情報セキュリティ10大脅威」とは、IPAが毎年、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案から10大脅威を選出してまとめたものです。

そんな情報セキュリティ10大脅威が今年も発表されました。そこで、10大脅威を全10回に分けて一つずつご紹介していきたいと思います。10大脅威には「個人編」と「組織編」があるのですが、今回は「組織編」がテーマです。

第7位 予期せぬIT基盤の障害に伴う業務停止

概要

データセンターやクラウドのIT基盤(AWSなど)が自然災害や作業ミスなどの原因によって停止した際、それらを自社がサービスの提供に利用していた、あるいは業務で使用しているクラウドサービスが運営基盤にしていた場合、自社サービスの停止や業務の滞りにつながる、ということです。

昨年だと、東京証券取引所の終日取引停止なども、基盤の設定不備や運用以降の不備が原因であり、この脅威に該当するもののひとつとして挙げられます。
また、GoogleやAWSのサービスの障害により、多くのクラウドサービスやメールサービスなどが一時的に利用できなくなるといったことも皆さんの日常でも感じられることではないでしょうか。

対策

1. 事業継続計画を立てておく

「事業継続計画」とはつまり、IT基盤の停止などの有事の際に、業務やサービス提供を止めない、また、最小限の停止ですぐ復旧できるようにするための計画のことです。
もし、IT基盤が止まった場合、どのような代替手段を取る必要があるのか、誰がどのような役割を担う必要があるのかといったことを計画として明確化し、必要に応じて試験なども行っておきましょう。

2. IT基盤-自社、自社-利用者の契約・SLAの確認

IT基盤となるサービスを選定する際には、どの程度の稼働率が保障されているのか、有事の際にはどのような対応がとられるのかといった契約やSLAを確認してから選定するようにしましょう。
また、自社が利用者に対して提示する契約やSLAでも、現実的な内容になっているかなどをしっかりと整理、確認しておきましょう。

3. 可用性の確保と維持

簡単に言うと、一つ止まっても他で引き続き対応ができる状態にしておくというイメージです。
IT基盤などでは、自社システムのバックアップを本体とは離れた場所においておいたり、クラウドのIT基盤であれば、複数拠点に分割させるいわゆるマルチリージョンの利用などを行っておくとよいでしょう。

まとめ

今回は、「情報セキュリティ10大脅威(組織編)」の第7位をご紹介しました。

最近では業務上、クラウドサービスの利用が必須となっており、サービスが停止してしまうと業務にならないというケースも少なくはないでしょう。また、多くの有名なサービスはAWSやMicrosoftAzure、GCPなど特定のIT基盤を利用していることも多く、それらが障害を起こすことで、複数サービスが同時に利用できなくなってしまうリスクもはらんでいます。

改めて現状のままで、有事の際に事業の継続ができるのか、また、停止した場合にも最短時間で復旧することが可能なのか検討することをおすすめします。

次回は「第6位 内部不正による情報漏えい」についてご紹介します。

情報セキュリティ10大脅威(組織編)~予期せぬIT基盤の障害に伴う業務停止~

情報セキュリティ10大脅威」とは、IPAが毎年、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案から10大脅威を選出してまとめたものです。

そんな情報セキュリティ10大脅威が今年も発表されました。そこで、10大脅威を全10回に分けて一つずつご紹介していきたいと思います。10大脅威には「個人編」と「組織編」があるのですが、今回は「組織編」がテーマです。

第7位 予期せぬIT基盤の障害に伴う業務停止

概要

データセンターやクラウドのIT基盤(AWSなど)が自然災害や作業ミスなどの原因によって停止した際、それらを自社がサービスの提供に利用していた、あるいは業務で使用しているクラウドサービスが運営基盤にしていた場合、自社サービスの停止や業務の滞りにつながる、ということです。

昨年だと、東京証券取引所の終日取引停止なども、基盤の設定不備や運用以降の不備が原因であり、この脅威に該当するもののひとつとして挙げられます。
また、GoogleやAWSのサービスの障害により、多くのクラウドサービスやメールサービスなどが一時的に利用できなくなるといったことも皆さんの日常でも感じられることではないでしょうか。

対策

1. 事業継続計画を立てておく

「事業継続計画」とはつまり、IT基盤の停止などの有事の際に、業務やサービス提供を止めない、また、最小限の停止ですぐ復旧できるようにするための計画のことです。
もし、IT基盤が止まった場合、どのような代替手段を取る必要があるのか、誰がどのような役割を担う必要があるのかといったことを計画として明確化し、必要に応じて試験なども行っておきましょう。

2. IT基盤-自社、自社-利用者の契約・SLAの確認

IT基盤となるサービスを選定する際には、どの程度の稼働率が保障されているのか、有事の際にはどのような対応がとられるのかといった契約やSLAを確認してから選定するようにしましょう。
また、自社が利用者に対して提示する契約やSLAでも、現実的な内容になっているかなどをしっかりと整理、確認しておきましょう。

3. 可用性の確保と維持

簡単に言うと、一つ止まっても他で引き続き対応ができる状態にしておくというイメージです。
IT基盤などでは、自社システムのバックアップを本体とは離れた場所においておいたり、クラウドのIT基盤であれば、複数拠点に分割させるいわゆるマルチリージョンの利用などを行っておくとよいでしょう。

まとめ

今回は、「情報セキュリティ10大脅威(組織編)」の第7位をご紹介しました。

最近では業務上、クラウドサービスの利用が必須となっており、サービスが停止してしまうと業務にならないというケースも少なくはないでしょう。また、多くの有名なサービスはAWSやMicrosoftAzure、GCPなど特定のIT基盤を利用していることも多く、それらが障害を起こすことで、複数サービスが同時に利用できなくなってしまうリスクもはらんでいます。

改めて現状のままで、有事の際に事業の継続ができるのか、また、停止した場合にも最短時間で復旧することが可能なのか検討することをおすすめします。

次回は「第6位 内部不正による情報漏えい」についてご紹介します。

Author: 石濱 雄基
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする