メルマガの記事を担当することになって未だ短いのですが、なぜか順番で記念の200号を書くことになりました。
200にまつわるBCPに関連した内容を書いてみようと思い、「200」でググッてみると、BCPに関連しているものは見当たらず、山陰地方に住む者として目に付いたのは、昨年末、ギネス記録になる、1匹200万円で蟹が競り落とされたニュースでした。
そこでも平井知事の駄洒落「せかに(世界)記録です。」が掲載されており、地域発展への取り組み姿勢の高さに関心したしだいです。
ということで、200にまつわる話はさておき、BCPと情報セキュリティについて、最近のニュースから考えてみました。
情報セキュリティとBCPの関係
本年1月25日、私も個人的に自宅で利用させてもらっている(社内では利用禁止)ファイル転送サービスで顧客情報480万件が流出したとの報道がありました。悪いのは搾取した犯人ですが、サービス運営者の管理状態にも不備がありました。
不正アクセスを防御する対策は取られていたと思いますが、ハッカー側の技術に対抗するのは困難な状況であることは分かっていたはずです。その状況で、顧客のパスワードを暗号化しないで保持していたことは対策が不足していたとしか思えません。
実業務(ファイル転送)の高度化を優先し、情報セキュリティに関してはISMS(情報セキュリティーマネージメントシステム)を取得していることで満足し、実際の対策が不十分となり、リスク対策の取り組みが形骸化していたのではないでしょうか。
ISMSでは情報セキュリティの状態を、C(Confidentiality:機密性性)I(Integrity:完全性)A(Availability:可用性)で評価されます。
C(機密性)とは、使っていい人だけ使えるようにする
I(完全性)とは、改ざんされたりしないようにする
A(可用性)とは、使いたいときに、いつでも使えるようにする
ことですが、ISMSではCとIを重視する傾向にあり、Aが軽視されることで、使い勝手の悪い環境になっている場合が多々あります。
特に、私の担当しているBCPでは、災害発生時の非常時対応や災害からの復旧作業において、社員や家族への連絡をするためのシステムやデータが最も重要になり、そのシステムやデータが災害時でも利用できるA(可用性)を要求します。
しかし、BCPのために何処でも、誰でも参照できる場所に保管すると、C(機密性)が悪くなったり、確実なI(完全性)も保なくなります。
クラウド利用は、その最適解になるのではないでしょうか。
私たちがよく勧めているAWSは、利用するサービスの全てが、完全に多重化され、インターネットさえ利用できれば情報を参照することができます。また、利用料金もリーズナブルで、自社でシステムを構築・維持したり、多重化のためにデータセンターを利用するより格段に低額になります。
近年まで、クラウドは「高い&セキュリティに不安」というイメージがありましたが、今やその考えこそ老朽化しています。
非常事態に備えて、自社のシステムにクラウド利用を考えることを再考してみてはいかがでしょうか。
マネージメントシステムの活性化が重要
たとえクラウドを利用していても、情報技術も自然環境も常に変化(良い方にも悪いほうにも)しています。
折角作ったISMSやBCPも、その変化に追随しなければ、ただの紙切れになってしまいます。
BCPのワークショップでも「先ずはBCPをつくりましょう。」と推進していますが、作ることによって、災害時に何をしなければいけないかが記憶に残り、実際に災害発生した時にドタバタしないことを狙っています。
その後に策定したBCPやISMSに沿った行動をすることになりますが、策定していたものが今の環境に合っていなければ、具体的な対策はその場その場で再考することになります。数年も前に策定して放置されていれば、ゼロから考えることになり、多大な時間を浪費するばかりか、間違った対策で事態を更に悪化させる可能性さえあります。
例えば、BCP策定の中で作ってもらっている緊急時の連絡先が全く更新されていなければ、どうなるでしょう。一時的にパニック状態になるのではないでしょうか。
BCPやISMSは生産性の向上に寄与するイメージが少ないため、その維持管理に時間や工数をかけるのに消極的になっているところが多くあります。しかし、取り組み自体は信頼を勝ち取り、企業イメージをUPするのは間違いありません。
是非、マネージメントシステムの重要性を理解し、マニュアル等の定期的な更新をお願いします。
多くの規定で、定期的(例えば毎年4月)に見直しをすることをルール化していると思われますが、本来の業務が優先されるため、見直し作業は後回しにされがちです。
認証機関のマネージメントシステム認証を取得し、維持することでドキュメント維持を放置することからは回避できますが、「動いている」というには程遠い状況になります。
マネージメントシステムを活性化するには、日々発生する出来事とマネジメントシステムとの関係と作り出すことです。
何か問題が発生したら、それを2度と発生させないように社内で対策される企業は多いと思います。そのルーチンワークをマネージメントメントシステムに組み込むのです。
このルーチンワークは頻発するので、維持管理しているというイメージを持つことなくマネジメントシステムを活性化させ、認証機関の審査用のデータも自然にできあがるので、審査の直前でドタバタすることも少なくなります。
BCPもマネージメントシステムに組み込み活性化されることを期待します
