バックアップが安全でなければ、ビジネスも安全ではありません。サイバーセキュリティと継続性は、今や手を取り合ってあなたのビジネスを守る必要があります。
私はAmazonで6年以上IT運用の現場に携わり、ダウンタイムが許されない重要なインフラを管理してきた経験から、サイバー脅威と事業継続性の融合が経営層にとってゲームチェンジャーとなったことを身をもって実感しています。
すべてのCISOやCIOが恐れる午前3時の電話は、もはやサーバークラッシュだけの問題ではありません。今や、あなたの業務を妨害することでデータ窃盗以上の利益を得ようとする高度な脅威アクターが存在します。世界最大級の企業でITインフラを管理し、数え切れないほどのインシデントに対応してきた私から言わせれば、従来の事業継続計画のアプローチは危険なほど時代遅れです。
経営者が答えるべき540万ドルの問い
IBMの2024年データ侵害コストレポートによると、データ侵害の平均コストは世界で4.88百万ドルに達し、その中でも事業中断が最大のコスト要因となっています。しかし、私が夜も眠れない理由はここにあります。これらの数字は、サイバー犯罪者が事業継続インフラを標的にした場合に何が起こるかの全体像を捉えていません。
AmazonでITサポートエンジニアとして勤務していた際、運用上の混乱がどれほど速く相互接続されたシステム全体に波及するかを目の当たりにしました。攻撃者が災害復旧サイトやバックアップシステム、業務復旧に不可欠なツールを標的にした場合、財務的な影響は指数関数的に増大します。あなたの組織がサイバーによる事業中断に直面するかどうかではなく、評判と市場での地位を保ったままそれを乗り越えられるかどうかが問われているのです。
従来の事業継続計画が現代の脅威に通用しない理由
99.99%の稼働率が求められる環境で変更管理プロセスを導入してきた私から言わせれば、ほとんどの事業継続計画は別の時代を前提に設計されています。これらは、バックアップシステムや通信チャネル、復旧手順が必要なときに利用可能であることを前提としています。しかし、今日の脅威アクターはまさにその前提を標的にしてきます。
2023年Veeamランサムウェア動向レポートによると、ランサムウェア攻撃の93%がバックアップリポジトリを標的にしていることが明らかになっています。これは偶然ではありません。サイバー犯罪者は、復旧インフラを侵害することで、最大限の交渉力とあなたの切迫感を引き出せることを理解しています。
IT資産の管理やインシデント対応の調整を通じて、私が学んだ最も危険な経営層の思い込みは、サイバーセキュリティと事業継続性が別々の分野であるというものです。実際は違います。これらは同じ運用コインの表裏であり、別々に扱うことで巧妙な攻撃者に悪用される脆弱性が生まれます。
人的要因:最大の資産であり最大のリスク
多くのエンジニアを指導し、複雑な技術課題のエスカレーションポイントを務めてきた経験から、私は重要なパターンを観察しました。それは、プレッシャー下での人間の行動が、どれほど高度な技術的コントロールであっても一貫してそれを損なうということです。主要システムがダウンし、経営層が即時復旧を求めているとき、チームは近道を選びます。
彼らは個人のデバイスで会社のシステムにアクセスし、復旧プロセスを早めるために認証情報を共有し、迅速な業務復旧のためにセキュリティプロトコルを無視します。これはトレーニングの問題ではなく、人間の本質に根ざした問題であり、体系的な解決策が必要です。
2024年Verizonデータ侵害調査レポートによると、侵害の68%に人的要素が関与していることが確認されています。危機的状況下では、この割合はストレスや緊急性によってセキュリティ意識が薄れるため、劇的に増加します。
レジリエントなインフラ構築:高可用性環境からの教訓
Amazonの厳しい環境でネットワークセキュリティプロトコルやバックアップソリューションを導入してきた経験から、レジリエンスには根本的な思考の転換が必要だと学びました。既存の事業継続計画にサイバーセキュリティ対策を単に追加するだけでは不十分です。
主要システムが侵害されることを前提に、継続戦略全体を設計しなければなりません。
これは、重要なビジネス機能を一般的な社内ネットワークから分離するネットワークセグメンテーションの導入を意味します。攻撃者がメールシステムやファイル共有にアクセスしても、自動的に製造管理や財務システムへの経路が確保されてはなりません。NISTのゼロトラストアーキテクチャガイドラインはフレームワークを提供しますが、導入には運用上の依存関係を深く理解する必要があります。
バックアップおよび復旧システムにも独自のセキュリティ対策が必要です。多くの組織がバックアップインフラに数百万ドルを投資しながら、攻撃者が数ヶ月にわたり復旧環境に持続的にアクセスしていたことが判明するケースを私は見てきました。これにはオフラインバックアップ戦略の導入、エアギャップ復旧環境の維持、攻撃を模した状況下での復旧手順の定期的なテストが求められます。
クラウドのパラドックス:機会と脆弱性
クラウドサービスは、事業継続計画において機会と課題の両方をもたらします。AWS、Azure、Google Cloudのようなプラットフォームは地理的冗長性や専門的なセキュリティ管理を提供しますが、同時に外部プロバイダーやインターネット接続への依存も生み出します。
2023年Uptime Instituteグローバルデータセンター調査によると、データセンターの障害の80%は、より良いプロセスとトレーニングで防げたことが判明しています。クラウド環境では、プロバイダーのプロセスやトレーニングに依存するため、多くの経営者が過小評価しがちな異なるリスクプロファイルが生まれます。
統合:多くの組織が失敗するポイント
効果的な事業継続計画には、サイバーセキュリティインシデント対応の初期段階からの統合が不可欠です。これは、主要ネットワークが侵害されても機能する通信プロトコル、継続的なセキュリティ脅威を考慮した意思決定プロセス、脆弱性を再導入しない復旧手順を持つことを意味します。
従来の「まず業務復旧、後でセキュリティ調査」というアプローチはもはや通用しません。組織は、サービス復旧と同時にフォレンジック分析を実施できる体制が必要です。これには、専門的なツール、訓練された人材、証拠保全とさらなる侵害防止を両立させる手順が求められます。
テスト:多くの経営者が避ける現実チェック
サイバーセキュリティ脅威を考慮した場合、定期的なテストはさらに重要になります。組織は、単なる技術的障害だけでなく、復旧インフラへの積極的な攻撃を模擬した演習を実施する必要があります。これらのテストには、主要な通信チャネルが侵害された場合や、主要人員が不在、復旧システム自体が攻撃を受けているシナリオも含めるべきです。
SANS 2024検知・対応調査によると、定期的にテーブルトップ演習を実施している組織は、実際のインシデントからの復旧が50%速いことが明らかになっています。しかし、テーブルトップ演習だけでは不十分です。実際の攻撃者が使う手法で事業継続手順を妨害しようとするレッドチーム演習も必要です。
経営者の使命:危機の前に行動せよ
サイバーセキュリティと事業継続計画の統合は、組織がデジタルインフラへの依存を強めるにつれてますます重要になります。人工知能やIoTデバイスなどの新興技術は、継続計画で考慮すべき新たな攻撃面を生み出しています。
成功の鍵は、サイバーセキュリティと事業継続性が時折重なる別々の分野ではなく、組織のレジリエンスを支える本質的に相互に結びついた側面であることを認識することにあります。これらは統合された戦略として計画・実装・管理されなければなりません。
経営者として、あなたには選択肢があります。今、統合されたサイバーレジリエントな事業継続性に投資するか、それとも本当に必要なときに業務を維持できなかった理由を取締役会や顧客、株主に説明するか。脅威アクターはすでに自分たちの選択をしています。あなたの選択は何ですか?
この記事はFoundry Expert Contributor Networkの一部として公開されています。
参加しませんか?
