そのような場合は自治体のサポート事業などを利用し、まず理解を深めるところから始めたいものです。
いずれにせよ、自然災害と同様、あるいはそれ以上の危機感が求められる時代になっています。
<清水 沙矢香>
2002年京都大学理学部卒業後、TBSに主に報道記者として勤務。社会部記者として事件・事故、テクノロジー、経済部記者として各種市場・産業など幅広く取材、その後フリー。
取材経験や各種統計の分析を元に多数メディアに寄稿中。