NIST CSFを踏まえつつ、危機があっても「しなやかに回復できる」組織へ――PwCコンサルティング丸山満彦氏：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

[高橋睦美，ITmedia]

　特に後半の検知、対応、復旧といったいわゆる事後対応の部分については、ISMSやISO/IEC 27001との違いでもしばしば言及される部分だ。「CSFは元々重要インフラのレジリエンス実現に向けて策定されたところから始まっているため、こうした部分が強調されています」（丸山氏）

　CSFを構成するもう1つの重要な要素であるティアは、成熟度評価モデルに近く、4つのレベルに分かれている。個人個人が場当たり的に対応するティア1、一部の組織やプロセスで限定的に運用するティア2から、組織としてのポリシーやプロセスに基づいて対策を実施するティア3、継続的に改善していくマネジメントアプローチが確立しているティア4へ――という具合に高めていくことが期待される。

　「もちろん、一足飛びに実現できるものではなく、若干時間はかかります。しかし、ひとたびできあがれば長く継続できる形になるため、時間をかけてでもティア4を目指すことが重要だと考えます」（丸山氏）

　こうした一連の概要を説明した上で、丸山氏は、CSFはあくまで組織のエンタープライズリスクマネジメントの一環である点を強調した。CSFは、内部統制の枠組みを定めたCOSOとも紐付くものであり、「ぜひ経営者の皆さまには、組織全体のリスクマネジメントの一つとしてCSFを活用してほしいですし、そこが分かっていない経営者がいれば現場からアピールしてください」（丸山氏）

復旧計画の立案と訓練を通し、しなやかに回復できる組織へ

　最後に丸山氏は、どのように事業継続管理とサイバーセキュリティをつなげていくかについて、いくつかのポイントを紹介した。

　そもそもサイバーセキュリティ対策は、それ自体が目的ではない。「セキュリティ対策というのは事業を継続させ、成功させるため、失敗させないためのものです」と指摘し、サイバーセキュリティという限られた観点だけで考えるのではなく、サプライチェーンも含めた全組織が取り組み、官民、あるいは民間同士の連携や脅威情報の共有などを通し、事業をいかに止めず、成功に寄与していくかが問われているとした。

　もしランサムウェア感染、あるいは障害や自然災害によってインシデントが発生すれば、操業度が一気に低下する。ただ「事業継続計画や復旧計画がなければ、そのつどどうするかを議論しながら進めるため時間がかかりますが、計画があればそれに従って迅速に進められます」（丸山氏）。例えばCSFに基づいて検知の仕組みを整えておけば、早期にインシデントを発見でき、操業度の沈み込み具合も低くなるし、回復の手立てがあれば復旧時間も短くなる。

　このように「いかに会社の事業継続計画とCSFでのセキュリティ対策をつなげ、組織として動けるようにするかが非常に重要になってきます」という。

サイバーインシデントがあっても事業が継続される

　そして、事業継続を実現する上で最も重要なポイントとして「訓練」を挙げた。

　「何か事故が起こったときに対応できるかという上で、擬似的にでも経験しているか、していないかというゼロイチの差は非常に大きなものになります。一度でも経験があれば対応しやすいのですが、まったくやったことがなければパニックに陥る恐れもあります」と丸山氏は指摘し、事業継続計画に基づいて、地震やパンデミック、あるいはランサムウェアなどを想定した訓練を、机上訓練でもいいのでぜひ一度実施すべきとした。

　特にランサムウェアの場合は、自然災害など他の危機と異なるポイントがある。地震ならば、遠隔地にあるバックアップを活用して事業を復旧できるが、ランサムウェアではネットワーク越しにバックアップもろとも暗号化されてしまう恐れがあるし、バックアップデータの中にマルウェアが残っており、再感染する可能性も否定できない。さらに、攻撃者からの脅迫にどう対応するかを検討する必要もある。

　こういった、ランサムウェア特有のポイントについて、同じくNISTがまとめた「ランサムウェアのリスクマネジメント」と題するドキュメントなどを参照しながら、事前に検討しておくべきだとした。

　そして最後に丸山氏は、ランサムウェアに感染してシステムが止まっても、迅速に元の状態に戻せるよう、つまり「しなやかに回復」できるよう、サイバーセキュリティの観点も含めた事業継続計画を策定し、実施していくことの重要性を再度訴え、講演を終えた。