中小企業・中堅企業における情報セキュリティ対策--バックアップの重要性とクラウド利用

こんにちは、合同会社たいがの小西です。
梅雨入りして、いまいち体調がさえない私ですが、皆さまは、いかがお過ごしのことでしょうか。

さて、今回はテーマをハンドブックに戻します。第4章は
「会社を守る、災害に備える、海外での心構え」
と題された章です。

この章のパートは
  1. 災害時の会社のために事業継続計画(BCP)を作ろう
  2. 大災害やテロに備える
  3. 海外でスマホやタブレットを活用するために
ということで、皆さまにおいては、普段はあまり、考えることがない項目だと思います(海外との取引や、海外に事業所がある場合などを除く)。

私個人は、過去に勤めていた会社で、大手事業体様のディザスタリカバリ
(省略して"DR"と呼ばれます。リンクに記載の通り、DRとは「災害などによる被害からの回復措置、あるいは被害を最小限に抑えるための予防措置」です)
などの対策などに関わった経験があるのですが・・・

本気でBCPを検討するには、後述するバックアップや冗長性だけでなく、被災地である本拠地から避難先への切り替えや、ITだけではない、組織や体制(切り替えの判断を誰が行うか、なども含む)、また、どの業務を優先して復旧させるか等々、本当に、いろいろ多角的に検討することが多く、時間と費用が非常にかかります。

金融や大規模医療機関、それに当然、公共サービスについては、社会インフラであるので、当然、BCP対策は必要です。

しかし弊社は正直申しまして、まともなBCP対策を検討したことがございません。
理由は単純、零細で社会的影響も非常に小さいので、BCPを考える意味がないからです。

「私が災害に遭って、万一の事態になれば、会社は終わり」
というのが、弊社のBCPポリシーです(苦笑)。
(全く「計画」になっていませんが・・・まあ、早く「事業継続計画」を考える必要があるような、大きな企業になりたいものです^^;))。

従って、BCPについては会社として、皆さまに、ものを言う資格はないのですが、ただひとつ、
バックアップだけは、しっかりとりましょう。そして、その一環として、クラウド活用をご検討ください
ということです。

バックアップの重要性

以前にお話しした、ハンドブックの第1章「まずは情報セキュリティの基礎を固めよう」でも、6番目に「常にバックアップを取ろう!」ということが言われていました。

ここでは、サイバー攻撃でコンピュータやデータが壊された場合だけでなく、災害からの復旧のためにもバックアップが必要だと書かれています。
で、その中で「複数のバックアップを取って、そのうちひとつは遠隔地に置け」と書いているのですが、それはまさに、このBCPを念頭に置いたものです。

要は、自社の本拠地が被災した場合でも、遠隔地にバックアップを持っていれば、そのバックアップを使って業務を再開できるから、というものです。

私は先にも申し上げた通りBCPについて語る資格はありませんが、バックアップについてはBCPの観点ではなく、
コンピュータやデータが、何らかの事情で破壊された際の復旧として、企業規模に関係なく、バックアップは必ず取ってください
と、申し上げたいのです。

バックアップには大きく2種類あります。それは
  • システムバックアップ
  • データバックアップ
です。

システムバックアップとは、ハードウェア以外のコンピュータを丸ごとバックアップ取ること、と考えてください。
これはハードウェアや、システム(OSやミドルウェアと呼ばれる、重要なソフトウェアの総称)の故障などに備えて実施されることが多いです。

自社で構築したサーバなどがある場合は、システムバックアップは必須です。
サーバは皆で共有して使うものに加え、用途により様々な設定が入っているので、ハードウェアが壊れた時などにゼロから再構築するのは時間がかかります。
ですので、復旧を早めるためにシステムバックアップを取るのです。

とは言っても、システム全体のバックアップなので時間もかかりますから、頻繁にとるもではなく、一般的には、サーバ構築完了当初や、大きなパッチを当てた時などになります。

一方、データバックアップはシステム全体ではなく、特定の重要なデータのバックアップを取ることです。

恐らく、従業員の方が使用しているパソコンなどは、特に重要なパソコンでない限り、システムバックアップは取ることはないでしょう。

何故なら、個別のパソコンは壊れても、自社に与える影響は少ないこと、また、サーバのようにいろんな重要な設定が入っているわけではないから、控えのパソコンや買い替えパソコンで代用できるからです(もちろん、多少の不便はありますが)。

むしろ、業務で使っているパソコンの中に入ったデータが重要なので、それが壊れた時のためにデータをバックアップする必要があります。
で、データのバックアップであれば(やり方とデータ量にもよりますが)、システムバックアップほど時間を要しません。

もし、貴社が今までバックアップを重要視されていなければ、是非とも、この機会に
バックアップの見直しをされることをお勧めします。

少なくとも、データのバックアップは必ず実施してください。
というのも、特に中小企業様の場合は、重要なデータも、特定の個人のパソコンにだけ存在していることも多いからです。壊れた時にデータが使えなくなれば、業務に多大な影響を及ぼします。

重要なデータは、サーバで管理するか(サーバであれば、業者も耐障害性の対策をしていたり、データバックアップも頻繁にしているはず)、外付けハードディスクなどにバックアップするようにしてください。

バックアップの方法などは技術的な話になりますので、ここでは割愛しますが、バックアップソフトやOSなどの機能などを使って、自動的にバックアップをすることが必要です。
また、できるだけこまめに、そして同じファイルでも、数世代のバックアップを取っておくことが必要です。

なお・・・ガイドブックでは、マルウェアやウイルスに感染した場合の対策としてバックアップを勧めていますが、私自身は、これに懐疑的です。

というのも、「いつ、マルウェアやウイルスに感染したか」が特定されないと、マルウェアやウイルスに感染したバックアップデータで復元をすることになりかねませんので。

マルウェアやウイルスに感染した場合は、個人のパソコンであれば、多少面倒ですが、OSの再インストールから始めるほうが無難だと思います。
サーバの場合は、サーバ構築後のウイルスチェック後のシステムイメージから、システムバックアップを使って、復元したほうがよいでしょう。

バックアップの代替対策にもなる、クラウドの活用

皆さまは「冗長化」という言葉を聞いたことがあるかもしれません。
これは上記wikipediaのリンクにあるように、

システムの一部に何らかの障害が発生した場合に備えて、障害発生後でもシステム全体の機能を維持し続けられるように、予備装置を平常時からバックアップとして配置し運用しておくこと

がポイントです。要は、「仮にコンピュータ機器など、システムを構成する一部が壊れても、予備装置が機能しているので、ユーザのデータは壊れていない」ということです。

上記の「冗長化」を実現するために、いろんな技術が使われていますが、これはかなりの専門知識が必要です。
と言うのも、一口に「システムが壊れる」と言っても、いろんな部分で、いろんなレベルで「壊れる」ので、それぞれの壊れ方を想定した対策が必要だからです。

さて、クラウドサービスの中には、この「冗長化」を売りにしたサービスがあります。

私が現在従事しているマイクロソフト社のOffice365も、その一つです。
弊社はグループウェアとしてOffice365を採用していますが、
  • パソコン内にあるデータのバックアップ先をOffice365にする
  • パソコン内には極力データを置かず、そのままOffice365に置く
ルールにしています。

前者は経理ソフトなどのデータ、後者は仕事上のExcelやWordなどのデータです。

前者は先にお話ししたデータバックアップですが、後者はデータバックアップではありません。何故なら、データをパソコンには置かず、クラウドだけに置いているからです。
(厳密には、重要なデータは、社内の冗長化されたサーバにも置いていますが)

何故、後者のような使い方をするかと言うと、
  • マイクロソフトなどの大きな企業が提供するクラウドの冗長化は十分、信頼できる
  • 自社で全てのシステムを冗長化する費用>クラウドの使用料金(">"は不等号)
だからです。

また、クラウドの特性として「インターネット環境があれば、クラウドが壊れない限り、クラウドに預けたデータにアクセスできる」ので、どこからでも自社のデータにアクセスできる=自社が被災した場合でも、クラウドが生き残っていれば、別の場所からデータにアクセスできるということで、BCPにも一定の効果がありますよね。

(厳密には、データだけではだめで、データを扱うプログラムがないと業務遂行はできませんが、逆に、プログラムやシステム環境があれば、データがあるので、業務は継続できることになります)

だから経済産業省のようなお役所が、中小・中堅企業にクラウドを勧めるのは、利便性という観点だけでなく、クラウドの持つ安全性にも注目しているからなのです。

弊社は業務改革/改善の”3本の矢"として、業務の効率化・標準化、そして「堅牢化」を掲げているのですが、この「堅牢化」とは、セキュリティの強化を含みます。

そして以前にお話ししたように「セキュリティ」とは機密性・完全性だけでなく「可用性」=情報へのアクセスを認められた者が、必要時に中断することなく、情報及び関連資産にアクセスできる状態を確保すること、でした。

この可用性こそが、障害に対しても堅牢である、ことを意味しているのです。

というわけで、「業務の堅牢性」を確保・維持する対策の一環としても、クラウド利用を検討することは意味があると考えます。

次回はハンドブックの第5章「ITを使った効率化によるセキュリティコスト捻出」について、私なりの考え方をお話ししたいと思います。

では、次回もよろしくお願い申し上げます。