IPAの言うセキュリティ対策の基本を見ていきましょう! その5
日曜日にもバックアップについて見ていきましょう!
皆様、こんにちは!
株式会社カチカにおけるリモートバックアップサービス(遠隔地バックアップサービス)担当の村島です!
いやあ本当に寒くなって参りましたね。
いきなりですけど「冬には太る」とお考えの方はいらっしゃいませんか?
よく言うじゃないですか。人間も動物である以上、冬眠に備えて栄養を蓄える行動がちょっと残ってて、それゆえに冬が近づいたら大食いになる、従って太る、みたいなこと。
以前、それについてお医者さんに尋ねたことがあります。
一言「言い訳でしょう」でした。「だいたい猿族は冬眠しません」とも言われました。
ただこういうことは言えるんだそうです。
冬というのは、クリスマス、お正月、節分、バレンタインデーと食べるイベントが多いんですよね。そこへ持って来て普段の食事も鍋料理などたくさん食べるタイプの食事が多くなります。
だから冬には太りがちであると。
皆様も冬には食べ過ぎないようにご注意下さい。
まあ雑談は程々にして、今日もバックアップの必要性について見てまいりましょう。今日もレッツスタディセキュリティ!
さてさて本題に入ります
皆様覚えていらっしゃらないかも知れませんが、この資料↓を見ているんですね。
一応リンク張っておきましょうか。ここ(外部リンク)です。
この資料の16ページが「適切なバックアップ運用を行う」ということで1ページ割かれていますので、それを見ていっているんでした。細かく見ていったらなかなか進まないことにはなっていますが。というわけで、今日もそこから見ていきたいと思います。繰り返しますがなかなか進まないことにはなっていますが。
まだ3行目から4行目
迅速にデータを復旧し業務継続できなければ、組織の信頼も失墜し、存続の問題に繋がりかねない大きなリスクと なる。
ということなんですが、まあそれはそうだよねという話ではあります。ただ、やっぱり裏取りはしておくべきなんじゃないかと思うんですよ。
というわけで、バックアップを取っていなかったばかりに迅速なデータ復旧ができず、それによって運営に大きな支障を来した組織の例を探してみました。
とは言うものの、バックアップを怠ったために大きな損害を被った組織の具体的な事例は、機密情報保護の観点から公にされないことが多いです。
起こり得る大きなダメージは以下のようなものが考えられます。
サイバー攻撃: ランサムウェア攻撃を受け、データが暗号化されてしまい、復旧に多大な時間と費用がかかった。
ハードウェア故障: サーバーやストレージ装置が突然故障し、データが失われ、業務が停止した。
人為的なミス: 誤ってデータを削除したり、上書きしてしまい、復旧が不可能になった。
自然災害: 火災、水害、地震などの自然災害により、データセンターが被災し、データが失われた。
これらの事例から考えられる影響としては以下のようなものがあると思います。
業務の中断: データが復旧できないため、業務が停止し、売上や顧客の信頼を失う。
経済的な損失: データ復旧費用、システム復旧費用、生産性低下による損失など、多額の経済的な損失が発生する。
ブランドイメージの低下: データ漏洩やサービス中断などのニュースが報じられ、企業イメージが大きく損なわれる。
法的責任: 個人情報などが漏洩した場合、個人情報保護法違反などの法的責任を追及される可能性がある。
なぜバックアップが重要なのか、その点については以下のようなものが考えられます。
データの消失リスクを軽減: ハードウェア故障、人為的なミス、自然災害など、データが失われるリスクは常に存在します。バックアップがあれば、これらのリスクからデータを保護することができます。
業務継続性を確保: データが失われても、バックアップからデータを復元することで、業務を迅速に再開することができます。
法規制への対応: 個人情報保護法など、データに関する法規制が厳しくなっており、バックアップは法的な要件となる場合もあります。
「情報システム基盤の復旧に関する対策の調査報告書」
実は↓のような資料がありまして。
ちょっと古いんですけどね。東日本大震災からまだ1年あまりしか経ってない時期に編集された資料だけあり、地震や津波などの自然災害に対して記述が厚くなっています。そして熱くもなっていますね。やっぱり訴えかけたいことと言うのはどうしても熱くもなりますよね。私が今まさにそういう状態ですから。
やはり当時日本中を震撼させた大災害のことについて書いてあるため、かなり詳しめです。
文献調査
アンケート調査
ヒアリング調査
を行ったそうです。それぞれの具体的な内容については省きますが、こんなことが書いてあります。
情報システム基盤の回復力を高めていくためには、具体的にどのような対策があり、また有効であるかを知り、実行していくことが重要である。その際、先の東日本大震災の経験を踏まえ、どのような対策が重要であるかを調査することが有益である。
そうですね。まず、情報を扱い、それを守るには「こういう対策があるんだな」ということを数多く知っておくに越したことはありません。
ちなみに、調査はザックリと図で示しますとこんな形で実施したそうです。
それでなんですが、この資料、実はかなり分厚い報告書でして、全体について解説すると途轍もなく長くなりますのでそれは避けますけど、震災前後で重視する経営課題がランキングにされているんです。なぜか大企業限定なんですが。
それをちょっとご覧いただきたいんですね。
これは字でも書かれてますが重視する経営課題のランキングです。ご覧のとおり、震災後は上位3位をセキュリティ関連の項目が占めています。まあさもありなんという感じなんではありますが。
震災後に1位になったのは「災害やシステムダウンへの対応(BCP/DR)」となっています。BCPというのは事業継続計画であって、このnoteでも以前に解説しました。よろしければ以下をご覧下さい。
事業継続計画の立て方 その1
事業継続計画の立て方 その2
事業継続計画の立て方 その2 の注釈
事業継続計画の立て方 その3
事業継続計画の立て方 その4
そしてDRというのはこのnoteでも再三申し上げておりますディザスタリカバリです。この辺の事柄っていうのは、震災直後には注目を浴びました。
この調査でも、震災直後なだけに企業の危機意識というのはひしひしと伝わって参ります。グラフだけいくらか出しましょうか。
これは、またしても書いてありますが東日本大震災を受けてシステム環境の災害対策を見直を策定しているかどうかのグラフなんですけど、実に8割以上の企業が「見直す必要がある」「見直しが必要か検討する」と答えているんですね。
これなんか見ますと、BCPを知っているけど策定していないという企業が半数越え、そもそも知らないという企業も1/4を占めます。いかに日本の企業が危機意識に欠けていたか良くわかります。まあ震災を契機に認知度が上がったのは確かなようですが。
それでも、こんなに↓広範な被害が出たのに、その後セキュリティ関連の課題がどんどん解決していったかというとそうでもないと思うんですよ。
本当に大変なことが起こったんだなあとつくづく思います。
喉元過ぎれば熱さを忘れる?
この資料が作られた時点において、多くのシステムが一箇所に集中していること、広域の電源遮断により既存のバックアップが機能しなくなることなどIT部門で対策が必要とされるリスクが注目を集めていたのは明らかです。
見直したい点にも重要な項目が軒並み上位にランクされていますしね。
この資料が作られた震災直後にはデータを置く場所として外部データセンターやバックアップセンターの準備が多くなっています。
しかし日本人というのは、災害慣れしていると言いますか無頓着と言いますか、大災害でもあっさり忘れてしまうんですよね。
相前後してクラウドコンピューティングが伸してきたこともあり、災害の無残な思い出よりも目先のクラウドコンピューティングの便利さの方に目移りしてしまい、その結果ランサムウェアというある意味での災害にやられてしまっているというのが現状ではないでしょうか?
これも同じ資料からの図なんですけど、これ間違ってますね。グラフを見る限り、バックアップを基幹システムと同一のビル・建物の中に設けている会社と、30km以上離れたところに設けていた会社が震災後どう意識が変化したかのグラフになっちゃってますが、30km未満の間違いだと思います。
いずれにせよ、基幹システムと同一箇所か極めて近いところにバックアップを置いていた会社のうち、遠隔地・リモートバックアップへの移行を開始した・ぜひリモートバックアップにしたい・できればリモートバックアップにしたいを合わせても半分未満なんですね。
やっぱりリモートかつオフラインをおすすめしたい!
弊社こと株式会社カチカにおまかせいただければ、遠隔地での保管になるという条件は満たしますし、完全にオフライン作業で行っておりますのでランサムウェア等のマルウェアの攻撃も防ぐことができます。
このように、東日本大震災の発生直後に被災者の皆様やボランティア等の活動をしていらっしゃった方はバックアップの重要性を実体験として感じていらしたんだと思います。
まあもちろん、東日本大震災からそれなりに年数も経ってますし、状況の変化はあって当然ではあるんですが、やや手間はかかるものの弊社でバックアップをお預かりするというのは非常に広範な情報危機に対応が可能であると自信を持っておすすめしております。
全てがオフラインで行われるため、盗聴というような被害も受けずにすむというのも弊社のサービスの利点でございます。
小括
冒頭でIPA編「セキュリティ対策の基本と共通対策 情報セキュリティ10大脅威2024版」より引用いたしました「迅速にデータを復旧し業務継続できなければ、組織の信頼も失墜し、存続の問題に繋がりかねない大きなリスクと なる。」という一文から、明確にデータ復旧・業務継続できなかった例が見つからなかったばかりにこの問題が意識されたきっかけの東日本大震災の話ばかりになってしまいましたが、やはりこの出来事はリモートバックアップ元年という意味でも忘れてはいけないものだと私こと村島は考えております。
ぜひご検討下さい。
お問い合わせをお待ち申し上げております。
このnoteも引き続きよろしくお願いします。
目次
クラウドストレージが持つ特有のリスク
クラウドストレージが持つ特有の脆弱性
クラウドストレージと遠隔地バックアップの相互補完性
クラウドストレージのデータ消失に関する責任の所在
ディザスタリカバリ手順をあらかじめ決めておくべき理由
弊社でお取り扱いしておりますデータ・OSにつきまして
クラウドストレージのメリット・デメリット
Windowsからの乗り換え先になるか? Linux MintとChrome OS Flex
バックアップの方法 オフライン・オンラインバックアップとは?
IPAの言うセキュリティ対策の基本を見ていきましょう! その2
IPAの言うセキュリティ対策の基本を見ていきましょう! その3
IPAの言うセキュリティ対策の基本を見ていきましょう! その4