情報セキュリティ強度と災害復旧の容易さは相反するのか

こんにちは。また新たに学ばせていただきました。今週はじめに発生しました、Facebookの大規模トラブルです。同日にoutlook.comもダウンしていて、まさか関係があるのか？と思ってしまいました。もちろん無関係でした。

Facebookが10月5日の全面ダウンの詳細を報告。バックボーンの停止がBGP停止となりインターネットから離脱、外部からのアクセスを失いデータセンターに乗り込んで対応

ここで得られたことは、Facebook社ほどの企業が練り上げた、高度な情報セキュリティシステムが、たった一撃の不用意なコマンド実行によりインターネットから切断され、その復旧には物理的なアクセスを必要としたということです。しかもその引き金となったコマンド実行は社内スタッフがメンテナンス中に実行しており、想定しているような外部攻撃ではありませんでした。

よく情報セキュリティ対策は運用とのバランスを取るべき、と言われます。あまりガチガチにしてしまうと効率が悪く、かえって良くないというようなことです。ふだんから避難訓練的なことも行なっていたFacebook社ですが、全面的に切断されてしまったことは初だったようです。みなさまの企業では、デジタルな避難訓練、継続的にしていらっしゃるでしょうか。

とおいむかし、学生時代のアルバイトでPOSレジがダウンしてしまったり、レシートが出力できなくなったら電卓と紙とペンでしのいでしたのを思い出します。時折役に立つのが旧世界の文明です。無くてもいいけど、あると命拾いするかもしれません。

デジタル化が推進されていて、リモートで働くことも増えているので、もしどうしてもダメになったときどうするかは話し合う機会を持つのも良いですね。もしメールが使えなかったら？ファイルサーバーや経理系システムがダウンして復旧ができそうにないときは？サーバーアクセスができなくなったら？インターネットから完全に切断されてしまったら？

日本は近ごろ、豪雨や地震や台風などでも被害が出ることが増えました。そのうちわが家もコンセントを壁の上のほうへ設置するように変えるべきかな、などと思うのでした。電源とインターネットがないと何もできない人種ですので。みなさまも人の振り見て我が振り直せ、ですね。物理的なハザードマップのほかにデジタル向けのハザードマップもほしいです。定期的に、継続的に用意していきましょう。