情報セキュリティ事業継続の発動が必要となる状況
・コロナ等の感染症の拡大
・大震災・津波・水害等の自然災害や大規模火災により事業の継続が困難な状況になった場合
などが、現在の日本において情報セキュリティ事業継続を発動する対象の事象になります。
現在は、コロナ感染症を経験し各企業ともリモートワーク環境の整備及びクラウド利用の推進により、従来と比べて事業継続に対しての対策がある程度施されている状況と言えます。
とはいえ、まだ、対策が十分でない企業も多くあることも事実です。
今回は、対策が十分でない企業向けに、情報セキュリティ事業継続について説明します。
あくまでも大事なのは、以下に記載すること全て対応する必要はなく、自社でどこまで許容できるか(どこまで対応が必要で、どの程度以上のリスクを受容するか)、いわゆるリスクアセスメントを実施し、その結果に従って事業継続の対策を構築する際の参考にしていただければ幸いです。
日常的に準備し、実施しておくべき事項
(1) 在宅勤務/テレワーク環境の整備及び運用ルールの作成
・持出可能なノートPCの準備
HDDの暗号化、紛失・盗難してもログインされないようなパスワード(桁数、複雑化)対策
※普段、持出PCを使用していない場合は、定期的に起動し、Windows Updateやアンチウィルスソフトのパターンファイルの最新化、さらに持出PCに十分な充電を実施しておくことが必要です
・VPNを利用して会社のLANへ接続できる環境の整備と実装
・従業員の自宅のWi-Fi環境の確認
自宅のWi-Fi利用が不可能な場合は、モバイルWi-Fiの貸出が必要
※定期的にモバイルWi-Fiを充電しておく必要があります
・在宅勤務/テレワーク時の情報漏えい対策をまとめたルールの整備と従業員への周知
(2) 日常的なデータバックアップ及びリストアの試験
データバックアップの対象は、全システムが対象となりますが、システムの優先度に応じて判断することが望ましいです
一般的には、
・ファイルサーバー
・メールサーバー
・基幹系の業務用DBサーバー
などのデータが一番重要度は高いと言えます
これ以外にも、会社でどういうシステムのデータバックアップを取得しておく必要があるか検討しておく必要があります
データのバックアップには大きく分けて2種類あります
一つは、ファイルバックアップと言われるファイル単位でのコピー取得です。PC上でWordやExcelなどのファイルをコピーすると思いますが、それと同じイメージです。このバックアップは簡単に取得でき、リストアも問題なく簡単にできると思います。ただ、毎回、例えばファイルサーバーの全データを取得していると、バックアップ時間もかかるし、容量も必要になります。そのため、差分(変更のあったファイル)だけなど、限定して取得する必要があります
もう一つはイメージコピーと言われるバックアップです。これは主にデータベースのバックアップに用いられるやり方で、対象となる環境全体(環境設定パラメータなど含む)をそっくりそのまま取得するので、リストアで戻す場合も、そっくりそのままバックアップを取得した時点に戻す方式です。データベースのバックアップなどは定期的に(環境変数などに変更があった場合も含む)イメージコピーを取得し、日常的には差分バックアップを取得することが一般的です。なお、自社で運営しているアプリケーションサーバーのバックアップについては、変更が発生した都度イメージコピーを取得しておくことが望ましいと思います
※アプリケーションのソースコードを別途管理していても(GitHubなどで)、コンパイルして本番環境に移行しても、環境変数の設定値が間違っていて設定に時間がかかる場合があるため、アプリケーション環境のバックアップ環境全体のイメージコピーを取得しておくことが望ましいです
このイメージコピーやデータベースの差分バックアップからのリストアの手順を確立し、それを手順書にまとめ、定期的(少なくとも年に1回)にリストアの試験を行うことが望ましいです。手順書通りに実施し、手順書通りだとうまくいない場合は手順書の見直しが必要になります
一方で、リストアを行う環境がないのでリストアの試験ができない企業も多いと思います。よく、運用環境(本番環境)しかなく、テスト環境などの別の環境が無いのでリストアテストを行いたいが環境的にできないというお話をよく伺います。無い袖は振れません。環境が無いため、リストアの実地試験はできませんが、有識者が集まって手順書の見直し(特に環境面で変化があったところなどの見直し)はできるはずです。このように実地でリストア試験ができない場合は、有識者みんなで集まり、机上チェックのような形で手順書全体を見直すということを実施しておくだけでも大きな違いになります
(3) 設備の二重化
設備の二重化はかなりの投資が必要となる場合があるので、先のリスクアセスメントを実施し、本当に必要なところから順に対応することで良いと思います。
設備の二重化が必要なものとして
・ストレージの二重化
例えばRAID1などの採用によるストレージの冗長化など
・サーバーの冗長化
ハードウェア自体の二重化で、ミッションクリティカルな業務であれば、基幹系システム自体を二重化し、定期的に待機系にデータをコピーし、本番系がダウンした時にすぐに切り替わるような仕組みです
・電源、回線などの二重化、UPSの設置など
・DRサイトの準備
DRサイトとは、Disaster Recovery site(ディザスタリカバリサイト)のことで、本番環境から離れた環境に設置し、本番環境に影響が出て運用が続けられなくなった場合に切り替えて使う環境のことです。このDRサイトは、常にバックアップをコピーしデータの同期を取っているホットサイトや、サーバーや回線、電源等の設備は用意しておくが、データは緊急時に取り込む方式のコールドサイトなどがあります。ただ、いずれにしても設備の二重化になり、その分の投資が必要となるため、事業継続の必要性をリスクアセスメントして判断する必要があります
ただ、今はクラウドサービスを利用する会社が増えており、クラウドサービスを利用している会社では、契約内容にも寄りますが、クラウド側で対応してくれるケースもあります。緊急事態発生時に、利用しているクラウドサービスのカバー範囲を契約時にしっかり確認しておく必要があります。例えば、利用しているクラウドサービスの環境が影響を受けた場合、どのような緊急度で、どのような対応を受けられるのか、データのバックアップのリカバリーはいつの状態に戻るのか、など確認しておくべき事項は多岐に渡ります
(4) 各種手順書等の整備
これまで書いてきた各対応それぞれの手順書/マニュアル等を整備しておく必要があります
・BCP発動時の情報セキュリティ継続規程
全体の指揮管理体制(情報の管理体制、指示体制、報告体制)
・在宅勤務/リモートワーク規程
持出PCの利用ルール、VPN接続ルール、自宅・社外での作業時の情報漏えい対策等
・バックアップ・リストア手順書
バックアップの方式・媒体と頻度、リストアの手順
・各種サーバーの起動、停止手順書
緊急時の対応手順も含む
・DRサイトの運用手順
緊急時の切替手順を含む
・緊急時の物理的管理策のルール
玄関や執務室は日常と同じような入退室管理ができなくなるため、どのような管理方式にするか
・緊急時の連絡先一覧
業務面の連絡先(自治体の連絡先も含む)、情報セキュリティ面の連絡先(IPA、JPCERTなど)
緊急時の対応
緊急時は、緊急時の指揮管理体制の指示に従った行動が求められます
緊急時になってあわてて資料等を印刷する必要が無いように、必要な手順書/マニュアル等は予め印刷してキャビネット等に保管しておく必要があります。特に「各種手順書の整備」に記載した各種手順書等は印刷し、緊急時にすぐに使えるようにしておく必要があります