TokyoBlackHatNews

csoonline.com 8分で読了

災害復旧と事業継続を効果的に計画する

現代の脅威には現代的な対策が必要なため、企業は緊急時対応計画を更新すべきです。

Image

成功する災害復旧および事業継続計画のためにCISOが考慮すべき6つのステップ。

DC Studio / Shutterstock

災害復旧(DR)および事業継続の基本原則は、数十年にわたりほとんど変わっていません:

  • リスクの特定、
  • ビジネスへの影響の分析、
  • 復旧時間目標(RTO)の設定、
  • バックアップおよび復旧計画の作成、
  • 定期的なテストの実施。

かつてはデータはオンプレミスのサーバーに保存され、サイバー脅威はそれほど巧妙ではなく、自然災害も稀でした。また、企業は数時間、場合によっては数日のダウンタイムにも耐えられたでしょう。週1回のバックアップで十分で、データ漏洩に関する規制もほとんどありませんでした。

サイバー業界の変化

現在では状況が大きく変化しています。企業データの量は爆発的に増加し、パブリッククラウド、SaaS、エッジ、IoT、OT、LLMなど、あらゆる場所に存在します。AIによるランサムウェア攻撃の脅威があり、気候変動の影響で自然災害も頻発しています。

同時に、ビジネス部門は数分以内に再稼働したいと望んでいます。サイバー攻撃が速やかに報告されなかったり、顧客データが盗まれたりした場合の罰則も厳しくなっています。

インシデント後に迅速に業務を再開し、ビジネスを継続することの重要性がますます高まっています。こうした背景から、災害復旧および事業継続計画は常に最新の状態に保つか、完全に新たに策定する必要があります。

進化に対応する

現代的な緊急時対応計画の主な要素には、Minimum Viable Business(MVB)などの戦略的アプローチや、(生成型)AIのような新技術の活用が含まれます。加えて、統合型脅威ハンティング、自動データ検出・分類、継続的バックアップ、不変データ、本番を想定したテーブルトップ演習などの戦術的アプローチも重要です。

Backup-as-a-Service(BaaS)やDisaster-Recovery-as-a-Service(DRaaS)も人気が高まっています。企業は「As-a-Service」モデルのスケーラビリティ、クラウドストレージオプション、使いやすさを活用したいと考えています。Gartnerは、2029年までに大企業の85%が自社管理のソリューションと並行してBaaSを利用し、クラウドおよびローカルのワークロードを保護すると予測しています。2025年時点ではわずか25%です。

成功する災害復旧および事業継続計画を策定するために、CISOが考慮すべきステップは以下の通りです:

ステップ1:経営層の支援を得て、資金を確保し、チームを結成する

効果的な災害復旧および事業継続には多大な準備と継続的な注意が必要です。また、追加のストレージリソース、ソフトウェアツール、人員が必要なため、コストもかかります。

アクセンチュアのグローバルサイバーインテリジェンス責任者であるライアン・ウェラン氏は、最近小売業や飲食業のCISOに優先事項を尋ねたところ、災害復旧と事業継続が2025年には第3位に上昇し、前年はトップ10にも入っていなかったと述べています。

この変化は経営層や取締役会によって推進されており、法規制の遵守、法的リスク、ブランドの評判リスクへの懸念が大きな要因となっています。従来、災害復旧と事業継続は主にリスク管理や法務部門の領域でしたが、現在ではCISOがこれらの取り組みの先頭に立っています。

災害復旧と事業継続を優先することは、より多くの予算を投じることを意味します。Forresterの「State of Resilience 2025」レポートによると、回答者の37%が今後12か月で予算増を見込んでおり、減少を予想するのはわずか4%、残りは横ばいと答えています。

経営層の支援を得たら、次に取り組むべきは、以下の分野をカバーするチームの構築です。

  • セキュリティ、
  • データセンター、
  • ストレージ、
  • コンプライアンス、
  • 法務、
  • リスク管理、
  • 業務プロセス、
  • 社内外のコミュニケーション

を含みます。

また、企業は縦割り組織を打破し、継続的に機能し進化し続ける学際的なグループを形成し、新たな脅威に対応する必要があります。

具体的な役割には以下が含まれます:

  • 関係者全員とのコミュニケーションを担当するインシデントレポーター、
  • 各自が割り当てられたタスクを確実に遂行することを確認するプランマネージャー、
  • 重要資産の保護・確保と、インシデント発生時の資産状況報告を担当するアセットマネージャー。

ステップ2:リスクを特定し、すべてのデータの所在を把握する

大規模で分散した企業においてリスクを特定するのは複雑な作業です。リスクはあらゆる場所に潜んでおり、サイバー攻撃(内部犯行を含む)、人的ミス、ハードウェア・ソフトウェア・ネットワークのシステム障害、自然災害、サプライチェーンやクラウドサービスプロバイダー、SaaSプロバイダーなど第三者の脆弱性まで多岐にわたります。

Forrester調査の参加者が災害復旧・事業継続計画を発動した主な原因は、

  • IT障害、
  • 自然災害、
  • ITセキュリティインシデント、
  • サプライチェーンの中断、
  • 停電

でした。専門家によれば、リスクの種類ごとに異なる対応計画が必要です。

FTIコンサルティングのサイバーセキュリティ部門シニアマネージングディレクター、トッド・レナー氏は、企業が「自社のデータはどこにあるのか?」「そのデータの所有者は誰か?」といった基本的な質問に答えるのが難しい場合が多いと指摘します。システムが複雑になるほど、責任者やデータの保存場所(構造化・非構造化データの両方)を特定するのが難しくなると述べています。

朗報として、構造化・非構造化データをスキャンし、脆弱性の特定やデータの所在・分類を支援するAI搭載のソフトウェアツールが登場しています。

Gartnerは、2029年までにバックアップおよびデータ保護プラットフォームの90%が生成AIを統合し、管理・サポート業務を改善すると予測しています。2025年時点では25%未満です。

ステップ3:ビジネスインパクト分析を実施する

データは目的そのものではなく、ビジネスを支えるものです。企業は緊急時のビジネスへの影響を理解し、すべてではなく必要なものだけを保護する必要があります。

複雑な業務プロセスのすべての構成要素を特定するのは圧倒される作業です。特に、複数のクラウドやハイブリッド環境、マイクロサービス、コンテナ、API、ID・アクセス管理、SaaSアプリケーションが混在する場合はなおさらです。

アクセンチュアのウェラン氏は、災害時には全業務の復旧ではなく、必要最低限の業務(Minimum Viable Business:MVB)を立ち上げることを推奨しています。これにより、従来のバックアップ・復旧作業が進行する間も、ビジネスクリティカルなプロセスを維持できます。

この即時稼働可能なフェイルオーバーシステムには、社内外のコミュニケーションを可能にするメールなどの中核機能が含まれ、ERPシステムなどの優先度が低い機能は後から復旧します。

このMVBアプローチには、業務部門と技術チームの密接な連携が不可欠です。両者が協力して、重要な業務機能と関連する技術要素の依存関係を特定する必要があります。

ステップ4:バックアップ戦略を3-2-1から3-2-1-1-0へ変更する

従来の3-2-1バックアップ戦略だけでは十分ではありません。3つのデータコピーを2つの異なる形式で保存し、1つを外部に保管するという従来の方法は、3-2-1-1-0方式に置き換えるべきです。

追加される2つの要素は、

  • ランサムウェア攻撃時に復旧可能なオフラインバックアップ(不変またはエアギャップバックアップ)、
  • ゼロエラー戦略

です。不変データはウェラン氏いわく「ゴールドスタンダード」ですが、正しく実装するのは複雑です。たとえば、災害時に最後のスナップショットがいつ作成されたかをどう知るか、という課題があります。

同様に、不変ストレージ内のデータが正確かつ損傷していないことを企業が保証するのも難しい課題です。「データの健全性と安全性は依然として大きな課題です」と彼は付け加えます。

FTIのレナー氏はまた、AI搭載のバックアップ・復旧プラットフォームが企業データの正確性を継続的に確認し、スナップショットの作成頻度やデータの保存場所、どのデータを保護すべきかなどの推奨を行うことができると述べています。

Gartnerは、2029年までに企業の35%が自律型バックアップ操作のためにエージェントベースのAIを導入すると予測しています(2025年時点では2%未満)。

ステップ5:計画を作成し、テストする

計画書作成のための多くのテンプレートがあり、AIシステムがこのプロセスを自動化することもできます。計画は明確に記述され、以下の手順を含むべきです:

  • インシデントの検出と記録、
  • 社内外の関係者とのコミュニケーション、
  • 自然災害への緊急対応、
  • ITの復旧、
  • 事業継続の維持、
  • 関係者の役割と責任の記録

こうした戦略は必ずテストも必要です。Forresterレポートによれば、テスト状況は2008年からほとんど変わっていません。「ほとんどの企業は、すべてのテストタイプを年1回しか実施しておらず、テストの規模が大きくなるほど頻度は減少します。41%は完全なシミュレーションを一度も実施したことがない」と記されています。

レナー氏は、静的なPowerPointプレゼンから、よりインタラクティブでゲーム性のある体験型演習に移行することで、演習をより効果的にすべきだと述べています。これらはより現実的で納得感があり、「こうした演習が、普段考えていなかった自分のビジネスの一部について気づきを与えるのに役立たなかったことは一度もない」と付け加えています。

ステップ6:影響への対応

最後のピースは、災害後の事後分析(ポストモーテム)です。企業は何が問題だったのかを正確に特定し、将来同様の災害を防ぐ方法を見つけなければなりません。(tf/jd)

vgwort

翻訳元: https://www.csoonline.com/article/4069533/disaster-recovery-und-business-continuity-effektiv-planen.html

ソース: csoonline.com
#3AM Ransomware #AI in Cybersecurity #Backup-Strategien #business continuity #Cloud Computing #Datenmanagement #Disaster Recovery #IT-Notfallplanung #Krisenmanagement #Künstliche Intelligenz

関連記事

Anthropicがプロジェクト・グラスウィングへのアクセスを150社に拡大、重要インフラへの注力を明確化

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く