漢方薬のツムラがたどり着いた「現実を正しく見据えた」復旧策とは
2024年7月23日、「2024 Risk to Resilience World Tour Japan」に株式会社ツムラの古澤氏が登壇されました。その中で語られたツムラの復旧戦略について、要点をお伝えします。
この言葉は、漢方薬など医薬品を多くの人々に届けてきたツムラの自社サービスや商品に対する責任感を感じさせるとともに、多くの顧客の信頼を長年勝ち取ってきたツムラの企業努力を象徴しているように感じられました。
ツムラでは、生産に関わるサプライチェーンを自社及びグループ企業内で実施できるよう推進した結果、情報システムが生産ラインのあらゆるところで稼働しているといいます。
つまり彼らにとって、医薬品を持続的に供給することは、関連する情報システムの可用性を担保することと同義となっています。これはインフラや医療など人々の生活や生命に関連する業種のセキュリティ担当者にとっても共通する特徴でしょう。
そうしたシステムの可用性の向上において、重要な要素となるものが、侵害や不具合が発生した際にいかに素早く通常業務に戻れるか、という復旧のセキュリティ機能になります。
システムの可用性を守ることを重点的に考えてきたツムラだからこそ語ることのできる、インシデントにおける復旧戦略とはどのようなものなのでしょうか。
セオリー通りにはいかないインシデント対応
講演ではまず、情報システム部門における課題として「やらなければいけないことがとにかく膨大で、何から手を付けていいかわからなくなっている」ことが語られました。
システム周りの業務としてはヒト・モノ・カネ・資源の管理に加え、開発保守、ITリスク対応、人材育成など多岐にわたります。ここに追加で経営層からセキュリティ対策もしっかりやっておいてくれ、といったことが要望されます。
つまり、大前提として実際のセキュリティ業務以外にも多数の業務がある中で、セキュリティ対応をこなしていく必要があるということです。
さらに、セキュリティインシデントの対応については、IPAなどから公開されている様々なガイドラインやナレッジはあるものの、実際にインシデントが起きてみると、様々な課題が浮き彫りになったといいます。
そこで重要になることは、現実に目を向けること、だと古澤氏は述べます。
復旧のポイントは、自社でできることを見極めること
復旧はNIST CSFの定める6つの機能の1つですが、識別、防御と順を追って対策を施していく中で、復旧の対策まで十分に手が回らず、EDRやXDRのソリューションを導入し一安心してしまうような場合があります。
また復旧は、他のセキュリティ機能に比べて、技術的な対策事項はデータに対するバックアップ技術などに限定されるため、各人が行う細かな調整・報告・意思決定・メディア対応などの人力で行う業務が見落とされやすい傾向にあります。
さらに経営層にサイバーリスクを等身大で伝えることは、セキュリティ担当者も実際に体験したわけではないため、何が起きるか想像がつかない、またそれゆえ正確にリスクを理解できないなど、その説明自体難しい側面があります。
つまり、そもそも復旧のセキュリティ機能は後回しにされやすい、またはコストを掛ける正当性を説明しづらい側面があります。
こういった背景を踏まえて古澤氏からは次のようにコメントがありました。
「このあたりは考えることが中々難しいところではあるのですが、大切なのは現実的な復旧策を立てて、訓練をしておくことなのではないか?と思います。普段から訓練していないことを、いざという時に火事場の馬鹿力で行えるということはまずないと思っています。準備としての心構えはIPAのサイトや情報セキュリティ白書などにも載っている。そうした発信されているメッセージを組織として理解することは、それはそれで大事なのですが、そこに加えて、自組織にとって現実的なシナリオを考えて、実際の訓練によって確認しておく必要がある、と思っています。」
古澤氏は今回の講演の中で、「現実的」「リアルな」「等身大」といったニュアンスの言葉を多用されました。これには、来場している多くのセキュリティ関係の実務者に対して、身になる情報を伝えたい、という想いと古澤氏自身が、教科書通りにいかないセキュリティ現場で様々な課題と向き合ってきた経験が表れていました。
こうした「現実的」といったニュアンスは講演の中で、さらに深掘られていくこととなります。
「じゃあこれって実際にできますか?という観点が重要だと考えていて、その為には『自社でできることを見極める』というステップが大事なのではないかと思っています。」
古澤氏は、IPAの文書の中でも「自組織で解決できない場合を想定して外部の協力依頼先を用意する」という推奨事項があることについて触れつつ、自組織のみでは解決できない点が必ずある、という前提のもと、復旧時の役割の一部を信頼できるパートナーに担ってもらうことが復旧戦略として重要な点であると述べました。
確かに、複数社のインシデント対応への協力経験を持つ専門ベンダーの手を借りることによって、自社のみで行うよりも実態に即した復旧計画の想定が可能となります。見落とされがちな人的コストを伴う業務などもフォローすることができるでしょう。
最終的な目標は復旧速度を速めることであり、必ずしも自社でのみ完結する必要はないので、多忙な情報システム部門にとっても現実的な選択肢と言えるでしょう。
信頼できるセキュリティパートナーを持つメリット
古澤氏は、セキュリティ対応を行う上での信頼できるパートナーとして以下4つの組織を挙げました。
・情報システムの開発・保守等を行う親密パートナー
・外部委託を行っているアウトソーシングパートナー
・ユーザー部門との橋渡しを行うヘルプデスク
・セキュリティパートナー
特にセキュリティパートナーについては、より詳しい説明がありました。
「現実的なシナリオを立て訓練することは重要ですが、本当に自社の中だけでそれらが実施できるかが問題だと思っています。自分たちでは、日々色々なイベントがあり、システム障害への対応なども生じる中で定期的にそうした訓練などを行うことはなかなか難しいことだと思うのです。そういう時に外の立場の冷静な観点で、時には厳しいメッセージも含めて、背中を押してもらえる、推進してもらえるパートナーと関係性を築いておくことが大切なのではないかと考えます」。
多忙な状況下において、物事の優先度の判断が鈍ることは多くの人が経験した事のある現象ではないでしょうか。また日々進化するサイバー攻撃の脅威について最新の情報を取り入れ続けることは、他の業務と並行して実施するにはコストが大きい場合があります。
セキュリティに関連する専門のパートナー企業と関係を構築することで、こうしたコスト的課題の解決や冷静な優先度の判断につながる可能性があることを古澤氏は指摘しました。
これは他の復旧訓練の実施に課題を抱える組織や、IT関連の膨大な業務に忙殺されている担当者にとっても、有効な戦略の一つと言えます。
復旧をはじめとする、自組織のセキュリティレベルにお悩みの読者も、ツムラが採用したセキュリティパートナーを見つけるという戦略をとることによって、よりビジネスの持続性を高めることができるでしょう。
Security GO新着記事
PCI DSSとは? クレジット産業向けのデータセキュリティ基準を解説
(2024年10月11日)
委託先へのサイバー攻撃、どう防ぐ
(2024年10月9日)
能動的サイバー防御とは?日本でも必要性が高まる理由を解説
(2024年10月9日)