「サイバーセキュリティとBCP」

こんにちは。日本レジリエンス株式会社です。
サイバーセキュリティとBCPについては、過去の記事でも申し上げましたが今回は、概念的なお話をしたいと思います。

1．BCPは役に立ちました？

まず、最初に、質問が有ります。
「2020年1月からの新型コロナウイルス蔓延で貴社のBCPは役に立ちましたか？」
この質問に対する答えが「はい」なら、読み飛ばしてください(笑)。
答えが「いいえ」なら、何故役に立たなかったのかを読みながら考えてみてください。

2．BCP≠震災対策

新型コロナウイルス蔓延でBCPが役に立たなかった要因は、様々に考えられますが、最も多く見られるのは、「新型コロナウイルス蔓延のような事態を想定して作られていなかった」というものです。もう少し具体的に言い換えると、大規模震災が発生した場合を考慮してBCPを策定したものの震災以外の事象を考慮しなかったため、「BCP：事業継続対策」と銘打たれてはいながら実際には「震災にあたっての事業継続対策」あるいは「震災対策」になっていたというものです。
この背景には、東日本大震災直後に実効性の有る計画を素早く策定することが求められ、また、その後に毎年のように大規模な水害が発生したという事情が有ります。このため、「とにかく何か有った時に事業が継続できる対策を」ということで、被害事象としてイメージしやすい大規模震災が挙げられ、それに続くものとして水害が挙げられた結果として「震災や水害にあたっての事業継続対策」となってしまったわけです。貴社のBCPにおいて、「震災」や「水害」に際しての具体的な対応策が「実施方策」として記載されている場合には要注意とも言えます。

3．新型コロナウイルス蔓延で「役に立った」BCPとは

新型コロナウイルス蔓延で役に立ったBCPの特徴を端的に述べると、次の３点が当てはまります。
① 事業に焦点を当ててから計画を策定している。
② 事業影響度分析をしっかりと行っている。
③ 経営層のコミットメントの下に事業継続の優先順位を決めている。
以下でそれぞれを解説していきます。

① 事業に焦点を当てて計画を策定している。
「事業に焦点を当てる」とは、「事業に影響を与える事象」ではなく、「事業そのもの」に焦点を当てるということです。そうすることにより、「地震が起こったら」ではなく、「この事業が止まったら」という視点になり、地震以外の事業に影響を与える事象を想定することができます。
なお、筆者は、十数年前に英国BCIの方から「被害想定の際は、地震や水害ではなく自社施設の火災の方が実効性の有る計画になる」との話を伺ったことが有ります。この趣旨は、「地震や水害では競合先も被害を受けることが多いので、事業中断に一定の猶予が許される。また、社会的にも事業中断を一定レベルで許容してくれる。しかし、自社施設の火災については、競合先は無傷である。そして、社会的にも許容されがたい。」というものです。BCP策定に当たって重要な視点と思いますので、引用しておきます。

② 事業影響度分析をしっかりと行っている。
事業影響度分析とは「その原因に関わらず、自社の各事業が停止した場合に、その影響の大きさ及びその変化を時系列で評価する」（内閣府 防災担当「事業継続ガイドライン（令和3年4月）」より）ことです。ここで「その原因に関わらず」とあるのは、顧客や取引先などのステークホルダーにとっては、問題は事業の停止そのものであり、原因ではないという理由によるものです。つまり、「事業影響度分析をしっかりと行う」とは、事業が止まること自体が問題であるという意識を持って、事業が停止した場合の影響の大きさと変化を時系列でしっかりと評価することです。そうすることにより、自社、および、ステークホルダーの被害想定がより明確になり、実効性の有る計画の土台ができてきます。
また、この「時系列で分析」する際に、事業が停止する事象が複数回あるいは継続的に発生する場合を想定することも重要です。テロや戦争、そして、病原体の蔓延などが、まさにこれに該当します。実際、十数年前に鳥から感染することが危惧された強毒性インフルエンザの蔓延を想定していたBCPが今回の新型コロナウイルス蔓延で役に立ったという事例も有ります。

③ 経営層のコミットメントの下に事業継続の優先順位を決めている。
事業影響度分析の結果を踏まえてBCPを策定するのですが、その際には、事業継続の優先順位を決める必要が有り、それに際しては、経営層のコミットメントが不可欠です。なぜならば、BCPは「自社事業の存在意義、延いては、自社そのものの存在意義が問われるもの」だからです。企業はゴーイング・コンサーンとも言われているように、社会に一定の価値を提供することにその存在意義が有り、事業はその価値を提供するための手段です。そして、BCPは、その価値提供能力を維持するとの決意表明とも言えます。
上記のような考えが反映されたBCPとして筆者が目にしたものの中には、「社会的な貢献度が大きい」との理由で、主力事業ではない医療関係製品の生産を最優先と位置付けているものが有りました。自社の存在意義を真摯に問い続けた経営層の深いコミットメントが伺えた事例としてここに引用しておきます。

4．サイバーセキュリティとBCPの関連付けとは

前節の事例で重要な事は、半田病院が事業継続に成功した理由は、「原因に関わらず、事業が停止した場合の対策としてBCPを策定しており、BCPから見た場合、件のサイバー攻撃は、事業が停止する現象の1種に過ぎなかった」ことです。つまり、サイバーセキュリティ対策ありきのBCPではなく、BCP実行の一つの方策として位置付けられることがサイバーセキュリティとBCPの健全な関連付けと言えます。
実際、同病院におけるサイバーセキュリティ対策は、VPN機器の脆弱性を放置していたなど、決して褒められたレベルではありません。しかし、「原因に拠らない事業停止」を想定しており、その際にはシステムも停止していることを想定して対策を立てていたことで有効な対策を行うことができました。
ここから先は私見になりますが、もし、同病院が、サイバー攻撃によるシステムダウンも想定してCSIRTを設置していたり、定期的な監査や対策の見直しに取り組んでいたりしたならば、更に迅速な対応ができ、また、被害規模も抑えることができていたのではないかと思われます。なぜならば、CSIRT設置・運営で常に課題となる経営層のコミットメントや、インシデント発生時の非IT部門・人材の関与、および、経営の視点からの判断、と言った課題が、あのようなBCPによってすべて解決することが見込まれるためです。
また、CSIRT設置・運営時に意外と見落とされがちなリスクコミュニケーションの手段としてのWebやメールの安全確保と言った対策も顧みられたのではないかと思われます。

5．終わりに

今回は、昨今の事件を踏まえ、BCPのおさらいをした上でBCPとサイバーセキュリティ対策との関連付けの重要性についてご紹介しました。2年以上も続く新型コロナウイルスの蔓延に加えて、ロシアとウクライナの紛争、そして、自然災害など事業の継続を脅かす事象は相次ぎますが、そのような中で生き残り、そして、成長していくためには、経営層のコミットメントのもと、自社の存在意義を改めて問い直し、その上で、自社の存在意義を事業継続の信念とした上で、具体的かつ実効性の有る計画を策定することが必要です。そして、今や事業の手段として欠くことのできないITの被害を極小化して事業継続の可能性を大きくするためにサイバーセキュリティ対策は必要不可欠です。新しい年度にあたって、一度、そのような観点でBCPとサイバーセキュリティ対策を見直してみてはいかがでしょうか。
最後までお読みいただきありがとうございました。