セキュリティリスクとBCP｜攻撃を防ぐだけでは会社は守れない

セキュリティリスクは、業務停止のリスクでもある

セキュリティリスクというと、個人情報漏えいや不正アクセスを思い浮かべる人は多いと思います。もちろん、それらは重大な問題です。

ただ、実務で怖いのは情報が漏れることだけではありません。PCが使えなくなり、ファイルにアクセスできず、クラウドにログインできず、請求や顧客対応が止まることがあります。

こうなると、セキュリティ事故は単なるITトラブルではなく、事業継続の問題になります。攻撃を防ぐだけでなく、止まった後に会社をどう動かすかまで考える必要があります。

BCPとは、Business Continuity Planの略で、日本語では事業継続計画と呼ばれます。

災害、事故、感染症、システム障害、サイバー攻撃などが起きたときに、重要な業務を止めない、または早く復旧するための計画です。

セキュリティ対策は、入られないための対策です。BCPは、止まったときに動き続けるための対策です。

ファイアウォール、多要素認証、ウイルス対策、ソフトウェアアップデート、権限管理は当然必要です。

ただし、どれだけ対策しても事故の可能性をゼロにはできません。フィッシングメール、未知の脆弱性、取引先経由の侵害、クラウドサービス側の障害は起こり得ます。

だから、セキュリティは防げるかだけで考えると危険です。入られた場合、止まった場合、壊れた場合にどうするかを決めておく必要があります。

RAIDは、ディスク故障に備える仕組みです。ストレージの一部が壊れても、すぐに業務を止めないためには有効です。

しかし、RAIDはセキュリティ事故への対策ではありません。ランサムウェアに感染してファイルが暗号化されれば、RAID上のデータも同じように暗号化されます。

重要なのは、OSへ侵入されたときに、そのバックアップまで触られるかどうかです。BCPでは、クラウドバックアップ、世代管理、権限分離、復元確認まで含めて考える必要があります。

今の業務では、Google Workspace、Microsoft 365、SaaS、クラウド会計、チャット、オンラインストレージなど、アカウントが業務の入口になっています。

管理者アカウントが乗っ取られると、メール、ファイル、カレンダー、共有設定、顧客情報、権限管理に影響します。これは単なるパスワード漏えいではありません。

管理者アカウントを誰が持つのか、多要素認証は必須か、退職者アカウントはすぐ止めているか、管理者不在時に誰が復旧できるかを決めておく必要があります。

DXを進めると、紙やExcelを減らす方向に進みます。それ自体は正しいです。

ただし、BCPでは紙やExcelが一時的な代替手段になることもあります。システムが止まったときに、受注だけは紙で受け、出荷指示だけはExcelで一時管理するような緊急運用です。

代替手段を使うなら、復旧後に正本データへ戻す手順も必要です。誰が、どの順番で、どのシステムに戻すのかを決めておかないと、復旧後にデータが混乱します。

セキュリティリスクは、情報漏えいだけの問題ではありません。PCが使えない、クラウドに入れない、ファイルが暗号化される、管理者アカウントが奪われることは、会社の事業継続に直結します。

攻撃を防ぐ対策だけでなく、止まったときにどの業務を優先して復旧するか、どのデータを戻すか、誰が判断するか、代替手段をどう使うかまで決めておくべきです。

BCPとは、事故を前提にした悲観的な計画ではありません。会社を止めないための現実的な準備です。