2018年は、日本各地で台風・地震などの自然災害が多数発生していますね。
被災された方々に、心から哀悼の意を表するとともに、一日も早い回復をお祈りしております。
災害が起こった時、人命の優先が第一であることはもちろんですが、そうは言っても、様々な情報を取り扱う企業としては、情報や、ITシステムの保護・保全も無視することはできません。
災害時には様々な想定外が起こりますが、事前に想定できる部分は想定し、事前の対策を行っておくことが重要です。
今回は、災害発生時に起こりうる代表的な2つの情報セキュリティへの影響と、その対応方法について記載してみたいと思います。
(1) システムが停止したときの備えは大丈夫ですか?
メール・チャット・ファイルサーバ・社内ポータル・会計システムなど、多くの企業は、日々の業務において複数のITシステムを利用しています。
外部が提供しているシステム(クラウドサービスを含む)であれ、自社内のシステムであれ、災害が発生した場合は、これらのシステムが停止する可能性があることを考慮し、必要に応じて、システム停止時の対応フローを作成しておくことが重要です。
とはいっても、全てのシステムの停止時の対応フローを作成するのは非現実的でしょう。
そのため、停止時の事業へのインパクトが大きいシステムについて、優先的に作成していく方法をオススメします。
例えば、多くの会社にとって、メールやチャットなどのコミュニケーションのためのシステムは、停止時のインパクトが大きいでしょう。
今利用しているメールが急に使えなくなったとき、今利用しているチャットツールが急に使えなくなったとき、そんなときに備え、継続的にコミュニケーションを取り合う代替の手段や、緊急連絡網を整備しておくことは重要です。
(2) 在宅勤務時のルールは整備されていますか?
オフィスが被害を受けた場合、もしくは、交通網が麻痺してしまった場合、企業によっては従業者の在宅勤務を指示するケースも多いでしょう。
そのときに注意してほしいのは、在宅勤務におけるセキュリティの確保です。
家族の共用PCがウイルスに感染しているのに気づかず、そのPCで業務用のファイルを開いて機密情報が漏えいしてしまったり、家庭用のネットワークが盗聴され業務メールの内容を盗み見られたり、家庭内で業務資料を紛失してしまったりと、在宅勤務におけるリスクは枚挙にいとまがありません。
そのため、普段から在宅勤務を行っていない会社でも、非常時に在宅勤務を指示する可能性のある場合は、あらかじめルールを定めておくことをオススメします。
0からのルール作成は骨の折れる作業ですので、例えば総務省が発行している以下のような資料は、ルール作りの参考にすることができます。
以上、非常時に起こりうる情報セキュリティに対する被害と、そのための備えについてご説明しました。日々の業務に追われる中、発生する可能性が低い災害への対応計画の作成に時間を割くのは、なかなか勇気がいることです。
しかし、いざ災害が起こってしまった時、長期間の業務の停止や情報の漏えいが起こってしまうと、企業に大きなダメージを与えかねません。
これをきっかけに、災害への備えを構築いただければと思います。