リスクアセスメント： 効果的なビジネスインパクト分析(Business Impact Analysis)のための3つの重要な出発点

リスクのない企業経営はありません。リスクとそれがビジネスに与える潜在的な影響を評価・管理することは、ビジネスリーダの重要な役割です。世界がますますデジタル化する中、IT部門は新しいテクノロジーと改善されたプロセス・慣行の両方を用いて、より多くのリスクを管理し、軽減しなければなりません。重要なITシステムやデータに対するさまざまなリスクは、政治、経済、環境の情勢とともに進化し続けています。

シンプルなリスクアセスメントの定義では、組織が備えるべきリスクを特定することができます。そして、ビジネスインパクト分析により、それぞれのタイプのリスクがビジネスの継続的な能力に対してもたらす潜在的な混乱を予測します。ここでは、ITの観点から、すべてのリーダーがビジネスインパクト分析計画の中で評価し、管理すべき3つの主要なリスク領域について考察したいと思います。

計画外のダウンタイム

現在の常時接続されたビジネス世界では、計画外のダウンタイムは、収益や生産性の低下だけでなく、顧客の信頼や評判の低下という形でビジネスに影響を及ぼします。消費者は多くの選択肢を持っており、あなたのビジネスがダウンした場合、すぐに競合他社に乗り換えてしまう可能性があります。

計画外のダウンタイムの原因は、自然災害からシステム管理者の誤入力、サイバー犯罪者によるシステムの脆弱性の悪用まで、多岐にわたります。このような事象があなたのビジネスに起こる可能性は、あなたの業界、地理的な位置、あなたの準備など、多くの要因に依存します。

次のような質問をすることで、組織におけるダウンタイムのリスクを評価することができます。

●具体的にどのような自然災害が組織・企業に影響を及ぼす可能性があるか？

自然災害があなたのビジネスに物理的な影響を及ぼさなくても、電力、通信、その他のユーティリティなどのサービスが失われ、地域全体に影響を及ぼす可能性があることを心に留めておいてください。

ビジネスに大きな影響を与える自然災害の例としては、以下のようなものがあります。

●地震
●台風/ハリケーン
●洪水
●山火事
●竜巻
●大雪

これらの自然災害は、いずれも地域全体に甚大な被害をもたらす可能性があります。どの災害が企業・組織に最も大きな影響を与えるかを知ることは、リスクを評価し、ビジネスインパクト分析に反映させるために不可欠なステップです。

あなたの組織では、ヒューマンエラーによるシステムへの影響を防止するためのベストプラクティスを実施していますか？

システムの更新やその他の一般的な保守作業は、最初に隔離された環境でテストされないと、しばしば計画外のダウンタイムになることがあります。一見、無害なパッチに見えても、他のシステムとの互換性に問題があり、本番環境全体をダウンさせる可能性があります。すべてのパッチやアップデートを本番環境に導入する前にテストするなどのベストプラクティスを用いることで、予期せぬダウンタイムのリスクを大幅に軽減することができます。

サイバー攻撃時のダウンタイムを減らすために、セキュリティのベストプラクティスを実践していますか？

サイバー攻撃にはさまざまな形態がありますが、ランサムウェアやDDOS(dedicated denial of service)攻撃のように、予定外のダウンタイムを引き起こし、ビジネスに深刻な影響を及ぼす可能性があるものもあります。セキュリティのベストプラクティスに従い、セキュリティとリカバリのソリューションを導入することで、サイバー攻撃のリスクと影響を大幅に軽減することができます。

データ損失

計画外のダウンタイムと同様に、データ損失も災害レベルの出来事による計画外の結果である。ユーザーの偶発的なミス、悪意のあるサイバー攻撃、自然災害のいずれであっても、データの損失は、資産や生産性の損失という点で大きな代償を伴う可能性があります。特に、データやデジタル資産が物理的な資産と同じかそれ以上の価値を持つ多くの企業の場合は、その傾向が顕著です。

ダウンタイムとは異なり、データ損失のリスクは災害の種類にあまり関係しません。むしろ、データ損失を防ぐために既に導入されているデータ保護ソリューションの方がより重要です。災害のシナリオでは、失われるデータはまだ保護されていないすべてのデータ、つまり最後のバックアップ、レプリケーション、スナップショットの後に作成されたすべてのデータであるため、データ損失はしばしば時間で測定されます。しかし、適切なソリューションを導入することで、多くのデータ保護ソリューションで発生する数時間のデータ損失ではなく、わずか数秒のデータ損失で済ませることができるのです。

データ損失のリスクを評価する際には、次のような質問を検討してください。

あなたのデータの価値は？

すべてのデータが同じ価値を持っているわけではありません。あるデータは極めて貴重な知的財産であるかもしれませんし、あるデータはありふれた管理目的であり、簡単に交換できるかもしれません。データはその価値を評価する必要があり、それによってどの程度のデータ保護を行うべきかが決まります。

あなたのデータは物理的にどこにありますか？

データは、さまざまな物理的場所、さまざまな種類のデータストレージに保存されることがあります。データの物理的な場所によって、特定の災害、特に自然災害に対してより脆弱になる可能性があります。データストレージが特定の種類の災害によって物理的に破壊される可能性があり、データのバックアップやレプリカが地理的に十分な遠隔距離に置かれていない場合、それらのバックアップも同じ災害の危険にさらされる可能性があります。データがクラウドに保存されている場合、データが物理的に存在するクラウドデータセンターの物理的な場所と、それらの地理的な地域で起こりうる脅威を確認と理解しておく必要があります。

どの程度のデータが失われる可能性があるのか？

現在のデータ保護戦略を評価し、復旧目標（RPO）を決定することで、災害時にどの程度のデータが失われる可能性があるかを判断します。多くのソリューションは、従来のバックアップ技術に基づいており、6時間から12時間ごとにしかデータを保護できない可能性があります。つまり、このようなソリューションでは、6～12時間分のデータを失う可能性があり、しかも、最後のバックアップから正常にリカバーできることが前提となっています。どの程度のデータが失われる可能性があるのか、またそのデータの価値を知ることは、将来のデータ保護戦略を決定する上で役立ちます。

サイバー攻撃

サイバー攻撃は、ダウンタイムやデータ損失のほか、顧客の信頼失墜や盗まれた顧客データに関する訴訟など、経済的な損害をもたらす可能性があります。あらゆる産業が直面するサイバー攻撃の代表的なものにランサムウェアがあります。ランサムウェアは、予定外のダウンタイムとデータ損失の両方を引き起こし、しばしば数時間から数日間、組織の運営を中断させます。

自然災害とは異なり、サイバー攻撃は常にある脅威であり、世界中で数秒に一回の割合で攻撃が発生しています。これらの攻撃の中には、ITインフラスに対して直接仕掛けられるものもあれば、ユーザを悪用するウェブサイトに潜伏しているものもあります。自然災害とは異なり、サイバー攻撃はセキュリティのベストプラクティスに従うことで防げることが多く、優れたセキュリティソリューションを導入することで迅速に復旧させることができます。

ほとんどのサイバー攻撃は防ぐことができるかもしれませんが、ユーザの不注意な行動ひとつで、ランサムウェアのようなサイバー攻撃を引き起こし、システムに素早く侵入される可能性があります。最近、多くのランサムウェア攻撃がニュースで取り上げられましたが、このような攻撃を受けた組織は、長期間の混乱と多大な金銭的コストを強いられることになります。リスク評価の観点からは、予防と復旧の両方に重点を置く必要があります。サイバー攻撃の可能性は、「もし」ではなく「いつ」と考えるべきです。

サイバー攻撃のリスクを評価するために、以下の質問を使用してください。

どのような種類のサイバー攻撃が、自分の組織を標的にする可能性が最も高いか？

すべての組織は、デジタルサービスやデータの使用方法が異なります。DDOSのようなサイバー攻撃は、大規模なオンラインサービスを提供する組織をターゲットにする可能性があります。データを盗むことを目的としたサイバー攻撃は、クレジットカード情報を含む個人顧客データを保管している小売業者をターゲットにする可能性があります。残念ながら、ランサムウェアの攻撃を受けない組織はありません。このような攻撃は、あらゆる業界のあらゆる種類の企業を標的としているようです。どのような脅威が自社を狙う可能性が高いかを知ることは、予防と復旧の両面から計画を立てるための第一歩です。

現在のサイバーセキュリティ対策は、現在の脅威に対して適切ですか？

現在のサイバーセキュリティ対策を評価し、業界のベストプラクティスに沿っているか、一般的な脅威に対応しているかを確認します。サイバーセキュリティ対策は、適切なテスト、メンテナンス、トレーニングを行わないと、すぐに時代遅れになる可能性があります。

現状のデータ保護・復旧計画は、ランサムウェアの攻撃に対して適切ですか？

ランサムウェアは、データ復旧を含むサイバーセキュリティの状況を一変させました。これまで、データ保護とサイバーセキュリティは別々のソリューションと見なされてきましたが、データ復旧は今やランサムウェアへの耐性を高める最前線となっています。従来のデータ保護やバックアップのソリューションでは、ランサムウェアからの復旧に時間がかかりすぎるため、データ保護戦略を見直す時期に来ているようです。

参考>> ディザスタリカバリー用語集

関連トピックス:

• 先手打つプロアクティブなサイバーセキュリティの重要性： 脅威の先回りをするために
• 広範なサイバー攻撃に直面するデータの保護： 隔離された復旧環境とイミュータブル（不変）のサイバーデータ保管庫の重要性
• 知っておくべき5つのタイプのサイバー攻撃
• ランサムウェアとの戦いでイミュータブル（Immutable：不変）のバックアップだけで十分なのか？
• ランサムウェアの攻撃中に起こることと、そして復旧が重要な理由
• VDIの災害対策のためのオプション検討
• Kubernetes（K8s）環境がサイバー攻撃を受けた時に24時間以内にやるべきこと
• VMパケット損失のトラブルシュートのためのVMwareネットワーク設定調整