情報セキュリティ」タグアーカイブ

事業継続マネジメントにおける IT の継続性をどう考えるか

このエントリーをはてなブックマークに追加

多くの組織にとって、事業継続マネジメント(BCM)に取り組むうえで IT の継続性は重要なテーマのひとつだと思います。俗に「IT-BCP」などと呼ばれたりしていますが、IT が多くの組織にとって非常に重要な資源となっている現状において、IT システムが稼働停止しないように、もしくは停止した場合に短期間で稼働再開できるようにするための対策は、避けて通れない分野と言ってもいいでしょう。

そのようなニーズに対して、IT システムに関しては、冗長化やバックアップなど、トラブルや災害などによる稼働停止を予防したり、被害を軽減するためのテクノロジーや製品・サービスが豊富に提供されています。これは BCM の概念が形成される前から、「IT Disaster Recovery」、「fault tolerant」、「redundancy」などといったキーワードとともに開発が進められてきましたが、BCM の概念や方法論が体系化され、日本でも「BCP」という用語が普及してきたことに対応して、「IT-BCP」という言葉が使われるようになってきました(注 1)。

しかしながら、IT の継続性に関してどの程度の対策を講じるべきなのかを、どう決めればよいか分からないと思われる方もいらっしゃるかも知れません。

–   –   –   –   –

一般的に、対策のために必要なコスト(または投資)と、その対策を行ったことによって稼働停止をどれだけ短く出来るかは、トレードオフの関係にあります。もちろんこれは IT に限った話ではなく、BCM においては全ての資源に対して当てはまります。

したがって、BCM の方法論から考えると、事業影響度分析(BIA)の結果から目標復旧時間を決め、それに間に合うような対策方法を選ぶべきだということになります。

このような考え方は、国際規格 ISO/IEC 27031(注 2)でも具体的に示されています。この規格は和訳されていないこともあって、日本ではあまり知られていないと思いますが、BCM の中で IT の継続性をどのようにマネジメントしていくべきかという観点で、様々な指針が示されています。

下の図は、ISO/IEC 27031 で示されている図のひとつですが、障害が発生してからユーザーがそのシステムを利用できるようになるまでの時間が製品・サービスの目標復旧時間(RTO)として示されているのに対して、障害発生から対応作業の開始までにかかる時間や、対応作業が完了してからユーザーが動作確認する時間を考慮して、ICT サービスの RTO を設定すべきであることが示されています。

(出所:ISO/IEC 27031:2011 の Figure A.1 に一部追記)

このような関係になることを踏まえ、BIA の結果から製品・サービスの RTO を決め、それに見合うように IT システムの RTO を決めたうえで、それに間に合うような対策方法を選ぶというのが本来の考え方です。

–   –   –   –   –

しかし一方で、BCM に取り組まれる前から、既に IT 部門の方で何らかの対策が講じられている場合も少なくありません。

その場合には IT 部門と相談しながら、もし目標復旧時間に対して現在の対策方法が不足であれば、より短期間で稼働再開できるような対策を導入できないか、検討していただく必要があります。

逆に、現在の対策方法が過剰だったとしたらどうでしょうか?

例えば(少々極端な例ですが)3 日程度で稼働再開できれば十分なシステムが、ほぼノンストップで稼働継続できるような常時完全二重化で運用されていたとしたら、その対策方法は目標復旧時間に対して過剰(=お金をかけすぎ)ということになります。

もし運用コストがあまり問題にならないのであれば、今後のシステム更新時期までそのまま維持されてもいいかもしれませんが、運用コスト(作業の手間なども含みます)を削減したいような状況であれば、対策方法をダウングレードすることも選択肢に入るでしょう。実際にはダウングレードのためにかかる費用や手間との兼ね合いも含めて、IT 部門と一緒に慎重に検討する必要があります。

もちろん実際には、組織内で複数のシステムが稼働していて相互に依存関係があったり、ひとつのシステムが複数の製品・サービスに関与していたりしますので、これらの事情を考慮して総合的に評価・判断する必要があります。ぜひ IT 部門の方との間で、本稿のような考え方を共有した上で、十分相談し、協力関係を築きながら、組織全体として事業継続に関する対策コストの最適化を目指していただければと思います。

–   –   –   –   –

余談ですが、巷でよく使われている「IT-BCP」という呼び方は正しくありませんので、お使いにならない方が良いと思います。この件については別の記事にしましたので、下記の記事をご参照いただければ幸いです。

弊社 Web サイト:「IT-BCP」という言い方は間違い https://office-src.com/archives/3298

【注釈】

  1. 多くの IT ベンダーがそのような用語を使って活発にセールスプロモーションを行っているという事情もあります。
  2. ISO/IEC 27031:2011 Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity

–   –   –   –   –

事業継続マネジメント(BCM)に関するガイドブックを出版させていただきました。特に中小企業の皆様が自力でに取り組まれることを想定して執筆させていただきましたので、お役立ていただければ幸いです

田代邦幸(著)『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)1,980 円(税込)

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

寄稿> 欧州ネットワーク・情報セキュリティー機関による年次報告書

このエントリーをはてなブックマークに追加

リスク対策.com Web サイトに連載記事を掲載していただきました。

【海外のレジリエンス調査研究ナナメ読み!】
第 123 回:欧州ネットワーク・情報セキュリティー機関による年次報告書
ENISA Threat Landscape

欧州ネットワーク・情報セキュリティー機関(ENISA)が 2012 年から毎年発表している、サイバーセキュリティーに関する最新動向や提言などがまとめられたレポートをご紹介しています。

こちらのレポートの特色の一つは、Cyber Threat Intelligence(CTI)(サイバー攻撃に関する情報収集・蓄積・分析を行ってセキュリティー対策に役立てること)の活動のあり方に関する提言が多く含まれていることです。私自身もこれまでサイバーセキュリティに関するレポートは多数読んできましたので、これらの裏で様々な CTI 活動が行われていることは知っていましたが、CTI の活動そのものに関して具体的に言及されたレポートは初めてです。

私自身の主観ではありますが、日本の事業継続関係者の間では、サイバーセキュリティが話題に上ることが外国に比べて少ないと思いますので、このような分野にも関心を持っていただければと思います。

下記リンクからお読みいただければ幸いです。
https://office-src.biz/32xyNfe

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

寄稿> 在宅勤務環境を支える IT セキュリティーの確保

このエントリーをはてなブックマークに追加

リスク対策.com Web サイトに連載記事を掲載していただきました。

【海外のレジリエンス調査研究ナナメ読み!】
第 118 回:在宅勤務環境を支える IT セキュリティーの確保
Databarracks / Data Health Check 2020

英国内の組織(公的機関や非営利団体を含む)における IT 部門の管理職および担当者を対象として、2008年から毎年実施されているアンケート調査の 2020 年版です。

新型コロナウイルスのパンデミックにともなうロックダウン期間中に、勤務先のシステムにアクセスする方法やセキュリティ上の懸念、在宅勤務中のエンドユーザーに対する IT サポートに関する課題などが解説されています。

下記 URL をクリックしてお読みいただければ幸いです。
https://office-src.biz/3cDwOtu

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

寄稿> 内部者による情報漏えいの脅威といかに向き合っていくか

このエントリーをはてなブックマークに追加

リスク対策.com Web サイトに連載記事を掲載していただきました。

【海外のレジリエンス調査研究ナナメ読み!】
第 116 回:内部者による情報漏えいの脅威といかに向き合っていくか
Bitglass / 2020 Insider Threat Report

組織の内部者(従業員など)による情報漏えいに対する対策の実態に関するアンケート調査の結果です。近年のクラウド活用やリモートワークの増加、BYOD ポリシー(私物のスマートフォンなどを業務に用いることを認めること)の採用などによって、内部者による情報漏えいなどの検知が難しくなってきている状況などが、調査結果に現れています。

下記 URL をクリックしてお読みいただければ幸いです。
https://office-src.biz/329m2aJ

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

寄稿> DDoS 攻撃の発生状況とその実態(2020 年上半期)

このエントリーをはてなブックマークに追加

リスク対策.com Web サイトに連載記事を掲載していただきました。

【海外のレジリエンス調査研究ナナメ読み!】
第 113 回:DDoS 攻撃の発生状況とその実態(2020 年上半期)
Link11 / Distributed Denial of Service Report First Half of 2020

新型コロナウイルスのパンデミックの影響で、在宅勤務を含むリモートワークが増加したことに伴って、DDoS 攻撃の状況も変化していることが明らかになっています。

下記 URL をクリックしてお読みいただければ幸いです。
https://office-src.biz/3kTcubt

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

寄稿> EU 圏内における通信障害の発生状況

このエントリーをはてなブックマークに追加

リスク対策.com Web サイトに連載記事を掲載していただきました。

【海外のレジリエンス調査研究ナナメ読み!】
第 111 回:EU 圏内における通信障害の発生状況
ENISA / Telecom Services Security Incidents 2019 Annual Analysis Report

欧州ネットワーク情報セキュリティー機関(ENISA)が、EU 圏内の通信ネットワークにおける重大なインシデントの発生状況を分析した報告書です。

下記 URL をクリックしてお読みいただければ幸いです。
https://office-src.biz/3i2TLI8

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

寄稿> ランサムウェアに身代金を支払ってはいけない

このエントリーをはてなブックマークに追加

リスク対策.com Web サイトに連載記事を掲載していただきました。

【海外のレジリエンス調査研究ナナメ読み!】
第 106 回:ランサムウェアに身代金を支払ってはいけない
CyberEdge / 2020 Cyberthreat Defense Report

組織で IT セキュリティに関する実務や意思決定をされている方々を対象としたアンケート調査の結果を踏まえて、IT セキュリティに関する現状の課題や将来の戦略などについて考察されています。
3 年くらい前から急に被害が急増したランサムウェアについても、人質となったデータを取り戻せたかどうかまで追跡調査した結果が掲載されていて、興味深い報告書です。

下記 URL をクリックしてお読みいただければ幸いです。
https://office-src.biz/2NDlphI

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

寄稿> パンデミックに適応していくための IT 部門の役割

このエントリーをはてなブックマークに追加

リスク対策.com Web サイトに連載記事を掲載していただきました。

【海外のレジリエンス調査研究ナナメ読み!】
第 104 回: パンデミックに適応していくための IT 部門の役割
Insight / 2020 Insight Intelligent Technology Pulse: The Impact of COVID-19 on Business Readiness

北米の企業を対象として行われた調査の結果です。
新型インフルエンザのパンデミックに対応するために、多くの企業が在宅勤務など新たな事業形態に短期間で移行するために、IT 部門がどのような役割を果たしてきたか、また今後どのように適応していくべきかが、調査結果を踏まえて述べられています。

下記 URL をクリックしてお読みいただければ幸いです。
https://office-src.biz/2AFwOL6

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

寄稿> 英国の企業や慈善団体におけるサイバーセキュリティー対策の実態

このエントリーをはてなブックマークに追加

「リスク対策.com」 Web サイトに連載記事を掲載していただきました。

【海外のレジリエンス調査研究ナナメ読み!】
第96回:英国の企業や慈善団体におけるサイバーセキュリティー対策の実態
英国デジタル・文化・メディア・スポーツ省 / Cyber Security Breaches Survey 2020

昨年 7 月 2 日に紹介させていただいた調査報告書の 2020 年版です。
英国内の企業や慈善団体におけるサイバーセキュリティ対策の実施状況が、様々な観点から調査されているので、自らの組織における対策状況を本報告書とを照らし合わせてみると、現在の対策状況を網羅的に見直すことに役立つのではないかと思います。

下記 URL をクリックしてお読みいただければ幸いです。
https://www.risktaisaku.com/articles/-/29184

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

寄稿> 世界の BCM 関係者の懸念は 2020 年もやはりサイバー攻撃

このエントリーをはてなブックマークに追加

「リスク対策.com」Web サイトに連載記事を掲載していただきました。

【海外のレジリエンス調査研究ナナメ読み!】
第 92 回:世界の BCM 関係者の懸念は 2020 年もやはりサイバー攻撃
BCI / Horizon Scan Report 2020

BCM の専門家や実務者による非営利団体である BCI が、毎年恒例で行っている調査の 2020 年版で、BCM 関係者の間で、今後 12 ヶ月の間にどのような事象の発生が特に懸念されているかを調査したものです。

また、オマケではありますが ISO 22301 が海外でどのように活用されているかが分かるデータが含まれています。

下記 URL をクリックしてお読みいただければ幸いです。
https://www.risktaisaku.com/articles/-/25826

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加