事業中断の様相は変わりつつあります。ランサムウェア事件、ID侵害、サプライヤーのサービス停止、または1つのユニットでのクラウド障害から始まり、接続されたシステム全体に広がる可能性があります。中断は、運用、顧客アクセス、コンプライアンス、サプライヤー関係に同時に影響を与える可能性があります。
これが、事業継続の骨組みがサイバーレジリエンスである理由です。
根本的に、事業継続はリスク管理の問題でもあり、組織が重要なプロセス、情報依存性、サプライヤーリスク、クラウド依存、リスク許容度、回復優先度、およびシステムやデータが完全に信頼できない場合に運用する能力をどの程度理解しているかにも依存します。
ISF標準良好慣行(SOGP)2026は、このシフトをカバーする情報セキュリティフレームワークです。組織に対し、事業継続をガバナンス、情報リスク、システムレジリエンス、セキュリティインシデント管理、およびテストと結びつけ、継続をリスク管理に十分に整合させることを求めています。
継続性はガバナンスから始まる
セキュリティインシデントが発生すると、すべての機能は足並みを揃える必要があります。セキュリティチームはインシデントの拡大を抑える必要があります。ITはシステムの復旧に目を向けます。法務チームは法的な影響を理解するために奮闘します。コミュニケーションは顧客、アナリスト、主要ステークホルダーへの更新情報を共有するタスクを与えられます。取締役会はインシデントの収益、運用、サービス提供、評判への影響を理解する必要があります。
決定権、エスカレーションパス、リスク許容度、回復優先度がガバナンスの基盤となります。
最小限実行可能ビジネスとは何か?
最小限実行可能製品(MVP)について聞いたことがあるかもしれません。最小限実行可能ビジネスは同じように機能しますが、事業運用のレベルです。中断的なインシデントに直面しても、組織が運用を続けるために必要な業務上重要なプロセス、情報資産、人物、サプライヤー、インフラストラクチャを特定します。組織は一般的なリストを作成するのではなく、具体的な事項に焦点を当てる必要があります。すべての側面、すべての依存関係を継続性を実践で確保するためにマップする必要があります。
例えば、決済プロセスはアイデンティティおよびアクセス管理、不正監視、カスタマーサポート、クラウドインフラストラクチャなどの要素に依存する場合があります。これらはすべて必須です。このプロセスが何が起きようと運用され続けることを望みます。
システムレジリエンスは新しいビジネスレジリエンスである
システムバックアップ、復旧タイムライン、SLA、キャパシティプランニング、変更管理は事業継続の構成要素です。これらを単なる技術的な問題ではなく、ビジネスレジリエンスの問題として見ることが間違いです。
重大なシステムが合意されたタイムフレーム内で再起動できない場合、継続性は果たされない約束になります。また、継続性は紙の上で安心を与えるだけでなく、戦場でテストされる必要があります。つまり、プレッシャーの下で機能する必要があります。
さらに重要なことに、重要なビジネスインフラストラクチャとアプリケーションは代替手段が必要です。単一の障害はドミノ式の中断を引き起こす可能性があります。それらのパフォーマンスとキャパシティを定期的に監視および確認して、問題がより大きな問題になる前に特定および対処されるようにする必要があります。
これらのステップはリスク管理の本質であり、リーダーが条件が敵対的または不確実になったときにシステムがビジネスをサポートできることを確認できるようにします。
インシデント対応と事業継続の融合
洗練された、絶えず進化する脅威環境は、インシデント対応と事業継続のブレンドを要求します。大規模なサイバーインシデントが発生すると、抑制、調査、法的評価、顧客コミュニケーション、運用上の回避策、サプライヤー調整、システム復旧など、多くのことが同時かつシームレスに発生する必要があります。
継続性はセキュリティインシデントが終わるのを待つことはできません。
したがって、セキュリティ、IT、法務、コミュニケーション、運用、サプライヤー管理、および取締役会を含むさまざまな規律をまとめ、共有対応構造に従って対応するフレームワークが必要です。
サプライヤーとクラウド依存を忘れずに
組織のプロセスは、クラウドプラットフォーム、SaaSツール、マネージドプロバイダー、ソフトウェアサプライヤー、AIツール、データプロセッサー、外部パートナーで構成される多様なサプライチェーンに依存しています。たとえ1つが失敗しても、継続性はほぼ即座に影響を受ける可能性があります。したがって、サプライヤーとクラウド依存も継続計画に不可欠な要素である必要があります。
外部ベンダーと署名するすべての契約は、継続性とリスク管理フレームワークに整合したレジリエンスとセキュリティに関する現実的な期待値を明確に概説する必要があります。
継続的な評価と監視により、サプライヤーが期待を満たしていることを確認する必要があります。クラウド観点から、すべての統合、プラットフォーム、ツールを復旧、アクセス、監視、制御について徹底的に確認する必要があります。最後に、事業継続は、組織が外部ベンダーをどのように見ているかの再考を要求します。これらの重要な第三者は、周辺の依存関係として扱われるのではなく、継続シナリオに含まれるべきです。
テストによるレジリエンスの実現
最高の計画でも、現実的なシナリオに対してテストされていなければ無駄になります。プディングの本当の味は、継続計画が適切な時間に実行可能な決定を下すのに役立つかどうか、異なる部門間のコーディネーションを改善し、重要な運用を維持し、許容可能なタイムライン内での復旧を確保することです。
テストには、ランサムウェア、長期的なクラウド停止、サプライヤーの中断、ID侵害、データ整合性の不確実性、顧客向けサービスの中断など、事業継続の喪失に寄与する可能性のあるすべての要因を含める必要があります。リストは長いです。重点は危機管理能力、技術インフラのレジリエンス、および所定のタイムフレーム内に重要なプロセスを再開する運用能力をテストすることに置く必要があります。
終わりに事業継続とは、オッズが不利な場合に事業が成り立つことです。システムが失敗し、データを信頼できず、サプライヤーがボトルネックになった場合に運用を継続するための実行可能な計画を立てることです。これが、サイバーレジリエンスとリスク管理が継続計画の中心にあり、そのように扱われなければならない理由です。
翻訳元: https://www.securityweek.com/cyber-resilience-is-the-new-business-continuity-plan/
