監修・NPO日本ネットワークセキュリティ協会 セキュリティ監査WG
文・大溝裕則(ジェイエムシー 情報セキュリティ統括役員〔CISO〕)
情報資産の重要度を評価する時には、CIA(情報資産のCIA:「機密性 Confidentiality 」「保全性(完全性) Integrity」「可用性 Availability」)の価値基準を使用することは「第3回詳細リスク分析の初歩~情報資産をどう評価するのか~」で触れました。来年度(2005年度)の個人情報保護法の本格運用を控えて、CIAのうちのC(機密性)がクローズアップされていますが、事業継続という視点で見ると、A(可用性)が重要になります。
事業継続管理というと、地方公共団体にフィットしない印象を持つ方もいるかもしれませんが、事業継続を阻害する要素は多分にあります。昨今、個人情報流出事件が多発し、例えば電話のようにいつも使えるのが当たり前になっているものが使えなくなることは、重大な影響を及ぼします。大規模なものを想定すると地震・台風の可能性も考えられます。もっとも、これらの広域災害における災害復旧に関しては、情報セキュリティを確保する以前に職員の安否確認や住民の安全確保など、人命救助のためにやるべきことが多くあり、事業継続計画というより防災マニュアルでまとめた方がよいでしょう。
■事故の可能性が高く、影響の大きいリスクから
「情報セキュリティ管理基準」(経済産業省)の9.1.2には、「事業継続のための活動は、業務手続の中断を引き起こし得る事象を特定することから始めること」とあります。事故が起きうる可能性が高く、事故が起きた場合の影響が大きいリスクから対応策を考えるために、リスクアセスメントの必要があります。
この影響度の大きさを測る尺度としては、システムの停止時間があります。どの程度、システムが停止していても許容できるかを基にレベルを決めていくという方法です。例えば下記のような表が考えられます。
■表1 リモートからの検証 | |||||||||||
|
停止許容時間は、利用者側から見た時間であり、管理者側から見ると復旧時間ということになります。この復旧時間については、「情報セキュリティ管理基準」の9.1.4に、「重要な業務手続の中断又は障害の後、事業運営を維持又は要求される時間内に復旧させるための計画を立てること」とあります。
■起こりうるシナリオを想定したプラン作成
事業継続のための計画を策定する場合には、具体的なシナリオを想定した方が、実効性の高いプランが作成できます。例えば、数年前であればコンピュータウィルスは、ファイル感染型が主だったので「コンピュータウィルスに感染した場合」というシナリオに対して「他の使用者にメールや電子掲示板で注意をうながす」というプランで大丈夫でした。しかし、現在では「コンピュータウィルスの影響によりネットワークが停止した場合」という影響を拡大したシナリオに修正して、館内放送で通知するなどのネットワークに依存しない方法で注意をうながさないと、有効とは言えません。
またシナリオを作成する時には、事故が起きる時間も重要です。例えばホームページの改ざんされたというシナリオの場合には、いつ起こるかわかりません。夜間や休日も想定して、ホームページに対する監視体制や、管理者への連絡方法などもプランに盛り込む必要があります。
■プランの有効性の確認
「情報セキュリティ管理基準」の9.1.6には、「事業継続計画が最新の情報を取り入れた効果的なものであることを確実にするために、定期的に試験をすること」とあります。つまり、机上だけでプランを練るだけではなく、予行訓練を実施して策定したプランが有効であるかをチェックするということです。
予行訓練の比較的簡単な例としては、休日に、緊急連絡網として作成したリストが機能するかどうかを検証してみるという方法があります。連絡網も、何が使用できなくなるか予測しづらいので、一般電話・携帯電話・インターネット(Web、メール)など複数のチャネルを、想定した方がよいでしょう。
システムの停止を想定した場合は、代替手段として手書き書類とFAXを組み合わせた方法の予行演習や、地方公共団体が運営する病院などでは普及率の高い自家発電設備の点検なども有効性の確認と言えます。
事業継続管理を策定する場合の、策定根拠になるのがリスクアセスメントです。今回は、コンピュータウィルスの例を書きましたが、同じリスクであっても影響する範囲が変化していきます。事業を継続するための管理策は、一度策定して終わりにするのではなく、定期的に見直すことが重要になります。
|
|