ランサムウェアに感染したとき、多くの経営者が最初に心配するのはWebサイトやサービスへの影響です。しかし実際に事業再建を困難にするのは、その裏側で動いている基幹システムのデータ消失です。
顧客情報・受発注データ・財務データ・在庫データ。これらが失われれば、Webサイトが復旧しても事業は動きません。取引先への請求ができない、顧客への連絡ができない、在庫の実態が分からない。サービスの画面は戻っても、事業の中身が消えています。
IPAの中小企業向けセキュリティガイドラインには、ランサムウェア被害を受けた企業の事例が記録されています。バックアップから基幹システムを再稼働するまでに5日。社内システム全体の復旧に41日。対応費用は約2.5億円以上、45人月の工数を要しました。バックアップがあってもこれだけの時間とコストがかかります。バックアップがなければ、事業再建自体が不可能になる可能性があります。
にもかかわらず、中小企業の多くはWebサイトやクラウドサービスのバックアップには意識が向く一方で、基幹システムのバックアップ実効性の確認が盲点になっています。
本記事では、なぜ中小企業で基幹システムのバックアップ実効性確認が後回しになるのかを整理した上で、★3の要件として何が求められるかを解説します。
この記事でわかること
- なぜ中小企業でサービス・サイトは守られ基幹システムが盲点になるのか
- 基幹システムのデータが消えると何が起きるのか
- ★3が求めるバックアップ実効性確認の要件
- 経営として今日確認すべきこと
バックアップ実効性の確認が必要な理由|中小企業で守る優先順位が逆になっている
サービス・サイトが自然と守られる理由
Webサービス・ECサイト・予約システムは、ダウンした瞬間に売上への影響が数字として現れます。アクセス数・コンバージョン率・売上がリアルタイムで落ちていく。経営者の目に直接届くため、誰も意識せずとも守る動機が生まれます。
エンジニアは24時間監視しています。障害が起きれば即座に対応します。バックアップも整備されており、復元の経験もあります。「落ちたら困る」という意識が、自然とバックアップ体制を作ります。
基幹システムのバックアップ実効性確認が後回しになる理由
顧客管理システム・販売管理システム・在庫管理システム・財務システム。これらは「動いて当たり前」の存在です。毎日使っているが、障害が起きることはほとんどない。復元が必要になった経験もない。
「動いて当たり前」という認識が、バックアップ実効性の確認への意識を薄れさせます。エンジニアは管理しているが、バックアップの設定は後回しになっている。あるいは設定はあるが、実際に復元できるかを誰も確認したことがない。誰も困っていないため、問題が表面化しません。
中小企業では重要なデータほど自社開発・自社サーバーで管理されているケースが多い。クラウドサービスのように自動バックアップ機能が標準で備わっているわけではありません。誰かが明示的に設定・実行しない限り、バックアップは取られません。
クラウドへの遠隔地バックアップまでできている中小企業は27.9%に留まっており、できていない理由として「コストが高いから」が44%、「コア業務が忙しくて時間がない」が22.7%と報告されています。
バックアップ実効性を確認せず放置した中小企業に何が起きるのか
基幹システムのデータが消えると事業が止まる
Webサイトが落ちると売上は止まりますが、復旧すれば事業は再開できます。しかし基幹システムのデータが消えると、サービスが復旧しても事業が動きません。
顧客情報が消えた場合: 誰に・何を・いつ・いくらで販売したか分からなくなります。請求書が出せない。顧客への連絡先がない。クレームが来ても対応できない。
受発注データが消えた場合: どの取引先に何を注文しているか・何が届いているか分からなくなります。仕入れの管理ができない。取引先への支払いの根拠がない。
財務データが消えた場合: 売上・原価・経費の実態が分からなくなります。決算が作れない。税務申告ができない。銀行への報告もできない。
復旧にかかる時間とコスト
IPAの事例では、バックアップが存在していてもこれだけの影響が出ています。基幹システムの再稼働まで5日・社内システム全体の復旧に41日・対応費用は約2.5億円以上、45人月の工数。バックアップがあってもこの規模の影響が出ます。
バックアップがなければ、データは永遠に戻りません。顧客情報・財務データが消えた状態から事業を再建することは、現実的には不可能に近い。
バックアップ実効性の確認|中小企業が★3で証明すべき体制
★3の要求事項4-3-4
★3の評価基準はこうなっています。
「取得対象、取得頻度及び保管期間を定めて自組織で取り扱うデータのバックアップを取得すること。」
3つの要素が必要です。
| 要素 | 内容 |
|---|---|
| 取得対象 | 何のデータをバックアップするかを文書化していること |
| 取得頻度 | 日次・週次・月次など頻度が決まっていること |
| 保管期間 | 何世代・何日分を保持するかが決まっていること |
「なんとなく取っています」では要件を満たしません。基幹システムの重要データについて、対象・頻度・保管期間が文書化され、実行されている記録があることが求められます。
★3の要求事項7-1-1
「事業継続上重要なシステムについて、業務の目標復旧レベルを定めたうえで、当該レベルまで業務を回復するために必要な対策を整備すること。」
バックアップ(4-3-4)はデータを守るための準備です。復旧準備(7-1-1)はバックアップからデータを戻して業務を再開するための準備です。「バックアップはある・でも誰もどう復元するか分からない」という状態では7-1-1の要件を満たせません。
セキュリティ対策評価制度が中小企業に与える影響でも整理していますが、★3は専門家確認付きの自己評価です。登録セキスペが確認したとき「基幹システムのバックアップ実効性を証明してください」という問いに答えられる状態が必要です。
バックアップ実効性を確認するために中小企業の経営として今日すべきこと
今日確認すべき問い
まず経営として、以下の問いに答えられるかを確認します。
「自社の顧客情報・財務データ・受発注データを管理している基幹システムのバックアップは、取られていますか。最後に復元テストをしたのはいつですか。」
この問いに即座に答えられない場合は、IT担当者・エンジニアに確認する必要があります。
ランサムウェアとバックアップ実効性確認の接続
ランサムウェア対策 中小企業がまず決めるべき3つのことでも整理していますが、バックアップが本番環境と同じネットワーク上にある場合、ランサムウェアに感染するとバックアップも一緒に暗号化されます。
基幹システムのバックアップが「ある」だけでなく「ネットワークから切り離された場所にある」かどうかの確認が必要です。
IT資産台帳との接続
IT資産台帳 中小企業の作り方で整理している情報資産管理台帳の重要度評価が、バックアップ対象を定める根拠になります。重要度の高いデータが基幹システムのどこにあるかを把握することが、バックアップ実効性確認の出発点です。
まとめ|中小企業のバックアップ実効性確認は基幹システムから始まる
Webサービス・サイトのバックアップは、ダウンしたときの影響が直接見えるため自然と整備されます。しかし顧客情報・財務データ・受発注データを抱える基幹システムのバックアップ実効性確認は、「動いて当たり前」という認識の中で後回しになりやすい。
ランサムウェアに感染したとき、サービスが復旧しても基幹システムのデータが消えていれば事業は動きません。バックアップがあっても復旧に41日かかった事例があります。バックアップがなければ、事業再建自体が不可能になる可能性があります。
★3が中小企業に問うのはまさにここです。売上を生むサービスではなく、事業を支える基幹システムのデータのバックアップ実効性が確認されているかどうか。取得対象・頻度・保管期間が定められ・実行され・証明できる状態にあるかどうか。
経営として問うべきことがあります。「自社の基幹システムのデータが今日消えても、事業を再建できますか。」
コメント