内閣府によると、南海トラフ地震と首都直下地震が今後30年以内に発生する確率は70%ということです。南海トラフ地震は関東から九州の広い範囲で被害をもたらすことが予想されていますし、首都直下地震は首都中枢機能を麻痺させる可能性があるといわれています。中小企業を含め、すべての企業が近い将来に発生する災害に備えることはもはやリスクマネジメントとして必須といえるでしょう。
ここでは、災害などの緊急事態に備えて策定しておくべきBCPの目的や、取り組む際のポイント、具体的策定方法を事例を取り上げながら説明します。
クラウドバックアップについて知りたい方はこちら
目次
BCP対策とは?
BCP対策と防災の違い
BCP対策とBCMの違い
BCP対策の目的は?
BCP対策が重要な理由
BCP対策で備えるべき主な災害
海外におけるBCP普及事情
国内におけるBCP普及事情
BCPを策定する方法
BCP策定を外部に依頼する方法
BCP対策に取り組む際のポイント
BCPを策定した後の重要ポイント
BCP対策が抱える課題とは
BCP対策とDCP対策の関係性
BCP対策の事例
中小企業のBCPにはクラウドが最適
BCP対策に活用!おすすめツール・サービス6選
「使えるクラウドバックアップ」で万全の危機管理を簡単に
FAQ
.png)
BCP対策とは、緊急事態の被害を最小限にとどめるためのマニュアル(=BCP)を策定したり、それに基づいて訓練をしたりすることです。
BCP(Business Continuity Planning)の定義はさまざまですが、内閣府が発行した「事業継続ガイドライン」(令和5年3月)では次のように説明されています。
「大地震等の自然災害、感染症のまん延、テロ等の事件、大事故、サプライチェーン(供給網)の途絶、突発的な経営環境の変化など不測の事態が発生しても、重要な事業を中断させない、または中断しても可能な限り短い期間で復旧させるための方針、体制、手順等を示した計画のことを事業継続計画(Business Continuity Plan、BCP)と呼ぶ。」
出典:内閣府防災情報のページ 「事業継続ガイドラインーあらゆる危機的事象を乗り越えるための戦略と対応ー(令和5年3月)」
BCP対策と防災では目的が異なります。防災の主な目的は人命や財産を保護することで、防災計画は有事における初動対応を中心に策定します。
それに対しBCP対策の目的は前述した定義に示されているように、「重要な事業を中断させないこと」です。そのため、有事における初動対応に加えて、事業を復旧させ継続するための具体的計画も策定しなければなりません。もっとも、事業を継続するためには従業員を保護し、企業資産を保護することが含まれるため、BCP対策と防災には密接な関係があります。
また、BCPが事業継続を目的にしているため、対象とする脅威にも若干の違いが生まれます。防災はその名の通り、自然災害や伝染病などの災害の脅威を防ぐことを目的としていますが、BCPはやや異なります。なぜなら事業継続を困難にする要因は自然災害だけではないからです。特に近年は中小企業も含めてサイバー攻撃の脅威にさらされていますし、システム障害などによるサプライチェーンの途絶にも備えておかなければなりません。
BCM(Business Continuity Management)は「事業継続マネジメント」と訳されます。内閣府発行の事業継続ガイドライン(令和5年3月)では次のように定義されています。
「BCP策定や維持・更新、事業継続を実現するための予算・資源の確保、事前対策の実施、取組を浸透させるための教育・訓練の実施、点検、継続的な改善などを行う平常時からのマネジメント活動は、事業継続マネジメント(Business Continuity Management、BCM)と呼ばれ、経営レベルの戦略的活動として位置づけられるものである。」
この定義に示されている通り、BCP対策は、企業が平常時に行う経営戦略としてのBCMに包含されることになります。
出典:「事業継続ガイドライン第三版ーあらゆる危機的事象を乗り越えるための戦略と対応ー解説書」(平成26年7月、内閣府(防災担当))
(https://www.bousai.go.jp/kyoiku/kigyou/pdf/guideline03_ex.pdf)
注目すべきなのは、BCMが経営戦略である点です。有事に備えたBCMは平常時の企業活動とシームレスにつながっています。
例えば、BCMにおける重要業務を選定するためには、経営層が自社業務の本質や根幹について深く考える必要があります。また、有事における事業継続を目的とした人材や予算確保の取り組みは、自社の経営資源の見直しや業務効率化につながることにもなります。そして、こうしたプロセスを通じて経営者のリーダーシップは磨かれていくでしょう。BCP対策を含んだBCMを、単なる「防災計画」ととらえるべきではないことがお分かりいただけるはずです。
企業が毎日取り組むべき課題は山ほどあります。そのため、BCP対策が大切だと分かってはいても、「いつかはやるつもり」と後回しになってしまいがちです。また、BCP対策にはそれなりの予算を割かなければならないため、コスト面を考えても「うちには無理」とあきらめてしまう中小企業の経営者の方もいらっしゃるでしょう。
ここでは、BCP対策の目的について説明します。BCP対策のハードルが高くても取り組むべき理由が分かるはずです。
従業員と事業を守るため
企業経営に欠かせない「ヒト、カネ、モノ、情報」は、4大経営資源といわれます。当然ながら、いくら潤沢な経営資金や最先端の設備、貴重な情報を保有していても、それらを動かし、活用するのは「ヒト」です。そのため、企業の経営資源のうち最も重要なのは従業員です。
BCP対策の目的は従業員を守ることであり、緊急事態に直面しても事業を継続できるようにしておけば、従業員の生活や取引先を守ることにもつながります。
企業価値を高めるため
企業価値とは、企業の価値を目に見える数値で表したものです。具体的には貸借対照表上の株式価値と負債価値を合わせたもので評価されます。長期的な視点で企業価値を高めるためには、さまざまな対策が関係していますが、収益力や投資効率を高め、財務を改善することに加えて、BCP対策の有無も重要な鍵を握ります。適切なBCP対策は、投資家を安心させ、従業員のエンゲージメントを高めることにつながるからです。
.png)
BCP対策が重要なのは自明の理と思えますが、独立行政法人経済産業研究所の調査(2019年4月)によると、規模が小さい企業ほどBCP対策を行っていないことが明らかになりました。
従業員が1,001人以上の企業は全体の69.5%がBCPを策定済みでしたが、301~1,000人の企業だとその割合は43.7%まで低下、21~50人の企業では11.3%、20人以下の企業ではわずか2%に過ぎませんでした。
新型コロナウイルス感染拡大によって倒産した企業の大部分が中小企業だったことと、BCP策定の有無は決して無縁ではないはずです。ここでは特に中小企業こそがBCP対策を行うべき理由について3つ取り上げましょう。
会社の経営悪化の危機を防げる
上述したようにBCPを含むBCMは経営戦略の一環です。BCPを策定することで、企業は平常時からリスクマネジメントの意識を高めることもできるのです。
そのため、BCP対策をしていないのは災害に対する備えができていないだけでなく、平常時のマネジメントも仕組み化されていなかったり、長期的視点が欠けていたりする可能性が高いといえます。特に中小企業では経営者のリーダーシップに依存する傾向があり、リスクマネジメントも属人的なのかもしれません。そうした状態が続くと、災害に直面しなくても経営の本質的な課題が徐々に顕在化し、経営悪化につながる恐れがあります。
緊急時でも潰れない体制を整えられる
前述した通り、BCPは事業を継続するための計画です。言い換えると単に災害から復旧させる一時しのぎの対策ではありません。
日本の多くの企業がBCP策定を始めたのは2011年の東日本大震災がきっかけといわれていますが、東京商工リサーチの調査(2023年)によると、震災から11年経った2022年でも震災関連倒産は21件、月平均1.8件発生したとのことです。この数字から伺えるのは震災の痛手を乗り越えて一時的に事業を再開したものの、経営基盤が弱く最終的には力尽きて法的手続きに踏み切ったケースがあるということです。
BCPを策定し、常に見直し続けることで企業は常に自らの経営体制や経営資本を分析し、緊急時でも潰れず、長く生き残り続けるだけの安定した基盤を作り上げることができるのです。
企業価値の改善が期待できる
企業価値を高める要素の一つにCSR(「Corporate Social Responsibility」=企業の社会的責任)があります。CSRは企業が社会や株主などのステークホルダーに対して、責任を持って行動することを指します。
前出の「事業継続計画(BCP)に関する企業意識調査」によると、中小企業が大企業に比べBCPが不十分な一つの原因として「災害などで大きな被害を受けた場合は無理して事業を続けない」と考えている点が指摘されていました。これはまさに多くの中小企業のCSRの認識が欠如していることを表しています。
しかし、企業活動が継続できなくなれば困るのは経営者だけではありません。「災害が起きたらそれまで、事業はあきらめる」と言ってはばからない企業に投資しようとする投資家がいるでしょうか?また経営者が継続する意思がなければ従業員エンゲージメントも当然低下します。
逆にBCP対策をしっかりと行っている企業はステークホルダーからも信頼されます。例えば、事業継続を目的とした設備投資をするための融資を有利な条件で受けることも可能です。
参考:プロが教える 現場のためのBCP対策【BCPP】「CSRとしてのBCP対策」
.png)
BCPは「災害」に備えるための対策です。ただ、一口に「災害」といっても引き起こされる理由や、もたらす被害もさまざまです。会社の資産である「モノ」や「ヒト」を脅かす可能性もあれば、見えない資産である「情報」の消失につながるものもあります。ここでは、BCP対策で備えるべき主な災害3つについて説明します。
自然災害
BCP対策で備えるべき主な自然災害には以下の種類があります。
・地震
・水害や台風
・感染症
・地震
国土交通省によると、2004~2013年に全世界で発生したマグニチュード6.0以上の地震の18.5%が日本で起きたものでした。日本の国土は世界の0.25%に過ぎないことを考えると、地震の発生頻度は極めて高いといえるでしょう。
また、上述したように南海トラフ地震についてはマグニチュード8~9クラスの大規模地震が発生する確率は70~80%、首都直下地震については南関東域で30年以内にマグニチュード7クラスの地震が発生する確率は70%といわれています。地震は発生すれば、広範囲に渡って交通インフラやライフラインに被害をもたらすことから、企業はBCPを策定する際に地震の発生を考慮に入れておかなければなりません。
・水害や台風
地球温暖化の影響で年々水害リスクが高まっています。日本の年間平均気温は100年前に比べて1.26℃上昇し、全国の1時間降水量50mm以上の年間発生回数も年々増加しています。近年でも2020年に九州地方を襲った「令和2年7月豪雨」や、岡山県倉敷市などを中心に発生した2018年の「平成30年7月豪雨」などが記憶に新しいところです。
多くの企業活動は年々ITシステムへの依存度を増していますが、水害が発生すると電気や水道などのインフラが破壊され、浸水や停電によってネットワークやサーバがダウンしてしまいます。それにより、メールなどのやりとりができないだけでなく、受発注システムが使えなくなり、顧客データや機密情報が消失する恐れもあります。
・感染症
新型コロナウイルス感染により消費需要は低迷し、飲食店、宿泊業、観光業を中心に多くの企業は大ダメージを被りました。また、感染拡大防止策として感染者の隔離措置が徹底され、製造業などでもサプライチェーンが寸断され、中小企業を中心に事業抑制を余儀なくされました。
人為的な災害
人為的な災害には仕入れ先の倒産、バイトテロ、操作ミスによるシステム障害などが考えられます。
バイトテロとは、雇用されている店員や従業員が店頭や他の場所で悪ふざけをする様子をSNSなどを用いて拡散し、製品やサービスに対する評判や企業ブランドを低下させることを指します。また、企業内部の暴力やコンピュータ犯罪により発注や基幹システムに支障が生じることも考えられます。
セキュリティ攻撃
新型コロナウイルスによってテレワークが大規模に導入されるなど、社会経済活動は大きく変化しました。また、政府も推し進めているDX(デジタルトランスフォーメーション)の進展により、セキュリティ攻撃のリスクは日増しに高まっています。
2022年9月5日に経済産業省は「サイバー攻撃被害のリスクが高まっており、ランサムウェアをはじめとするサイバー攻撃被害が国内外のさまざまな企業・団体等で続いている」として、「サイバーセキュリティ対策の強化」について注意喚起を行いました。中でも強調されているのがサイバーセキュリティ対策を徹底し、「持続可能な体制を確立」することです。仮にサイバー攻撃によってシステムが停止した場合でも、BCPを策定し代替手段を整備していれば業務を継続することが可能です。
サイバー攻撃とは何かを知りたい方はこちら
セキュリティ対策とは何かを知りたい方はこちら
脆弱性とは何かを知りたい方はこちら
.jpg)
アメリカでは2001年の同時多発テロ以降、国土安全保障省(DHS)の主導でBCP対策が推進されています。例えば、DHSは2004年から『Ready Business』プログラムを始め、BCPに関する情報や対策に必要なテンプレートを提供しています。
また、新型コロナウイルスの世界的流行は、多くの企業にBCP対策の重要性を銘記させました。例えば、シンガポール企業庁は、感染拡大の初期段階である2020年2月に『Guide on Business Continuity Planning for COVID-19』と呼ばれるBCPガイドラインを発表しました。ガイドラインの内容は人員管理、業務プロセス、サプライヤー・顧客管理など多岐に渡ります。
参考:リスク管理Navi 「シンガポールの新型コロナウイルス感染症(COVID-19)に対するBCPガイドライン ~その概要と日本企業での活用方法~」
帝国データバンクが2022年5月に全国1万1,605社を対象に行った調査によると、BCPを「策定している」と回答した企業は17.7%で、2020年5月の16.6%からやや増加しています。ただ、規模別に見ると、大企業のBCP策定率が33.7%で、2016年の27.5%から6.2ポイント上昇しているのに対し、中小企業では14.7%で、2016年の12.3%から2.4ポイントの上昇にとどまります。中小企業にとってBCP策定は、人材確保やコスト面からハードルが高いことが伺えます。
また、同調査によると、企業によって「事業の継続が困難になると想定しているリスク」のうち、最も回答が多かったのは「自然災害(71%)」であり、「感染症(53.5%)」、「情報セキュリティ上のリスク(39.6%)」と続きます。また、「戦争やテロ」、「物流の混乱」と回答する企業が増加傾向にあることも注目すべきでしょう。
参考:帝国データバンク 「事業継続計画(BCP)に対する企業の意識調査」(2022年)
BCP対策の目的や重要性について理解すると、中小企業でコストや人員が限られていても、できるだけ早くBCPを策定する必要があることがお分かりいただけたと思います。中小企業が大企業と同じだけのレベルでBCPを策定することは困難だとしても、まずは以下の手順に沿って策定を検討してみてはいかがでしょうか?
方針の決定
BCPの目的が事業継続であるといっても、最優先すべきなのは身体・生命の安全確保です。それは人道的な面から重要かつ当然であるだけでなく、事業継続の観点からも従業員の生命はもっとも重要な企業の資源だからです。BCP対策において従業員の身体・生命の安全確保を優先することで、従業員エンゲージメントは向上し、企業価値も高まります。
組織・体制の構築
以上の方針を前提に各部署と連携をとりながら組織・体制を構築します。経営者を責任者とし、緊急時における指揮命令系統、各部署の役割と責任をできるだけ明確にしておきましょう。緊急事態の状況について具体的かつ正確に想定することは困難ですが、大まかに「初動対応」と「事業継続対応」に分けて実施主体と実施項目を時系列で管理できる管理表を作成します。
現状分析
緊急時にはインフラが被害を受け、人的リソースが減るため、企業が平常時と同じような形で事業を継続することは不可能です。そのため、「中小企業庁BCP策定運用指針」はまず「優先して継続・復旧すべき中核事業を特定する」ことをすすめています。目安として平常時の3割程度のリソースしか確保できなくても自社は何を重視するか、分析してみましょう。
被害分析
自社が直面しやすいと思われる被害、リスクを分析します。上述した、企業が備えるべき災害の中で可能性の高いものから優先的に対策を講じます。優先順位は2通りの軸で判断するとよいでしょう。つまり、「頻繁に発生する可能性があるかどうか」、また「発生した場合のリスクの深刻度」です。
対策手段の検討
「中小企業庁BCP策定運用指針」では具体的な対策手段として以下の点を検討しておくようすすめています。
・緊急時における中核事業の目標復旧時間※
・緊急時に提供できるサービスのレベルについて顧客とあらかじめ協議
・事業拠点や生産設備、仕入品調達等の代替策
目標復旧時間について知りたい方はこちら↓
こうした一連の策定のプロセスは一度やればそれで良い、という訳ではなく、診断・維持・更新を繰り返していく必要があります。また、経営層でBCPを策定しても、それに従業員が精通していなかったり、その存在すら知らなかったりすれば「絵に描いた餅」です。従業員とのコミュニケーションの機会をもち、単に周知するだけでなく、BCPが組織の文化として定着するようになるのが理想です。
参考:「中小企業BCP策定運用指針」(中小企業庁)
(https://www.chusho.meti.go.jp/bcp/index.html)を加工して作成
中小企業の経営者の中には、BCP策定を行うにあたって、どこから手を付けたら良いか分からないという方もいらっしゃるでしょう。中小企業庁など、行政機関がBCP策定のためのガイドラインやテンプレートなどを提供してくれているため、それらを参考にしながら策定するのも一つの方法ですが、外部に依頼する選択肢もあります。ここでは、BCP策定を外部に依頼する場合の依頼先、メリットとデメリット、外部依頼が適したケースについて説明します。
BCP策定の依頼先
BCP策定の依頼先として挙げられるのは、専門のBCPコンサルタントや行政書士です。BCPコンサルタントはBCPに特化してサービスを提供しており、さまざまな業界において実績や経験を積んでいます。そのため、コストは高めですが、より専門的なサポートを受けられるでしょう。
行政書士は法律の専門家であり、行政機関の施策や法改正にも精通しています。また、費用もBCPコンサルタントよりも低めです。ただ、BCPコンサルティングに比べて、システム関係に弱い場合もあるため、自社のニーズに合わせて依頼先を選ぶことが大切です。
外部に依頼するメリットとデメリット
BCP策定を外部に依頼するメリットは、時間を節約できることです。そもそも多くの中小企業においてBCP策定が後回しになるのは、毎日の業務に追われて時間がないからです。外部に依頼するなら、その課題を解決できます。
BCP策定を外部に依頼するデメリットは、費用がかかることです。ただ、上述したように依頼先にもさまざまな選択肢があるため、相手のサービス内容とコストパフォーマンスに精通するようにしましょう。
外部依頼が適したケース
BCP策定を外部に依頼するのに適した代表的なケースは、毎日の業務に追われ策定に割く時間がない場合です。自然災害やサイバー攻撃はいつやってくるか分かりません。そのため、できるだけBCP策定を急ぎたい場合は、外部依頼を選択しましょう。もちろん、そのためにはある程度の費用の余裕が必要です。
また、BCP対策のための人材やノウハウが不足している場合も外部依頼を選ぶことで策定がスムーズに進むはずです。
前述したように、中小企業が自らBCP対策に取り組む場合には、多くの手順を踏む必要があります。そのため、日々の業務に忙殺されている場合、BCP対策はハードルが高く感じるでしょう。しかし、いくつかのポイントを押さえておくことで効果的にBCP対策を進めることが可能です。ここでは、3つのポイントを紹介します。
自社におけるBCP対策の現状をチェックする
BCPに限りませんが、企業が課題にアプローチする場合、最初にすべきなのは、自社の現状を把握することです。BCP対策においても、まず自社がどのくらい取り組めているのかチェックしましょう。BCP対策は経営とシームレスにつながっているため、すでに何かしらの取り組みをしていることが分かるはずです。具体的には、人的資源、施設や設備に対する備え、資金や情報、データの消失を防ぐための対策についてチェックしてみましょう。
文書化する際はテンプレートを活用する
BCP対策は自社のニーズに合ったものにすべきですが、すべてを一から策定しなければならない訳ではありません。業種や業態ごとにどのような対策をすべきかはある程度共通しているため、提供されているテンプレートを活用すると策定のコストを削減できます。中小企業庁や事業継続推進機構がガイドラインやテンプレートをWeb上に公開しているため、参考にしてみましょう。
参考:中小企業庁ウェブサイト
(https://www.chusho.meti.go.jp/bcp/contents/bcpgl_download.html)
参考:事業継続推進機構 「中小企業BCPステップアップガイド」
取り組みやすいことから始める
BCP対策が進まない一つの理由に、最初から完璧なものを作ろうとしていることが挙げられます。特にノウハウがない中小企業がいきなりすべてに取り組もうとしても途中で挫折するのが関の山です。そのため、まずできること、取り組みやすいことから始めることをおすすめします。
例えば、データの消失を防ぐための対策として、データのバックアップをクラウド上に保管するだけでもBCPとしての機能を果たすことができます。この点でおすすめのクラウドサービスやバックアップツールについては後述します。
.jpg)
最初から完全なBCP対策があり得ない以上、重要なのは策定したあとの対応です。BCPを作成してそれで満足するのではなく、そのあとも定期的に内容を見直し、常に更新していく必要があります。また、策定したBCPがいざというとき適切に機能するように従業員や顧客に周知徹底することも必要です。以下では、BCP策定後の3つのポイントについて解説します。
継続的にテストし課題を洗い出す
BCPの策定内容に沿って定期的にテストを実施し、問題がないかを検証します。BCPのテストはPDCAサイクルに基づいて行います。つまり、BCPを策定し(Plan)、実施し(Do)、課題を洗い出し(Check)、対策を検討・実施します(Action)。
例えば、従業員の安全を確保するために、災害時の避難について策定したとします。その避難方法や経路が有効かどうか実際にテストを行ってみて、課題を検討し、改善点があればそれを織り込んでBCPを更新するのです。更新後は各方面への情報共有を忘れないようにします。
社員にBCPを教育、継続的に訓練する
いくら立派なBCPを策定しても、経営層や担当者しか知らなければ、災害時に実際に機能することはありません。「絵に描いた餅」とはまさにこのことでしょう。社員全員が災害時に迅速に行動できるようにするためには、教育の機会を定期的に設けることが大切です。マニュアルに精通するだけでなく、緊急時にも落ち着いて行動できるようにトレーニングを実施しましょう。
顧客や取引先と情報共有する
災害時に事業を継続するためには、自社だけの努力では足りません。顧客や取引先とのスムーズな連携が不可欠です。また、大企業の場合はサプライチェーンとの協力がなければ、事業継続は不可能です。
そのため、BCPを策定したら、顧客や取引先とも必ず情報共有をしておきましょう。単に資料を共有するだけでなく、できれば実際に対面してコミュニケーションを図る機会を確保するようにし、お互いの信頼関係を普段から強化しておきます。
企業の規模に関わりなくBCP対策は必須といえます。しかし、課題も抱えています。ここでは、BCP対策の主な課題2つについて説明します。自社がBCP対策に取り組む場合にも当てはまるかどうか確認しましょう。もし、自社にも同様の課題がある場合は、BCP対策そのものをあきらめたり、先延ばしにしたりするのではなく、どうすればそれらの課題を乗り越えられるか考えるようにしましょう。
すべてが確実に機能するとは限らない
上述したようにどれだけたくさんのノウハウがあっても、専門的な知識をもつ業者に外注しても、完全なBCP対策はあり得ません。特に近年の自然災害は私たちの想像を超えた大きな脅威になることも少なくありません。そのため、目指すべきなのは、どんな事態に直面しても100%事業を継続できることではなく、事業の継続を妨げる要素を少しでも減らすことです。
策定には時間やコスト、ノウハウが必要
BCP対策の別の課題は、策定には時間やコストがかかり、ノウハウが必要になる点です。企業は売上を確保するために、主力事業に時間やコストを投入したいと思うものです。そのため、いつ起こるか分からないBCP対策のために時間やコストを割くのは後回しになりがちです。
また、BCP策定のためには法務やITなど、各方面に渡る専門的な知識が必要です。
もし、こうした点が自社にとって課題となっているなら、前述した行政機関が提供しているガイドラインを活用したり、外部への依頼も検討できるでしょう。
BCP対策に似た言葉にDCP対策があります。DCPとは「地域継続計画(District Continuity Plan)」であり、地域で被災時に優先すべき対策に関して合意形成し、実際の災害時に各組織が戦略的に行動するための指針や計画を指します。
DCPは東日本大震災をきっかけにして取り組みが始まりました。というのも、いくら各自治体や企業が独自にBCPを策定しておいても、各組織の連携がなければ、災害に強いシステムは形成できないということが明らかになったからです。つまり、BCP対策は各組織単体を対象にしていますが、DCPは複数の自治体や企業を対象にした相互補完的な仕組みを指します。
参考:株式会社ウインテックス 「BCP対策とは?災害時に企業はどう備えるか」
BCP対策が重要だと分かっていても、リソースが限られていたり、リスク発生の可能性が低いと思うとなかなか重い腰が上がらないのも事実です。ここではBCP対策の事例を3つ取り上げます。大企業だけでなく、中小企業も含めてどのようにBCP対策に取り組んでいるのか、自社にとってのヒントを見つけられるかもしれません。
東京海上日動
東京海上日動火災保険株式会社は首都直下地震に直面し、自社の本店ビルが使用不能になっても、事故受け付けや保険金支払いを継続することを中核事業・CSRと考えています。
そのために以下のBCPを策定しています。
1. 組織・体制を構築:災害時には社長を本部長とした「本店災害対策本部」を立ち上げ
2. 緊急時の代替拠点を選定:本店(東京都千代田区)の代替拠点として多摩、新宿、横浜、大宮、幕張、立川の6拠点を想定
3. 緊急時用の機器や物資を準備:2. の拠点にも通信機器や備蓄物資を設置
4. バックアップシステムの設定:メインシステムが稼働しなくなった24時間後に稼働
5. 安否確認システムの導入:最優先事項である社員と社員の家族と連絡
6. 緊急時の応援要因の確保:災害時の人的リソースの確保
7. 訓練の実施:災害時を想定して定期的な訓練の実施
イオングループ
イオングループは東日本大震災以降、BCPを策定し、気候変動リスクに対する取り組みを行ってきました。以下の5分野があります。
情報インフラの整備:災害発生直後の情報インフラを確保するためにITツールを運用、。安否確認や店舗被災状況を一元的に管理できるシステムを構築
施設における安全・安心対策の強化:断水・停電状態でも飲料水を利用できる災害時用バルブや、緊急避難用大型テント「バルーンシェルター」を配備
サプライチェーンの強化:取引先とクラウドコンピューティングでつなぐ「BCPポータルサイト」を活用し、災害時でも被災地に必要な物資を効率的に届ける仕組みを構築
訓練計画の立案と実行:「イオングループ総合地震防災訓練」を定期的に実施
外部連携の強化とシステム化:地域行政、病院、大学、民間企業など、地域に根差した連携体制を構築
大草薬品株式会社
漢方生薬等の製造・販売を行っている同社ですが、中核事業は災害時に需要が高い胃腸薬・便秘薬の製造・販売としています。災害時には従業員の生命と安全を最優先させ、中核事業を継続するために以下のようなBCPを策定しています。
1. 事業継続検討委員会の設置
2. 備品薬品等の保管方法の改善
3. 従業員の初動訓練
4. 避難計画の周知
5. 製造場所の破損対策
上述したように、企業規模が小さければ小さいほど、BCP対策が遅れています。確かに、中小企業はリソースが限られているため、BCP対策を行う余裕がないのも事実です。
しかし、中小企業が自分たちにとっての中核事業をきちんと絞りこめば、BCPに多くのことが求められる訳でもありません。最初から完璧を目指すことはやめ、できることから始めましょう。
対策の一つに、災害でデータが消失しても事業を継続するためのクラウドソリューションがあります。クラウドの導入には多くのコストや専門知識、複雑な設定が必要ないため、比較的始めやすいBCPといえるでしょう。
BCP対策でもっとも重要なのはいうまでもなく従業員の命や安全ですが、情報も企業が保有する貴重な資産です。ここでは、年々増加し続ける企業の情報資産を守るため、BCP対策に活用できるツールやサービスを紹介します。各サービスの特徴やかかるコストを把握し、自社のニーズや予算に基づいて最適なツールを選択しましょう。
使えるクラウドバックアップ
使えるクラウドバックアップは、使えるねっと株式会社が提供するサービスです。使えるねっと株式会社は、1999年からレンタルサーバ事業を開始し、2002年に設立されたクラウドサービスの老舗です。
使えるクラウドバックアップのコンセプトは、単にバックアップ機能だけでなく、「データを守る・使う」ことを前提にしていること。そのために採用しているバックアップの方式は「イメージバックアップ」と呼ばれています。すべてのアプリ、ファイル、ユーザアカウント、各種設定、さらにはオペレーティングシステムを含むシステム全体を一気にバックアップするため、万が一データが消失した場合、すぐにシステムを復元できます。
また、使えるクラウドバックアップのディザスタリカバリ(DR)オプションによって、災害時にはバックアップイメージからクラウドの仮想マシンへ瞬時に切り替えることが可能です。つまり、事業継続を目的としたBCP対策として最適なのです。通常バックアッププランでは、「テストフェールオーバー」分のディザスタリカバリが無料でご利用いただけます。
セキュリティにも力を入れており、ファイルがアップロードされる前に米軍も採用する最高レベルの暗号化を実施します。また、すべてのファイル転送もAES-256で保護するため、サイバー攻撃からもデータを安全に守ります。
さらに、使えるクラウドバックアップが採用している「アクティブプロテクション」は、ランサムウェアからデータを守るためのAIベースのテクノロジーです。バックアップデータやバックアップソフトへの疑わしい改変もすぐに検知します。既知のランサムウェアだけでなく、未知のランサムウェア攻撃を識別する際にも効果的です。
価格は月単価1,870円(税込)~で、自社の用途に合わせて容量を自由に増やせますし、契約期間も1カ月と1年のいずれかから選べます。さらにさまざまなライセンス追加も可能です。
※価格は年一括払いで、月当たりの金額
公式HP:使えるクラウドバックアップ
サイボウズ Office
サイボウズ Officeは、「誰でもかんたんに使える」をコンセプトに開発されたクラウドサービスです。チームのための機能をワンパッケージにしており、その中にはスケジュールやファイル管理などの情報共有機能だけでなく、メールやメッセージ、掲示板などのコミュニケーションツールも含んでいます。
サイボウズ Officeにログインすると、トップ画面には各従業員にとって必要な情報が一画面にまとめられています。自分の予定や自分宛のメッセージ、掲示板の書き込みなどが一目で分かるだけでなく、自分が使いやすいようにカスタマイズすることも可能です。
自然災害や感染症が発生したときには大半の従業員がオフィスに出勤できない事態が生じ、誰か特定の人がいないと事業継続が困難になることが考えられます。この点、サイボウズ Officeであれば、社内のコミュニケーションやデータファイルなどがクラウド上に一元管理されているため、全員が自宅待機しなければならないとしても、社内と同様に業務を継続することが可能です。
また、サイボウズ Officeを経由して各従業員の安否確認もでき、最も重要な「従業員の命」を守るためにも効果的なツールといえるでしょう。
サイボウズ Officeのクラウド版は初期費用はかからず、契約期間は1ヵ月、最低5ユーザから契約可能です。スタンダードコースは標準機能をすべて利用可能、プレミアムコースはさらにカスタムアプリを加えて利用できます。
公式HP:サイボウズ Office
SmartDrive Fleet
SmartDrive Fleetは、クラウド型車両管理システムです。デバイスをシガーソケットに差し込むことで、走行データを自動収集し、リアルタイム位置情報、走行履歴の記録、安全運転診断、運転日報・月報などに活用できます。
画面が見やすく、操作が使いやすいため、研修やトレーニングに多くの時間を割くことなく、すぐに導入できる点も魅力です。
SmartDrive Fleetの活用シーンはさまざまです。例えば、ドライバーのリアルタイム位置情報を把握し指示を出したり、長時間労働や私的利用を可視化したり、車にかかるコストを削減したりするために用いることができます。
また、各ドライバーの「急発進・急減速・急ハンドル」を検知することで、安全運転をスコア化できるため、従業員全体の安全意識を向上させ、エコドライブの推進にも役立ちます。
自社で車両を多く保有している場合、SmartDrive FleetはBCP対策にも有用です。多くのドライバーが稼働中、突然の自然災害が発生しても、SmartDrive Fleetを通じてドライバーの位置や状況を把握し、安否確認ができるからです。また、管理者が各ドライバーに指示を伝え、迅速に避難できるようサポートすることも可能です。
公式HP:SmartDrive Fleet
Ryobi-IDCのバックアップNASレンタルサービス
両備システムズが提供するバックアップNASレンタルサービスは、同社が保有する岡山県のデータセンターに専用のバックアップ領域としてNASストレージを確保し、データをバックアップするサービスです。NASとは、ネットワーク接続型のストレージを指します。
データセンターが設置されている岡山県は災害リスクが低いとされています。また、同社データセンターは免震構造や多重電源、自家発電設備など堅牢なファシリティを備えているため、BCP対策としても効果的といえるでしょう。データセンターの見学も可能ですので、災害対策に万全を期すため、前もって設備を確認してみるのも良いかもしれません。
具体的には、自社にNASを1台、データセンターに1台配置することでバックアップを行いますが、バックアップ方法は完全バックアップ、増分バックアップ、差分バックアップを選択できます。災害時に自社設置のNASが被災、通信回線も不通になった場合、データセンターに設置しているバックアップ用NASを取り外し、運搬してもらうことも可能です。
データセンターとのアクセス回線はインターネット回線、専用回線いずれも利用可能です。なお、ストレージ容量は1TBから自由に選択できます。
公式HP:Ryobi-IDCのバックアップNASレンタルサービス
torocca!
torocca!(トロッカ)は、Webサイトとデータベースのためのバックアップ&復元サービスです。また、Webサイトのパフォーマンスやマルウェアなどの不正プログラムの侵入を24時間365日モニタリングする機能もあります。直感的な分かりやすいコントロールパネルのため、バックアップ管理と監視を簡単に操作できます。
保存するバックアップは最大30世代分です。月、週、日を選択し、自由にバックアップのスケジュールを選択できます。差分バックアップを採用しているため、バックアップ取得時間を大幅に削減できます。バックアップデータは高い暗号技術として知られているAES-256暗号化方式によって保護されます。
torocca!のデータセンターは、強固な地盤で災害に強い立地環境が選ばれています。高セキュアなデータセンター内にはクラウド設備を冗長構成にて設置、運用しています。そのため、貴重な情報資産を守るためのBCP対策としても有効です。
万が一の自然災害やサイバー攻撃など緊急事態発生時には、1クリックで復元できます。過去30世代の中から復元タイミングを選ぶことが可能です。
プランは「ライト」「スタンダード」「プレミアム」「エンタープライズ」の4つから選べます。月額550円からスタートできるため、事業規模に合わせて徐々にディスク容量を大きくしていくと良いでしょう。なお、初期費用は無料です。
公式HP:torocca!
Synology
Synologyとは、日立システムエンジニアリングサービスが提供する、ストレージとソフトウェアが一体となった次世代ファイルサーバです。データ保護に必要なバックアップソリューションを標準搭載しているため、BCP対策にも効果的です。直感的で分かりやすい操作のため、導入の際のトレーニングはほぼ必要ありません。
Synologyが搭載しているバックアップの機能には以下のようなものがあります。
・Cloud Sync:データをパブリッククラウドと同期暗号化
・Active Backup for Business:PC、サーバ、仮想マシンのバックアップ、増分バックアップとグローバル重複排除機能
・Hyper Backup:NAS保管データを外部デバイス、パブリッククラウドにバックアップ
Synologyはクラウドストレージではなく、NASです。そのため、導入時には機器を購入し、システムを構築するための初期費用が400~500万円ほどかかります(ユーザ数500名前後)。一見、BCP対策としてはコストの負担が大きいと感じるかもしれませんが、5年以上使用すると、クラウドストレージの年間利用料がSynologyの初期費用を上回るケースもあります。自社の従業員数や規模に合わせて検討してみましょう。
公式HP:Synology
使えるねっとが提供するクラウドソリューション「使えるクラウドバックアップ」はアプリ、ファイル、アカウント、OSに至るまで丸ごとバックアップするイメージバックアップを採用しています。そのため、万が一災害が発生し、データが消失してもすぐにデータを復元し、業務を継続できます。
使えるクラウドバックアップはすべてのファイル転送をAES-256で保護し、ランサムウェアからデータも守るためのAIベースのテクノロジー「アクティブプロテクション」を採用、気になるサイバーセキュリティ対策もばっちりです。
用途や容量に合わせて多彩なプランから選べるクラウドバックアップは月単価1,870円(税込)から、多くの中小企業の皆さまに長く使っていただきたいと思っています。
30日間の無料トライアルも実施中、是非お気軽にお試しください。
使えるクラウドバックアップのサービス詳細ページはこちら>>
.jpg)
BCP対策と防災はどう違う?
BCP対策と防災では目的が異なります。BCP対策の目的は、災害時などの緊急事態においても事業を継続することです。それに対し、防災の主な目的は人命や財産を保護することです。もっとも、事業を中断させないためには、従業員の命や安全を守ることが大前提です。
また、防災の対象は自然災害や感染症ですが、BCPの対象はそれに加えサイバー攻撃、システム障害も含まれます。
BCP対策と危機管理マニュアルとの違いは?
BCPとは「事業継続計画」のことであり、そのための対策は平時の経営のあり方と密接に関連しています。事業継続計画には、いざという時に「誰が、いつ、どのように」決断するかを盛り込みますが、そこには会社経営のビジョンが反映されます。
それに対し、危機管理マニュアルは、自然災害などの緊急事態に対処する具体的な手続きを明示したものです。そのため、危機管理マニュアルはBCP対策の中に含まれるといえるでしょう。
BCP対策におけるリスクとは?
BCP対策におけるリスクには、地震や水害などの自然災害、感染症に加え、ランサムウェアなどのサイバー攻撃や、人為的なミスによって引き起こされるシステム障害などが含まれます。事業継続を妨げる要因にはさまざまなリスクが含まれますが、BCP対策はそれらのリスクをできるだけ具体的に想定し、それに対してどのように対策を講じるかを考えておくことを指します。
.jpg)
お電話でのお問い合わせはこちら:03-4590-8198
(営業時間:10:00-17:00)
2014年に初めて確認され、全世界に脅威をもたらしたマルウェア「Emotet(エモテット)」。2021年前半に無害化されたと思われていましたが、同年11月後半より活動の再開が確認されました。その後、再び沈静化したように思われましたが、2023年3月から攻撃が活発化しています。
Emotet(エモテット)とは、非常に強い感染力を持つマルウェアです。今回はこのEmotet(エモテット)について、その実態や攻撃方法、感染するとどんな被害をもたらすのかについて説明します。また、もし感染した場合に自社の機密情報を守るために取るべき対策、さらに重要な点として感染しないために今すぐできることについても解説します。
目次
Emotet(エモテット)とは?
Emotet(エモテット)の主な攻撃手法2つ
Emotet(エモテット)が深刻化した3つの理由
感染するとどうなる?Emotet(エモテット)の被害
Emotet(エモテット)の攻撃事例4つ
Emotet(エモテット)に感染した際の対処法5つ
Emotet(エモテット)に感染しないための対策5つ
Emotet(エモテット)の感染対策に「使えるクラウドバックアップ」
FAQ
Emotet(以下「エモテット」)とは、情報の窃取などを目的とし、悪意のある攻撃者によって送られる不正なメールから感染が世界的に拡大しているマルウェアです。エモテットが最初に検出されたのは2014年ですが、2019年頃から流行が拡大し、広く認知されることになりました。一度無力化したかと思われましたが、2023年4月現在も感染は拡大し続けています。
参考:SoftBank 「マルウェア「Emotet(エモテット)」の脅威を分かりやすく解説」
マルウェア対策について知りたい方はこちら
エモテットは主にメールを介して感染することが報告されていますが、その具体的な攻撃方法は以下の2つです。
・メールの添付ファイルを用いて感染させる
・なりすましメールを用いて感染させる
1. メールの添付ファイルを用いて感染させる
添付ファイルにマクロの実行を促す文面が記載されており、受信者がそれに気づかず「コンテンツの有効化」をクリックすることでマクロが起動し、エモテットに感染してしまいます。
添付ファイルはWordやExcelのことも多く、日常的にやりとりされるメールに紛れてしまいます。そのため、受信者は何気なくクリックしてしまい、気づかないうちに被害を拡大させてしまいます。
2. なりすましメールを用いて感染させる
公的機関や企業を装ったメールを送信し、本文に記載したURLをクリックさせることでマルウェアへの感染を誘導する攻撃方法もあります。
受信者がうっかりメールを開くのには理由があります。例えば、件名に公的機関などを装い「重要連絡」と記載してあったり、「Re:」や「Fwd:」などの文字が含まれたりしているため正規の業務メールと勘違いしてしまうのです。場合によっては、冒頭にメールの受信者の名前が書かれていることもあります。
そして、メール本文に記載されたURLを開くと、不正なファイルのダウンロードが始まり、マルウェアに感染してしまいます。
参考:サイバーセキュリティ.com 「危険なマルウェア「Emotet(エモテット)」とは?脅威や手口・対策まで解説」(https://cybersecurity-jp.com/column/34114)
.jpg)
いったん感染が収束したように思えたエモテットの被害が再び拡大し、深刻化したのはなぜでしょうか?主に3つの理由が考えられます。
1. 本体は不正なコードを含まず感染しやすい
2. 巧妙な手口で不正メールであることがわかりにくい
3. 不正ファイルのダウンロードを誘導する
1. 本体は不正なコードを含まず感染しやすい
一般的なマルウェアの場合、端末にインストールされているウイルス対策ソフトにより検知されます。しかし、エモテットは感染した端末にほかのマルウェアを感染させる「プラットフォーム」のような役割を持ち、マクロなどの正規の機能を悪用して端末に侵入します。そのため、ウイルス対策ソフトでも検知することが難しいといわれています。中には検知できるものもありますが、ハッカー側も次々と亜種(すでに出回っている不正プログラムの一部を改変したマルウェアのこと)を送り込むため、攻撃を防ぐのは容易ではありません。
例えば、独立法人情報処理推進機構(IPA)が2023年3月9日に公表した情報によると、セキュリティソフトなどの検知を回避するため、メールにZIPファイルが添付され、解凍するとファイルサイズ500MBを超えるWord文書ファイルが展開されるものがありました。
また、2023年3月17日には、Microsoft OneNote形式のファイルが添付された、新たな攻撃方法も発見されました。添付ファイルを開くと、ファイルに「偽の指示」が表示され、それに従って「View(閲覧)」ボタンをクリックすると、エモテットに感染する仕組みです。
参考:独立行政法人情報処理推進機構 「Emotet(エモテット)と呼ばれるウイルスへの感染を狙うメールについて」
2. 巧妙な手口で不正メールであることがわかりにくい
上述したようにエモテットの感染経路として用いられるメールの件名には、「Re:」や「Fwd:」などの文字が含まれていたり、当事者が通常やりとりでつかうような件名が付けられていたりします。
ほかにも2019年12月には賞与についての連絡、2020年1月には新型コロナウイルスに関連した保健所からの連絡を装うメールもありました。受信者が違和感なくメールを見て、クリックに誘導するような巧妙な手口がエモテットの被害を深刻化させています。
3. 不正ファイルのダウンロードを誘導する
正規サービスを装ってユーザ自身に不正なファイルをダウンロードさせる手口も被害拡大の要因として挙げられます。
具体的には、メール本文中のリンクをクリックすると、PDFファイル閲覧のためにはファイルのダウンロードが必要だと促され、知らず知らずのうちに不正ファイルをダウンロードさせるのです。
エモテット感染による被害は多岐に渡ります。各企業では社内外に被害が及ぶことを認知しておくことが大切です。
・重要な個人情報や企業秘密を盗み取られる
・ランサムウェアなどのマルウェアに感染する
・社内のほかの端末に感染拡大する
・エモテットばらまきの踏み台にされる
顧客の個人情報を盗み取られれば、企業の信用問題にかかわります。1つのパソコンからほかの端末へと感染し、被害が拡大することもあるでしょう。エモテットの感染対策を徹底するためにも、まずは組織内で感染リスクを周知しておくことが重要です。
重要な個人情報や企業秘密を盗み取られる
そもそも個人情報とは、生存する個人に関する情報のことです。氏名や生年月日、住所のほか、学歴やメールアドレスなども含まれます。
従業員の個人情報はもちろん、顧客の個人情報の漏えいは企業の信頼低下につながりかねません。従業員が企業に対し、不信感を抱くケースもあるでしょう。
エモテットに感染すると、認証情報やネットワーク内にある機密情報が外部へ流出する恐れがあります。企業の大小にかかわらず、事業所には個人情報保護法が適用されるため、漏えいが発覚した場合は「指導」または「勧告」処分を受けなければいけません。
盗み取られた個人情報や企業秘密が悪用されれば、被害が拡大するだけでなく損害賠償責任が発生する可能性も考えられます。
ランサムウェアなどのマルウェアに感染する
エモテットの感染をきっかけに、端末を人質に取るランサムウェアなどに感染する可能性があります。ランサムウェアは、感染した端末内のファイルを暗号化し、そのファイルを元に戻すことと引き換えに金銭を要求するマルウェアです。
エモテットに感染し、機密情報を窃取されたあとに端末がランサムウェアに感染すれば、端末内のどの情報が盗まれたのか、経緯や原因を調査することも不可能になるのです。
ランサムウェアとは何かを知りたい方はこちら
社内のほかの端末に感染拡大する
エモテットは自己増殖する機能を持っているため、組織内で爆発的に感染が拡大する恐れもあります。エモテットがいったん企業や組織のネットワーク内に侵入すれば、端末内に潜伏しながらアップデートを試み続けます。ネットワークで脆弱な部分があれば、そこを起点として感染を拡大させようと虎視眈々と狙っているのです。
Emotet(エモテット)ばらまきの踏み台にされる
エモテットに感染した端末から盗んだ認証情報が悪用され、メールのやり取り履歴がある宛先へ正規のメールを装ってエモテットのばらまき攻撃が行われます。各方面に送られたメールには同じようにエモテット感染を誘導するファイルやリンクが付けられており、被害はますます拡大していきます。
送り先の企業がエモテットばらまきの踏み台にされたことに気づけばすぐに注意喚起のメールを送らなければなりませんし、実際に被害が発生した場合には損害賠償にも発展します。被害者はすぐに加害者へと転じ、企業ブランドの低下にもつながります。
参考:大塚商会 「マルウェア「Emotet」に感染するとどうなる? 感染経路、確認方法について解説」
エモテットの被害はさまざまな企業に広がっており、民間企業だけでなく、教育機関や公的組織も標的になっています。また、大企業に限らず、中小企業も含めてエモテットから情報資産を守るための施策を講じることが必要です。
ここでは、実際にどのような被害があったのか、攻撃事例を紹介します。
1. 首都大学東京│メールの添付ファイルを教員が開封し感染
2019年10月、首都大学東京の教員のもとに実在する雑誌社を騙るメールが届きました。当該教員がメールに添付されたファイルを開封したところ、端末がエモテットに感染してしまいました。被害範囲はメールボックス内に保存されていた18,843件のメールに及びました。首都大学東京は学内に向けて同日に注意喚起を実施し、3日後には学外に向けてもホームページにより、注意喚起を掲載しました。
2. ライオン株式会社│従業員のPCがEmotet(エモテット)に感染
2022年2月、ライオン株式会社グループに所属する従業員のパソコンがエモテットに感染しました。結果として、同社メールサーバからメール情報が窃取され、同従業員を騙った不審メールが複数人に発信されてしまいました。ライオンはすぐに不審メールが同社の正規ドメインとは異なるものを使用していることを説明し、注意喚起を行いました。
3. テスコム電機株式会社│サーバからメール情報が窃取される
2022年2月、テスコム電機株式会社の従業員の端末がエモテットに感染し、メールアドレスを含むメール情報が窃取されました。調査の結果、同従業員を装った不審メールが送信されていることが分かりました。テスコムも正規ドメインを使用しているため、エモテットのドメインがそれとは異なることで見分けられることを情報発信しました。その結果、二次被害の拡大を抑えることができたようです。
4. NTT西日本│受託業務に使用しているPCがEmotet(エモテット)に感染
2022年3月、NTT西日本が受託している業務に使用しているPCがエモテットに感染しました。その後、過去のメール送受信情報として保存されていたメール情報が流出、不審メールが発信されている事実が確認されました。原因は添付されていたファイルで、受信した社員がマクロの実行を許可したところ、社内PCがエモテットに感染してしまいました。NTT西日本は端末をネットワークから切り離し、誤送信メールを開かないように注意喚起を行いました。
ここでは、エモテットに感染してしまったらどうすればよいのか、対処法を解説します。主な対処法は5つです。
1. 感染した端末をネットワークから切り離す
2. ネットワーク内の被害状況を調査する
3. メールアカウントのパスワードを変更する
4. ほかのマルウェアへの感染状況を確認する
5. すぐに公表し関係者へ注意喚起する
1. 感染した端末をネットワークから切り離す
エモテットは企業や組織のネットワーク内で爆発的に被害を拡大させていく可能性があります。そのため、感染したことが分かったら、直ちにその端末をネットワークから切り離しましょう。
2. ネットワーク内の被害状況を調査する
感染した端末をネットワークから切り離した上で、被害状況の調査を開始します。といっても、中小企業や情報セキュリティの専門部署がない企業の場合、自分たちでネットワーク内の被害状況を調査するのは事実上困難です。逆に専門的な知識がないにもかかわらず、調査しようとすれば、かえって感染被害を広げてしまうことにもなりかねません。
おすすめは専門業者に「フォレンジック調査」を依頼することです。フォレンジック調査とは、コンピュータなどの電子機器に残る記録の証拠保全や調査、分析を行うことです。エモテットに感染したことが分かった時点でできるだけ早くフォレンジック調査を行い、被害と影響の範囲を特定することで、原因を究明し、その後の対応もスムーズに行えます。
3. メールアカウントのパスワードを変更する
上述したようにエモテットの主な感染経路はメールです。そのため、感染拡大を抑えるためには感染が疑われる端末で使用していたメールアドレスのパスワードを変更する必要があります。ただ、同じ端末でパスワード変更すると、変更後のパスワードも窃取される可能性があるため、別の端末を使用しましょう。
4. ほかのマルウェアへの感染状況を確認する
エモテットはほかのマルウェア感染に誘導するためのプラットフォームの役割を果たします。そのため、エモテットだけでなく、ランサムウェアなどのほかのマルウェアに端末が感染して被害が拡大しないように調査を行わなければなりません。
5. すぐに公表し関係者へ注意喚起する
上述した感染事例はいずれもエモテット感染が発覚した時点で、いち早くプレスリリースなどを活用し、感染事実を公表したため、被害を最小限に抑えることができました。自社がエモテットに感染したことを公表すると、ブランド毀損や信用失墜につながるのでは、と不安に感じるかもしれません。しかし、その事実を隠蔽しようとし、後で被害が拡大した場合の影響ははかり知れません。とにかくすぐに関係者に公表し、注意喚起しましょう。
2022年4月1日には個人情報保護法が改正され、個人情報の漏えいが発生、または発生した可能性がある場合は、個人情報保護委員会への報告や本人への通知が義務化されました。報告義務は速報と確報(報告が求められている事項をすべて報告)に分かれており、速報は事態を把握した時点から5日以内、確報は事態を把握した時から30日以内に報告しなければなりません。
報告すべき項目は「漏えいが発生した、もしくは発生した可能性がある個人情報の項目(氏名、電話番号、メールアドレスなど)」、「漏えいした人数」、「原因」、「二次被害が発生するおそれ及びその内容」などであり、それらをできるだけ正確に把握するためには専門家への調査依頼が不可欠でしょう。
エモテットから企業が保有する情報資産を守るためには、普段からの対策が欠かせません。主な対策5つについて解説します。
1. OSやアプリケーションは常に最新の状態に更新する
2. マクロの自動実行を無効化する
3. メールの送信元を確認するよう心がける
4. 社内でエモテットへの共通認識を持つ
5. セキュリティ対策ソフトを導入する
1. OSやアプリケーションは常に最新の状態に更新する
マルウェアは古いOSの脆弱性を狙って攻撃することが多いため、OSやアプリケーションは常に最新の状態に更新しておきましょう。
OSにWindowsを使用しているのであれば、定期的にWindows Updateを実行しておくことが大切です。また、Windowsでは、セキュリティ更新プログラム(セキュリティパッチ)を公開しています。これは、ソフトウェアで発見された脆弱性や問題点など不具合を解決するプログラムです。ハッカーは常に企業のシステムやソフトウェアの脆弱性を狙うため、面倒だと感じてもセキュリティパッチを更新することは非常に重要です。
2. マクロの自動実行を無効化する
上述したように、エモテットへの感染経路は主にメールです。また、メールに添付されたファイルはWordやExcelファイルの「マクロ実行」によるものが多く確認されています。もし、WordやExcelのマクロ自動実行が有効であれば、無効化しておきましょう。
例えば、Wordであれば以下の手順でマクロの自動実行を無効化できます。
1. Wordを開いて「ファイル」をクリックする
2. 「オプション」を選択する
3. 「トラストセンター」もしくは「セキュリティセンター」を選択する
4. 「トラストセンター(セキュリティセンター)の設定」をクリックする
5. 「マクロの設定」を選択する
6. 「警告を表示してすべてのマクロを無効にする」を選択する
7. 「OK」をクリックする
3. メールの送信元を確認するよう心がける
エモテットの感染経路であるメールを不用意に開かないことが感染を防ぐために非常に重要です。ただ、件名やメールの文面は巧妙に偽装されているため、見分けるのは簡単ではありません。
見分けるための1つのポイントは、メールの送信元を確認することです。エモテットのばらまきメールは、送信元の「@」以下がフリーアドレスになっているなど、正規のメールアドレスではありません。そのため、いくら件名がそれらしいものであっても、メールの送信元と照らし合わせれば判別は可能です。
4. 社内でEmotet(エモテット)への共通認識を持つ
エモテットはビジネスパーソンなら普段の業務で頻繁に使っているメールやWord、Excelなどのビジネスツールを経由して広がります。そのため、経営層やセキュリティ担当者だけでなく、従業員ひとり一人がエモテットについて正しい知識を持つことが大切です。
具体的にはエモテットの感染経路や、疑わしいメールの見分け方、添付ファイルの扱い方や、もし万が一感染した場合の対処法などについて社内で共通認識を持っておくようにしましょう。
5. セキュリティ対策ソフトを導入する
セキュリティ対策ソフトの導入が必要なのはいうまでもありませんが、導入後も定期的なアップデートや、セキュリティパッチの配布をチェックするなどして、最新の状態に保つようにします。
セキュリティ対策ソフト以外にも、クラウドサービスのランサムウェアスキャン機能を活用するのもおすすめです。クラウド上でウイルスチェックをすることで、端末への負担が少なくなり、パフォーマンスの低下を防げます。また、セキュリティパッチをダウンロードして対処する方法だと新たな脅威に対してどうしてもタイムラグが生じてしまいますが、クラウド上のウイルスチェックであれば、より迅速に対応できます。つまり、セキュリティ面ではクラウドサービスのウイルス対策に軍配が上がるのです。
参考:サイバーセキュリティ.com 「ウイルスチェックはスピードが重要!クラウド上でウイルスチェックするメリット」(https://cybersecurity-jp.com/security-measures/8547)
セキュリティ対策について知りたい方はこちら
.png)
使えるねっとが提供する「使えるクラウドバックアップ」は、バックアップ機能だけでなく、企業にとって資産ともいうべき情報を保護し、使うための機能を1つにまとめたサービスです。
使えるクラウドバックアップはエモテットの感染対策にも有効です。その理由はAIベースのテクノロジーである「アクティブプロテクション」により、ファイルやバックアップデータ、バックアップソフトへの疑わしい改変を即座に検出できるからです。
また、脆弱性診断でシステムに問題がないかもチェックします。さらに、Petya、WannaCry、Osirisなど最新のランサムウェアからもシステムとデータを保護するため、既知のランサムウェアはもちろん、未知のランサムウェア攻撃を識別する際にも効果的です。
用途や容量に合わせて多彩なプランから選べる使えるクラウドバックアップは、月単価1,870円(税込)から利用可能です。30日間の無料トライアルも実施しているため、是非お気軽にお試しください。
.jpg)
(1)Emotet(エモテット)の主な感染経路は?
エモテットの主な感染経路は、メールの添付ファイルです。添付ファイルの多くはWordやExcelファイルなど、通常のメールで頻繁にやりとりすることから、感染を防ぐのが難しいと言われています。
(2)Emotet(エモテット)の新たな手口とは?
2023年3月にはMicrosoft OneNote形式のファイルを悪用してエモテットに感染する新たな手口が確認されました。ファイルの指示に従って「View」ボタンをダブルクリックすると、不正なファイルが実行されてしまいます。これまでエモテットの主な感染経路がWordやExcelファイルだったため、うっかりクリックしないように注意する必要があります。
(3)Emotet(エモテット)に感染した端末からウイルスを駆除する方法は?
エモテットによって端末がウイルスに感染した場合、最初にすべきなのは感染拡大を防ぐためにインターネット接続を切断することです。その後、PCをセーフモードで再起動し、すべての一時ファイルを削除します。この段階で、セキュリティ製品を使ってウイルススキャンを実行し、ウイルスを削除または隔離します。その後、PCを再起動し、今後攻撃を受けることがないようにすべてのパスワードを変更し、ソフトウェア、ブラウザ、OSも更新しましょう。
.jpg)
お電話でのお問い合わせはこちら:03-4590-8198
(営業時間:10:00-17:00)
今日、「ヒト」「モノ」「カネ」に加えて重要な経営資源として挙げられるのが「情報」です。中小企業が利益を最大化するためには、情報セキュリティ対策が欠かせません。
ここでは、情報セキュリティとは何か、中小企業が情報セキュリティに取り組まなければならない理由や企業が行うべきセキュリティ対策とそのポイントについて解説します。
クラウドバックアップについて知りたい方はこちら
目次
情報セキュリティ対策とは「情報の安全を守ること」
中小企業が情報セキュリティ対策を行う必要性
セキュリティトラブルの実例
企業が必ず行うべき5つのセキュリティ対策
企業が情報セキュリティ対策を行う際のポイント
情報セキュリティ対策にも役立つ「使えるクラウドバックアップ」
FAQ
.jpg)
情報セキュリティ対策とは「情報の安全を守ること」です。
企業はかつては情報を紙ベースで管理していたため、物理的に遮断することで情報の安全を確保できました。しかし、IT化が進み、情報はすべて電子的に管理されるようになりました。結果として、情報を保存した端末がインターネットにつながっている限り、常に外部から安全を脅かされるという状況に陥っています。
情報セキュリティを構成する3大要素
情報セキュリティは3つの要素から構成されています。
.png)
参考:「安心してインターネットを使うために 国民のためのサイバーセキュリティサイト」(総務省)
(https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/executive/02.html)を加工して作成
セキュリティ対策を怠ることで企業が被るリスク
セキュリティ対策を怠ることで企業が被るリスクには以下のようなものがあります。
・経済的不利益
・業務の停滞
・従業員のモラル低下
経済的不利益
セキュリティ対策を怠り、機密性が脅かされると企業が保有する顧客データや機密情報が流出する恐れがあります。それにより顧客や取引先が不利益を被れば、企業は膨大な額の損害賠償を請求されることになります。
また、情報セキュリティがかつてなく重視されているにもかかわらず、情報流出や不正アクセスが知られれば企業の信頼は失墜するでしょう。
業務の停滞
企業のシステムに外部から不正にアクセスされ事故が発生すると、被害拡大の防止や事故原因の調査が優先されます。その結果、インターネットを遮断したり、業務システムを停止したりすることになり、毎日の業務は停滞します。業務の停滞は納期の遅れや営業機会の損失につながり、企業は甚大な経済的不利益を被ります。
従業員のモラル低下
企業が一体になってセキュリティ対策に取り組まなければ、内部の従業員のモラル低下につながります。例えば、従業員による機密情報の不正持ち出しや不正操作、改ざんが発生するリスクを高めてしまいます。
また、セキュリティ上の事故が発生した際に管理職が責任をとらなければ、従業員エンゲージメントも低下するでしょう。
.jpg)
中小企業が情報セキュリティ対策を行うべきなのは、自ら不利益を被らないようにするためだけでなく、社会経済全体のためでもあります。
例えば、近年増加しているサイバー攻撃の一つに「サプライチェーン攻撃」があります。これは中小企業が大企業に比べてセキュリティ対策が希薄であることを利用した攻撃です。大企業のサプライチェーンである中小企業を踏み台にして、サイバー攻撃者は親会社や関連会社に攻撃の矛先を向けます。
2022年2月、大手自動車会社のサプライチェーンが攻撃されてマルウェア感染被害を受け、それに伴って国内14工場全28ラインが停止した事例は、中小企業にとって情報セキュリティ対策が喫緊の課題であることを突き付けました。
情報セキュリティトラブルの発生率
情報処理推進機構(IPA)セキュリティセンターが、2021年11月に全国の中小企業従業員1,000名を対象に実施した調査によると、過去3年間(2018年10月~2021年9月)にサイバーセキュリティ上の事故やトラブルを職場で経験した人は10.5%に上りました。
同調査によると、企業として事故やトラブルを社外に報告した事例は41%にとどまるとのことで、中小企業のセキュリティトラブルの発生率は、明るみに出ないものを含めればかなり高いことが想定できます。
情報セキュリティトラブルは規模の小さい企業ほど起こりやすい
2021年4月に行われた調査に基づき、日本政策金融公庫が2022年2月に公表したデータによると、社内ネットワークの不正アクセス対策は使用しているパソコンの台数が増えれば増えるほど進んでいることが明らかになりました。
パソコンの使用が1台のみの企業の場合、社内ネットワークの不正アクセス対策を講じている企業は41.3%で、「とっていない」と回答した44.2%を下回っていました。それに対し、パソコンを10台以上使用している場合、対策を「とっている」と回答した企業は全体の77.8%に達しました。
パソコンの台数と企業規模が必ずしも一致する訳ではありませんが、規模が小さい企業であればあるほど、情報セキュリティトラブルのリスクは高まることが伺えます。
.jpg)
ここでは、情報セキュリティ対策を怠ったために発生したトラブルの実例を4つ取り上げ、トラブルの内容、原因、被害について説明します。原因を把握することで、自社で同じセキュリティトラブルに巻き込まれないよう対策を講じることができるはずです。
顧客の氏名や住所・クレジットカード情報が流出した事例
【トラブルの内容】
アクセサリーを専門に扱う企業は、2022年9月に第三者による不正アクセスを受けた。
【原因】
同社が運営するオンラインショップのシステムの脆弱性が狙われ、ペイメントアプリケーションの改ざんが行われた。
【被害】
317件の顧客のクレジットカード情報が流出、オンラインショップは運営停止に追い込まれた。
標的型攻撃メールにより企業の重要情報が流失した事例
【トラブル】
端末のパソコンがウイルス感染し、企業の重要情報が流出した。
【原因】
従業員の電子メールアドレスに知人を装ったウイルス付きのメールが送られてきたが、それを不審なメールと疑わずに業務用のパソコンで開封した。
【被害】
重要な組織情報が盗まれた。
エモテットについて知りたい方はこちら
ファイル共有ソフトが原因でデスクトップが公開された事例
【トラブル】
インターネット上に業務用パソコンのデスクトップが公開され、顧客情報が流出した。
【原因】
業務用パソコンでファイル共有ソフトを使用。ダウンロードした音楽ファイルを開いた際にウイルス感染した。
【被害】
顧客情報が流出した。
サーバに外部から不正アクセスが行われ機密情報が流出した事例
【トラブル】
中学受験学習指導を行う進学塾は、Webサーバに対する不正アクセスを受けた。
【原因】
SQLインジェクションを利用した外部からの不正アクセス。
【被害】
最大約28万件のメールアドレスが流出。さらに流出したメールアドレスが悪用され、スパムメールやフィッシング詐欺メールなどが送付されるリスク。
参考:「安心してインターネットを使うために 国民のためのサイバーセキュリティサイト」(総務省)
(https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/case/index.html)を加工して作成
.jpg)
企業が必ず行うべきセキュリティ対策には以下の5つがあります。
1. パソコンやスマホなど端末機器への対策
2. ブラウザへの対策
3. サーバへの対策
4. 社員への対策
5. パスワード設定や共有制限など社内ルール上の対策
1つずつ解説します。
1. パソコンやスマホなど端末機器への対策
1つ目は端末機器のセキュリティを高めることです。
働き方改革やコロナ禍で導入されたテレワークにより、従業員が社内で使用している端末を持ち帰ったり、タブレットやスマホを出先で使用したりすることが増えました。従業員が使用するパソコンやスマホはネットワークの終端であり、「エンドポイント」と呼ばれます。エンドポイントはウイルスの入口となりやすく、ユーザのITリテラシーにも依存するため、不正アクセスやサイバー攻撃のリスクが高まります。
昨今の業務環境の変化を前提にしてセキュリティルールを策定し直し、セキュリティソフトのインストール、ソフトウェアのアップデートの徹底、パスコードやコード認証などを導入しましょう。
2. ブラウザへの対策
2つ目は安全なWebブラウザを実現することです。そのためには、企業側と従業員双方の対策が不可欠です。
企業としては、従業員が使用するWebブラウザの安全性を担保するために定期的にWebアプリケーション診断を実施し、自社のセキュリティ状況を把握しなければなりません。その上で第三者の不正アクセスを防ぐための適切なツールの導入を検討しましょう。
従業員側としては、使用しているWebブラウザのバージョンを定期的に確認・更新したり、パスワード等の自動入力の無効、ブラウザを閉じる際のキャッシュや履歴を自動でクリアするなどの設定をしたりしておきましょう。
参考:株式会社セキュアイノベーション 「セキュアなWebブラウジングを実現するには」
3. サーバへの対策
自社サーバを運用している場合、サーバのセキュリティ対策も不可欠です。サーバには業務システムやメールの送受信データ、顧客情報、生産管理情報など重要情報が保存されているからです。
サーバのセキュリティを高めるために定期的に更新されるセキュリティパッチを適用することで、新たなサイバー攻撃に対処できます。OSやソフトウェアの定期的な更新を忘れないようにしましょう。
また、サーバシステムのログ管理を行うことで、不正な操作や不審なエラーがないかを定期的にチェックします。
さらに退職者などの不要アカウントを定期的に削除することで、アカウントの不正利用による機密情報へのアクセスを未然に防げます。
4. 社員への対策
セキュリティ対策は企業の情報管理担当者だけが行うものではありません。全社一体となって取り組むためには、社員ひとり一人のセキュリティに対するリテラシーの向上が必要です。定期的に研修を行うなどして、すべての社員に当事者意識を持ってもらうようにしましょう。
5. パスワード設定や共有制限など社内ルール上の対策
パスワード設定や共有制限に関しては個人任せにするのではなく、社内ルールを策定しておきましょう。
例えば、ファイルを共有する際に機密性の高いデータに誰がアクセスできるのか、「閲覧のみ可能」、「閲覧・編集が可能」などの権限をどのような基準で付与するのかも決めておきます。また、ルールを策定しておくことで、IDやパスワードが人為的な原因で流出するのを防げます。
ただ、セキュリティを万全にしようとして厳しすぎる、非現実的なルールを作らないように気を付けましょう。現場にそぐわないルールを作っても、形骸化してしまい、結局セキュリティに穴が生じ、情報漏えいのリスクが高まるだけです。大切なのは、「なぜそうするのか」について、ルールの目的や趣旨について従業員が理解できるように周知することです。
企業が情報セキュリティ対策を行う際のポイントを3つ挙げます。
・セキュリティ対策は経営者主導で進める
・委託先の情報セキュリティトラブルも考慮して対策をとる
・会社に適したセキュリティツールをうまく活用する
セキュリティ対策は経営者主導で進める
情報セキュリティ上の事故が発生した場合、管理義務がある経営者は損害賠償を請求されるだけでなく、刑事罰の責任を問われる可能性もあります。例えば、個人情報やマイナンバーに関する違反の場合は個人情報保護法、マイナンバー法違反に問われますし、個人情報保護委員会による立ち入り検査を受ける責任もあります。
加えて、経営者はセキュリティ対策を怠ったゆえに業績悪化などの経営責任も問われます。責任を負うべきなのは主に経営者なのですから、セキュリティ対策は経営者主導で進めるのが筋でしょう。
委託先の情報セキュリティトラブルも考慮して対策をとる
生産性向上や業務拡大を目的として、業務の一部を委託するビジネスモデルも増えていますが、その場合、委託元は委託先の情報セキュリティトラブルの管理も行う必要があります。
そのためには委託先と委託元との統一したセキュリティポリシーやルールを策定しておくことが必要です。また、委託する前には委託先が本当に信頼できるか十分な調査が必要ですし、委託することを決定した場合には委託契約、秘密保持契約書を締結し、自社が求めるセキュリティ上の要求事項を明確にしておきましょう。
参考:株式会社日本パープル 「委託先管理の基本。情報セキュリティ事故を防ぐために」
会社に適したセキュリティツールをうまく活用する
セキュリティツールは会社に適したものを選びましょう。
例えば、会社の業態や規模、従業員数、パソコンの台数などによって、適切なセキュリティソフトは異なります。また、一般的にセキュリティソフトは機能が多ければ多いほど、サポートが厚ければ厚いほどコストがかかります。初期コストだけでなく、ランニングコストも考慮して費用対効果を検証する必要があるでしょう。
(1).png)
使えるねっとの「使えるクラウドバックアップ」は情報セキュリティ対策にも効果的です。その特徴をご紹介します。
脆弱性診断やマルウェア対策など万全のセキュリティ対策
使えるクラウドバックアップの「アクティブプロテクション」は、ファイル、バックアップデータ、バックアップソフトへの疑わしい改変を即座に検出・遮断します。既知のランサムウェアはもちろん、未知のランサムウェアの攻撃も識別してくれます。
ランサムウェアに感染!アクティブプロテクションを使用した場合/使用しなかった場合の、検証ビデオはこちら
サイバー攻撃対策やパッチ管理まで、クラウドバックアップの多彩な機能を知りたい方はこちら
障害発生時もボタンひとつでデータを復元
使えるクラウドバックアップは、データが不正アクセスやウイルスの被害を受けた場合、ボタンひとつでデータを復元してくれます。追加コストは復旧データサーバの稼働した時間だけです。
※データ復元は、使えるクラウドバックアップのオプション機能(ディザスタリカバリオプション)で利用可能な機能です。
ディザスタリカバリについて知りたい方はこちら
管理者アカウントから社内の別デバイスを一元管理
使えるクラウドバックアップでは、社員が使用するデバイスのアプリケーションやシステム、データの状態を把握し、管理者はWeb管理画面上で設定変更を行えます。
中小企業にとって、情報セキュリティ対策は急務です。
用途や容量に合わせて多彩なプランから選べる使えるクラウドバックアップは月単価1,870円(税込)から、30日間の無料トライアルも実施していますので、お気軽にお問合せください。
使えるクラウドバックアップのサービス詳細ページはこちら>>
.jpg)
(1)情報セキュリティ対策を強化するメリット・デメリットは?
情報セキュリティ対策を強化する最大のメリットは、情報を安全に守れることです。また、情報セキュリティを強化するプロセスで、社内の業務フローや組織を見直すことになり、無駄を減らし、コスト削減にもつながります。
デメリットは、ルールが増えることで、業務の遂行が滞る可能性がある点です。
(2)セキュリティ管理者の役割は?
セキュリティ管理者の役割は、経営方針に基づき、情報セキュリティに関する組織全体のルールや施策を現場の実態に合わせて推進することです。
(3)一般的な情報セキュリティの組織体制は?
上述したように情報セキュリティの責任者は情報管理部門ではなく、経営者です。大規模な組織の場合は、経営者が策定した方針に従って、情報管理部門が施策をきちんと推進しているかチェックするための内部監査責任者や外部の専門家を置きます。
.jpg)
お電話でのお問い合わせはこちら:03-4590-8198
(営業時間:10:00-17:00)
企業が取り組むべきリスクマネジメントとして、最上位に挙げられるのがサイバー攻撃対策です。
ここでは、サイバー攻撃の定義や目的、最新動向や代表的種類を理解した上で、企業がとるべき効果的な対策について解説します。
クラウドバックアップのおすすめサービスについて知りたい方はこちら
クラウドバックアップについて知りたい方はこちら
目次
サイバー攻撃とは?
攻撃者がサイバー攻撃を行う目的
サイバー攻撃の最新動向
【2022年最新】日本企業のサイバー攻撃の被害事例
サイバー攻撃の代表的な種類
企業が必ず行うべきサイバー攻撃への対策
サイバー攻撃対策に役立つ「使えるクラウドバックアップ」
FAQ
サイバー攻撃とは、パソコンやスマートフォン、サーバなどに対し、システムの破壊、データの改ざんや窃取を目的として、ネットワークを通じた悪意をもってなされる行為のことです。
サイバー攻撃の対象は企業だけに限らず、個人のほか不特定多数を無差別に攻撃する場合もあり、その目的や手段もさまざまです。
企業が保有する個人情報や機密情報がますます膨大になり、資産としての価値も増していることから、サイバーセキュリティは担当部署だけの取り組みではもはや不十分です。むしろ、企業は経営課題としてとらえ、各部署が連携して一体となって対策を講じるべきです。
サイバー攻撃は誰によって行われるのか
サイバー攻撃を行う主体はさまざまです。金銭の窃取や詐取を目的とした犯罪者・犯罪グループ、機密情報を狙う諜報員や産業スパイ、悪意ある組織(ハッカー集団など)のメンバーなどが含まれます。
サイバー攻撃は金銭目的以外にも、企業のイメージダウンを狙った犯行もありますし、自らの政治的、社会的主張に基づき政府機関を攻撃するケースもあります。さらには、単に世間を騒がせる愉快犯的なものも見られます。
警察庁「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」(2021年3月発表)によると、不正アクセス行為の被疑者(令和2年)の44.8%が20~29歳、20.9%が14~19歳で、犯行が低年齢化しているのが近年の特徴です。
かつては専門的な知識が必要とされたサイバー攻撃ですが、最近では、ランサムウェア攻撃に必要なツールがすべて含まれたキット「RaaS(サービスとしてのランサムウェア)」が安価で手に入るようになりました。そのため、特別なスキルがない素人でも企業を脅かすサイバー攻撃が行えるようになり、その敷居は年々下がっています。
サイバー攻撃の対象
サイバー攻撃の対象は、大きく分けて組織と個人の2つに分けられます。サイバー攻撃が金銭目的の場合、企業が攻撃対象になることが多いですが、別の社会的、政治的目的を持って、政府や行政機関など公的組織が攻撃されることもあります。
また、個人を対象にする場合は、特定個人だけでなく不特定多数を狙ったサイバー攻撃もあります。
参考:「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」(警察庁)
(https://www.npa.go.jp/cyber/pdf/R030304_access.pdf)を加工して作成
上述の通り、攻撃者がサイバー攻撃を行う目的はさまざまですが、主な3つについて具体的に説明します。
情報・金銭の窃取や売買により利益を収奪する
攻撃者がサイバー攻撃を行う目的の多くは、情報・金銭を収奪し、売買などにより利益を得ることです。
前出の警察庁「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」(2021年3月発表)によると、令和2年に検挙された不正アクセス禁止法違反の動機別内訳で最も多かったのは、「不正に経済的利益を得るため」(46.8%)で、「顧客データの収集等情報を不正に入手するため」(23.6%)、「好奇心を満たすため」(13.3%)、「嫌がらせや仕返しのため」(9.7%)と続きます。
この調査結果から分かるように、サイバー攻撃のほぼ半分は経済的利益を得るために行われます。令和元年度版の「情報通信白書」は、米国シンクタンクの戦略問題研究所がMcAfeeの協力を得て行った分析結果を引用していますが、それによると2017年にサイバー攻撃により生じた損害は全世界で6,080億ドルになったとのことです。
また、同白書によると、企業がサイバー攻撃を受け、情報流出等の適時開示を行ったところ、企業の株価は平均10%下落し、純利益は平均21%減少しました。
参考:「令和元年版情報通信白書 サイバー攻撃等の経済的損失」(総務省)
(https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r01/html/nd113320.html)を加工して作成
競合や敵対する組織の信用を失墜させる
サイバー攻撃は、企業が競合他社の、あるいは国家が敵対する組織の信用を失墜させるためにも行われます。
例えば、近年ランサムウェア攻撃で身代金を支払わない企業が増加しているため、盗んだデータを競合企業に販売するサイバー攻撃グループもあるとのことです。
また、2010年に米国とイスラエルがStuxnet(スタックスネット)というマルウェアを使用してイランの核施設を攻撃して以来、国家も間接的に資金を提供してハッカーを雇い、敵対する組織を標的にしたサイバー攻撃を行っています。具体的には、スパイ活動や敵対する国家の重要インフラや企業を攻撃したり、国内の政治的意見を混乱させるために偽情報を拡散したりしています。
人々の認知や意思決定に対して影響を与える
さらにサイバー攻撃によって、人々の認知や意思決定に影響を与えようとする集団もいます。ハッキングによって政治的意思表示を行う「ハクティビスト」と呼ばれる人たちです。
2010年代初め「アノニマス」などのハッカー集団で知られたハクティビストですが、国家間の機密文書を窃取し、流出させるなどの手法で言論の自由を守ると主張しています。
また、敵対する国家によって同様のサイバー攻撃がなされることもあります。例えば、2019年の英国総選挙の際に、米英自由貿易協定に関する政府の機密文書が盗み出され、SNSを通じて情報が流出しました。英国政府は、ロシアが同選挙に干渉しようとしていたことは間違いないと結論したとのことです。
最近増加しているサイバー攻撃として、個人を対象にしたものではフィッシング詐欺、企業を対象にしたものではランサムウェア攻撃が挙げられます。
フィッシング詐欺とは、実在するECサイトの名前などで電子メールやショートメッセージを使ってリンクを送信し、偽のWebサイトに接続させてクレジットカード番号などの個人情報を窃取する手法です。
フィッシング対策協議会が公表している「フィッシングレポート」等によれば、2021年中のフィッシング報告件数は52万6,504件で、2020年の22万4,676件に比べて倍以上に増加しています。
出典:日本サイバー犯罪対策センター
ランサムウェアとは、サイバー攻撃によって対象組織のシステムやデータを使用できなくした上で、復旧と引き換えに多額の身代金を要求するサイバー攻撃のことです。
警察庁が2022年4月に公表した「令和3年におけるサイバー空間をめぐる脅威の情報等について」によると、企業・団体等におけるランサムウェア被害は、2021年中に都道府県警察から警察庁に報告があった件数は146件(上半期61件、下半期85件)で、2020年下半期の21件から右肩上がりで増加しています。
参考:「令和3年におけるサイバー空間をめぐる脅威の情勢等について」(警察庁)
(https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_cyber_jousei.pdf)を加工して作成
サイバー攻撃関連の通信がこの10年間で約33倍に
サイバー攻撃関連の通信は2012年からの10年間で約33倍になりました。
国立研究開発法人情報通信研究機構(NICT)サイバーセキュリティネクサスによると、2021年に観測されたサイバー攻撃関連通信は合計5,180億パケットに上り、1IPアドレス当たり約175万パケットが1年間に届いた計算になります。これは2012年の53,206パケットの約33倍にあたります。
リモートワーク環境の脆弱性を狙った攻撃が急増
コロナ禍で増えたリモートワーク環境の脆弱性を狙ったサイバー攻撃も急増しています。
IPA(情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」によると、「テレワーク等のニューノーマルな働き方を狙った攻撃」は2021年は第3位、2022年は第4位にランクインしました。
リモートワークがセキュリティ環境の脆弱性を生む一つの理由は、個人所有の端末の利用です。オフィスで使用していた企業所有の端末ほどセキュリティ環境が高くなく、マルウェア感染のリスクが高くなります。
また、脆弱性対策が不十分なVPN機器を利用し続けると、サイバー攻撃の対象となるリスクが高まり、認証情報や組織の機密情報が外部に流出する被害に遭う恐れがあります。
2022年に発生した国内企業・組織を標的にしたサイバー攻撃のうち、注目すべきなのは3月に発生した大手自動車メーカーへのサプライチェーン攻撃です。自動車部品メーカーがランサムウェア攻撃を受け、データが暗号化されました。それをきっかけとして国内大手自動車メーカーへの部品供給が滞り、結果的に国内14工場28ラインの稼働が1日ほど停止しました。
中小企業であった部品メーカーへの攻撃をきっかけとして、親会社や取引先にまで影響を与えた事例で、どの企業でもサイバー攻撃を受ける可能性があり、セキュリティ対策を経営課題としてとらえるべきことを銘記させられました。
また、市民の健康を支えるインフラである医療機関を狙ったサイバー攻撃も増加しています。2022年10月には、沼津市の医療機関の電子カルテアプリがランサムウェアによって暗号化され起動しなくなりました。また同月には大阪府にある大阪急性期総合医療センターが、同じくサイバー攻撃により電子カルテが閲覧不能になりました。
参考:株式会社サイバーセキュリティクラウド 「【2022年最新】日本企業のサイバー攻撃被害事例|トレンドや対策を知ろう」
ここでは、代表的なサイバー攻撃を紹介します。サイバー攻撃の種類を理解しておくことで、適切な対策を講じることが可能になるはずです。
マルウェア感染
マルウェアとは、ユーザの端末に不利益をもたらすソフトウェアやコードの総称です。マルウェアに社内のパソコンやサーバが感染すると、データが破壊され、閲覧・使用が不能になります。また、端末内の機密データや顧客情報が抜き取られる可能性もあります。そうなると、被害者からの損害賠償請求や刑事罰に課されることにもなりかねず、被害は甚大です。
マルウェアについて知りたい方はこちら
エモテットについて知りたい方はこちら
ランサムウェア攻撃
上述した通り、ランサムウェアとは、サイバー攻撃によって対象組織のシステムやデータを使用できなくした上で、復旧と引き換えに多額の身代金を要求するサイバー攻撃のことです。
ランサムウェアについて知りたい方はこちら
標的型攻撃
標準型攻撃とは、「高度サイバー攻撃」とも呼ばれ、明確な目的を持って特定のターゲットを狙って行われるサイバー攻撃を指します。従来型が不特定多数を対象にしていたのとは対照的に、特定の企業や組織を対象に段階的かつ執拗に攻撃する点が特徴で、従来のセキュリティソフトでは検知できず、対策が困難だといわれています。
DoS攻撃・DDoS攻撃
DoS(ドス)攻撃とは、悪意をもってサーバに大量のデータを送り付け、アクセスを集中させることでサーバをパンクさせる攻撃のことです。 DDoS(ディードス)攻撃は、DoS攻撃の進化版で、複数のIPから大量のアクセスを送るため、犯人を特定することが難しく、対策がより困難です。
ビジネスメール詐欺
ビジネスメール詐欺とは、海外の取引先や自社の職位の高い経営層になりすまして、偽の電子メールを送り、送金を促す詐欺のことです。近年、金銭被害が多額になる傾向があり、日本国内でも増加しています。
SQLインジェクション
SQLとは「Structured Query Language」の略称で、多くのWebサイトやECサイトで使用されているデータベースサーバを操作する「命令文」のことです。そのため、SQLインジェクションの脆弱性が攻撃されると、外部からデータベースを操作され、個人情報や機密情報が漏えいしたり、Webサイトが改ざんされたりします。
ゼロデイ攻撃
ゼロデイ攻撃とは、ソフトウェアの脆弱性が発見され修正パッチが公開される前(ゼロデイ)のタイミングで仕掛けられるサイバー攻撃です。修正プログラムが適用されていない状態で攻撃を受けるため、対策は困難です。
クロスサイト・スクリプティング(XSS)攻撃
クロスサイト・スクリプティング(XSS)攻撃とは、Webサイトの脆弱性を狙い、ターゲットを悪質なサイトへ誘導するスクリプトを埋め込むことで個人情報を窃取したり、マルウェア感染させたりする攻撃です。
フィッシング
フィッシング詐欺とは、実在するECサイトの名前で電子メールやショートメッセージを使ってリンクを送信し、偽のWebサイトに接続させてクレジットカード番号などの個人情報を窃取する手法です。上述したように個人を対象にしたフィッシングは年々増加しています。
IPAが公開した「(個人を対象にした)情報セキュリティ10大脅威2022」の第1位が「フィッシングによる個人情報の詐取」であり、2021年も第2位でした。
サプライチェーン攻撃
サプライチェーン攻撃とは、標的とする企業を直接標的とするのではなく、サプライチェーンを狙うことです。その理由は、一般的にサプライチェーンは親会社よりもセキュリティ対策が手薄だからです。事例の部分で取り上げたようにその被害はグループ企業や取引先全体に拡大し、甚大になります。
Webサイトへの不正アクセス・改ざん
サイバー攻撃者はWebサイトの脆弱性を狙い不正アクセスを試みると、その中の情報を改ざんしたり、情報を窃取したり、データを消去したりします。また、Webサイトのリンクやファイルの参照先を不正に書き換え、訪問者をウイルスに感染させます。
今やホームページは企業の「顔」ともいうべき存在ですから、その中の情報が不正確だったり、利用者が被害を受けたりすることになれば、企業のイメージダウンは避けられません。
リモートワークを狙った攻撃
リモートワークを狙った攻撃は増加しており、VPN機器や端末の脆弱性を狙ったもの以外にも、RDP(リモートデスクトップ)使用もマルウェアなどの感染のリスクを高めます。RDPは離れた場所で端末にアクセスできる便利な機能ですが、内部の利用者だけでなく、外部の第三者の侵入経路にもなってしまいます。
パスワード関連の攻撃
パスワード関連の攻撃にはいくつかのパターンがありますが、よく知られているものに「ブルートフォースアタック(総当たり攻撃)」があります。
パスワードはアルファベットや数字、記号などの組み合わせのため、そのあらゆる組み合わせを試せば必ずログインできます。現在は誰でも手に入れることができるツールが普及しており、単純なパスワードではあっという間にパスワードが解析されてしまいます。
例えば、数字+アルファベット大文字+小文字の6文字の組み合わせであれば、約1秒で解析されてしまいますが、記号を加えて10文字の組み合わせにすれば解析には5年かかります。
内部不正による故意の情報漏えい
サイバー攻撃は外部の犯罪者によるものとは限りません。企業や組織の内部の人間が経済的利益を得ることを目的として、あるいは個人的な恨みを動機として、故意に情報漏えいさせることもあります。
参考:サイバーセキュリティ.com 「サイバー攻撃とは?その種類・事例・対策を把握しよう」
(https://cybersecurity-jp.com/column/14651#05)
サイバー攻撃への対策は、企業の経営課題でも優先事項に置くべきものです。ここでは、企業が必ず行うべき3つの対策について説明します。「備えあれば患いなし」という言葉が示す通り、前もって対策を講じておくことで、取り返しのつかない被害が発生することを未然に防ぐことができます。また、各従業員にサイバー攻撃に対する危機意識を持たせることも可能です。
パソコンやブラウザへの対策
経営層は今一度自社のセキュリティポリシーを見直し、社内のセキュリティ体制を万全にするためにどの分野にどれだけの投資をするかを決めるべきです。明確な方針の策定があってはじめて、情報管理担当者は具体的な対策をとることができます。
その中には、端末で使用しているOSやソフトウェアのアップデート、セキュリティポリシーに適合するセキュリティソフトの導入、安全な無線LAN機器の管理などが含まれます。
サーバへの対策
自社でサーバを運用している場合、情報管理担当者はWebサーバで利用しているOSやソフトウェアの脆弱性対策、運用アカウントの管理の徹底、ログ監視の強化などの対策も必要です。
また、定期的にセキュリティ診断を実施することで、サーバやネットワークの脆弱性をみつけることができ、早めの対策が可能になります。情報セキュリティ専門家による診断サービスを利用するのも一つの方法です。
参考:「安心してインターネットを使うために 国民のためのサイバーセキュリティサイト」(総務省)
(https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/business/business_admin_11.html)を加工して作成
社員への対策
全社的にサイバー攻撃対策に取り組むためには経営層や担当者だけではなく、すべての社員のセキュリティ意識を向上させることが不可欠です。定期的なセキュリティ教育や研修を実施し、ひとり一人が当事者意識を持つことが大切といえるでしょう。
.png)
使えるねっとが提供する「使えるクラウドバックアップ」はサイバー攻撃対策にも有効です。その理由を3つ説明します。
データスキャンでウイルスを検出
「アクティブプロテクション」はAIベースのテクノロジーで、ファイルやバックアップデータ、バックアップソフトへの疑わしい改変を即座に検出し、データを復旧することで大切なデータを保護します。
脆弱性診断でセキュリティ対策としても安心
バックアップデータと同時にシステムに問題がないか脆弱性診断も行います。
未知のランサムウェア攻撃を識別する際にも非常に有効
Petya、WannaCry、Osirisなどの最新のランサムウェアからもシステムとデータを保護するので、既知のランサムウェアはもちろん、未知のランサムウェアの攻撃を識別する際にも効果的です。
大企業だけでなく、中小企業にとってもサイバー攻撃対策は喫緊の課題です。
用途や容量に合わせて多彩なプランから選べる使えるクラウドバックアップは月単価1,870円(税込)から、30日間の無料トライアルも実施しています。
※本文の一部について、独立行政法人情報処理推進機構 「情報セキュリティ10大脅威 2022」
(https://www.ipa.go.jp/security/vuln/10threats2022.html)を基に作成
.jpg)
(1)サイバー攻撃の流れは?
2000年代を境にサイバー攻撃の流れは大きく変化しました。以前は個人の攻撃者が不特定多数を攻撃していましたが、現在は標準型攻撃が増え、サイバー犯罪者が組織化されています。
具体的には依頼者の要請に応じて、事前調査、マルウェア作成、マネタイズ、マネジメント担当者がアンダーグラウンドのマーケットで集められ、綿密な計画が立てられ、サイバー攻撃が実行されます。
(2)実際にサイバー攻撃を受けた場合はどう対応するべき?
サイバー攻撃を受けたら、警察・弁護士などに連絡します。また、被害が拡大しないよう技術的な対策が求められるため、外部のセキュリティ専門家にいちはやく連絡することも欠かせません。
(3)2021~22年中、サイバー攻撃が集中した時期は?
帝国テータバンクが2022年3月に発表したデータによると、22年2月中旬から3月中旬にかけてサイバー攻撃を受けた企業が3割に上り、攻撃を受けた時期として最も多かったようです。この時期は、事例の部分で触れた大手自動車メーカーへのサプライチェーン攻撃が発生した時期でもありました。
.jpg)
お電話でのお問い合わせはこちら:03-4590-8198
(営業時間:10:00-17:00)
日常会話ではあまり使いませんが、情報セキュリティについて論じる際には必ずといってよいほど登場する言葉に「脆弱性」があります。
分かっているようで、意外ときちんと理解していない脆弱性が今回のテーマです。そもそも脆弱性とは何なのか、脆弱性を放置しておくことが非常にリスキーなのはなぜか、企業が行うべき対策について事例も含めて説明します。
クラウドバックアップのおすすめサービスについて知りたい方はこちら
クラウドバックアップについて知りたい方はこちら
目次
脆弱性(ぜいじゃくせい)とは
企業が脆弱性を放置しておくリスク
脆弱性を突かれた企業のサイバー攻撃事例
企業が行うべき4つの脆弱性対策
脆弱性対策に役立つ「使えるクラウドバックアップ」
FAQ
脆弱性とは、情報セキュリティ上の欠陥のことです。
建物のセキュリティに不備があれば、不審者が侵入し、金品を奪ったり、施設内の設備を破壊したりするリスクがあります。それと同じように、コンピューターのOSやソフトウェアに情報セキュリティ上の欠陥があれば、不正アクセスやマルウェアなどの悪意ある攻撃にさらされやすくなります。
脆弱性が発生してしまう原因
脆弱性が発生する原因として以下の3つが考えられます。
・コーディングや設定などのミス
・設計上の欠陥や予測不足
・新たな攻撃方法
以下でひとつずつ説明します。
コーディングや設定などのミス
コーディングとは、設計されたプログラムをプログラミング言語で記述することを指します。ソフトウェアやOSの開発過程では、バグ(不具合)が必ず発生するため、テストが繰り返されます。しかし、人為的なミスによりセキュリティ上不可欠な設定が漏れることがありえますし、開発段階で将来起こりうるあらゆる攻撃を想定してテストすることは事実上不可能です。
設計上の欠陥や予測不足
開発の上流工程である「設計」段階でのミスが原因になることもあります。設計から実装、運用と開発の工程は進められていくため、上流工程で脆弱性が発生した場合、下流工程でそれを修正することは困難です。それはあたかも歪んだ土台の上に家を建てていくようなものです。
新たな攻撃方法
バグを完全に排除したソフトウェアが開発されたとしても、開発段階では予想しえなかったサイバー攻撃の手法が生み出されれば対処のしようがありません。それは、免疫のない未知のウイルスに対して私たちの体が無防備なのと同じです。
参考:ベアケア 「脆弱性とは? 脆弱性の原因とリスク、対策について解説」
完全に脆弱性を対策することはできない
ソフトウェアの脆弱性を完全に排除できると考えるのは、病気にかからない身体を期待するようなものです。
上述したように、そもそも完全なソフトウェアを設計したり、プログラミングやコーディングを行うことは実際は不可能です。また、仮に完全なソフトウェアがリリースされたとしても、開発時には予想しようもなかったウイルスが生まれれば、その攻撃には無防備な状態になってしまいます。
プログラムやシステムの脆弱性は完全に排除できませんが、対策をせずにそのまま放置しておくと企業の情報資産はさまざまなリスクにさらされることになります。
ここでは、以下の4つのリスクを取り上げます。
1. ネットワークやクラウドに侵入される
2. マルウェアに感染してしまう
3. 情報を改ざんされる
4. データを盗聴される
ひとつずつ解説します。
リスク1. ネットワークやクラウドに侵入される
プログラムに脆弱性があると、サイバー攻撃者はネットワークやクラウドに侵入します。
具体的には、悪意のあるプログラムが組み込まれた添付ファイルをメールなどで送付するなどしてきます。セキュリティの意識が低いと、安易にそうした添付ファイルは開かれ、プログラムが実行され、内部ネットワークへ侵入されてしまうのです。
侵入後、サイバー攻撃者は以下で説明するマルウェア感染、情報改ざん、データ盗聴などを試みます。
リスク2. マルウェアに感染してしまう
脆弱性を突いた侵入後、企業のシステムやソフトウェアはマルウェアに感染するリスクがあります。マルウェアとは、「malicious(悪意のある)」と「software(ソフトウェア)」を組み合わせた単語であり、不正かつ有害な動作をするように悪意をもって開発されたプログラムやソフトウェアのことです。
具体的には、近年被害が増大しているランサムウェアによって、コンピューターをロックしたり、ファイルを暗号化したりして、企業活動を遂行不能に陥れます。また、企業が保有している重要な顧客個人情報が流出する可能性もあります。個人情報保護に関して企業が求められる責任は年々高まっているため、脆弱性を放置しておくと企業の信用失墜につながり、取り返しのつかない結果になりかねません。
マルウェア対策について知りたい方はこちら
エモテットについて知りたい方はこちら
リスク3. 情報を改ざんされる
マルウェアに感染した企業の端末内の情報は改ざんされる恐れもあります。
近年、FTPアカウントが盗まれることにより、企業のWebサイトが改ざんされるケースが増大しています。FTP(File Transfer Protocol=ファイル転送プロトコル)とは、Webページを公開する際に使用されるもので、作成したファイルをサーバにアップロードすることができます。
つまり、このFTPアカウントが乗っ取られれば、サイバー攻撃者は思いのままにWebページを改ざんしたり、悪意のあるプログラムが組み込まれたファイルをアップロードしたりすることができるというわけです。その結果、攻撃を許した企業は被害者であると同時に、多くのユーザに対する加害者にもなってしまうでしょう。
リスク4. データを盗聴される
企業が保有するデータ量は増大するとともに、その重要性も年々増しています。サイバー攻撃者はその情報資産を盗聴しようと虎視眈々と狙っています。
脆弱性を狙った攻撃手法のひとつに「クロスサイト・スクリプティング」があります。2020年のIPA(情報処理推進機構)の調査によると、Webサイトの脆弱性の種類別届出状況において半数以上の58%がこの「クロスサイト・スクリプティング」だったようです。
これは、脆弱性のあるWebサイトに不正なスクリプトを組み込み、ユーザが開いたときに作動するようにするものです。不正なプログラムが実行されれば、サイバー攻撃者はそのユーザになりすましてログインできるようになります。もし、そのサイトがECサイトであれば、クレジットカード情報を不正利用して、買い物することも可能です。
ここでは実際に脆弱性を突かれ被害を受けた企業の事例を3つ紹介します。脆弱性を狙った攻撃にはトレンドがあることから、情報収集が非常に重要です。
メモリー破損の脆弱性を突いた「ゼロデイ攻撃」
ゼロデイ攻撃とは、ソフトウェアなどの脆弱性が発見されて、ベンダー側が情報公開や対策を講じる前に、行われる攻撃のことです。発見から時間が経過しないうちになされることから「ゼロデイ攻撃」と呼ばれます。
かつてMicrosoft社のInternet Explorer9と10にメモリー破損の脆弱性が見つかりました。現在ではすでにセキュリティパッチが発行されていますが、この脆弱性を突いて、サイバー攻撃者はシステムに侵入、データの改ざんを行ったり、すべての権限を持つユーザを勝手に作成したりしました。
Adobe Flash Playerを悪用した脆弱性攻撃ツール
Webブラウザ上でゲームや動画コンテンツを楽しむためのソフトウェア「Adbe Flash Player」は2020年をもってサポートが終了しましたが、その主な理由がたびたび報告されていた脆弱性でした。
例えば、2015年9月にアドビシステム社は23項目もの脆弱性を修正し、更新版をリリースしたものの、同年10月にはゼロデイ攻撃を受け、サイバー犯罪組織に利用されたといわれています。
巧妙かつ悪質な変化を繰り返す「ランサムウェア攻撃」
近年急増しているサイバー攻撃のひとつがランサムウェア攻撃です。
警察庁が2022年9月に発表した報告によると、2022年上半期に都道府県警察から警察庁に報告があったランサムウェア被害件数は114件で、2021年下半期85件に比べ急増しました。
同報告によると、そのうち12件は復旧まで1カ月以上を要し、27件が復旧や調査に1,000万円以上の費用を要したとのことです。脆弱性を放置するコストは高くつくことがお分かりいただけるでしょう。
参考:大興電子通信株式会社 「【企業が震撼したサイバー攻撃事例】 防ぐことはできたのか? 原因&対策まとめ」
参考:キヤノン サイバーセキュリティ情報局 「Adobe Flashを利用し続けると、どのような危険があるのか?」
出典:「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」(警察庁)
(https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_kami_cyber_jousei.pdf) を加工して作成
完全には取り除けない脆弱性ですが、対策は可能ですし、不可欠です。ここでは、企業が行うべき以下4つの脆弱性対策について説明します。
1. 脆弱性対策ツールやサービスを利用して情報収集を行う
2. 脆弱性診断(セキュリティ診断)を定期的に実施する
3. ハードウェア・ソフトウェアは常に適切に管理する
4. セキュリティツールの力を借りる
ひとつずつ説明します。
1. 脆弱性対策ツールやサービスを利用して情報収集を行う
脆弱性対策ツールやサービスを利用して、自社が使用しているソフトウェアの脆弱性に関する発表、発見された新しいサイバー攻撃などに関して情報収集を行います。
孫子兵法に「彼を知り己を知れば百戦殆(あやう)からず」という言葉がありますが、セキュリティ対策にも当てはまります。サイバー攻撃に適切に対処するためには、自社の脆弱性とともに、敵であるサイバー攻撃者の新たな手法についても、常に気を配っておかなければなりません。
情報収集に活用できるツールとしては以下のようなものがあります。
JVN iPedia(脆弱性対策情報データベース)
JVN(Japan Vulnerability Notes)とは、日本で使用されているソフトウェアなどの脆弱性に関する情報提供を目的としたポータルサイトです。
2004年7月からJPCERTコーディネーションセンターと独立行政法人情報処理推進機構IPAが共同で運営し、脆弱性が確認された製品とバージョン、製品開発者によって提供された対策などを掲載しています。
https://jvn.jp/nav/jvn.html
JPCERT/CC
JPCERT/CCとは、インタ―ネットを介して発生する侵入やサービス妨害などのコンピューターセキュリティインシデントについて、インシデント報告や対応の支援、再発防止のための助言などを行っている組織です。
https://www.jpcert.or.jp/
2. 脆弱性診断(セキュリティ診断)を定期的に実施する
情報の定期的なアップデートと同時に、自社システムの脆弱性を把握するために、セキュリティ診断を実施するのもよいでしょう。
セキュリティ診断には有料、無料のものがあります。有料版のツールはコストがかかりますが、診断後の専門家の知見やアドバイスを提供してもらえるメリットがあります。上述したJPCERT/CCも定期的な脆弱性診断を推奨しています。
3. ハードウェア・ソフトウェアは常に適切に管理する
ソフトウェアだけでなく、ハードウェアにも脆弱性があれば、サイバー攻撃者は容赦なく狙ってきます。ソフトウェアは定期的にアップデートし、パッチが提供されたらすぐに更新するようにしましょう。
脆弱性に関する情報が提供されたとき、すぐに対応できるよう自社で使用しているハードウェア・ソフトウェアの製品情報やバージョンなどを前もって把握しておくことも大切です。
4. セキュリティツールの力を借りる
ゼロデイ攻撃など、発見された脆弱性が狙われるまでの期間が短くなっていることから、セキュリティツールの力を借りて、サイバー攻撃の被害を最小限に抑えなければなりません。
最近は専門的な知識がなくても導入できるクラウド型のセキュリティツールもあるため、活用を検討できるかもしれません。
参考:ベアケア 「脆弱性とは? 脆弱性の原因とリスク、対策について解説」
.png)
使えるねっとが提供する「使えるクラウドバックアップ」も企業をサイバー攻撃から守る安心のツール。脆弱性対策にもおすすめです。
・データスキャンでウイルス検出
・脆弱性診断でセキュリティ対策としても安心
・未知のランサムウェア攻撃を識別する際にも非常に有効
データスキャンでウイルス検出
大切なデータを守るためにデータスキャンを実行。万が一、脆弱性を突かれ侵入されたとしても、ウイルスをすぐに検知します。
脆弱性診断でセキュリティ対策としても安心
情報セキュリティ対策で大切なのは、万が一の侵入のリスクに備えながらも、侵入そのものをかぎりなくゼロに近づけることです。
使えるクラウドバックアップでも、脆弱性診断を行うことで、自社システムの現状を把握できます。
未知のランサムウェア攻撃を識別する際にも非常に有効
未知のランサムウェア攻撃に備えるために、使えるクラウドバックアップが採用しているのが「アクティブプロテクション」。ファイル、バックアップデータ、バックアップソフトへの疑わしい改変を即座に検出・遮断し、即時データを復旧することで大切なデータをランサムウェアから守ります。
ぜひお気軽にお問い合わせください。
使えるクラウドバックアップの詳細はこちら
.jpg)
(1)脆弱性の調査方法は何がある?
A:脆弱性の調査方法には専門家が攻撃者の視点に立って脆弱性の有無を判断する「手動判断」と、Webアプリケーションを使って行う「自動診断」があります。
(2)脆弱性診断はいつやるべき?
A:新規システムのリリース前に行いましょう。プログラムの設定変更などが行われた場合も、脆弱性診断を行うことをおすすめします。
(3)脆弱性診断を行う頻度はどれぐらいがよいの?
A:ゼロデイ攻撃などのケースを考えると、頻繁であれば頻繁であるほどよいですが、コストとの兼ね合いを考えると、最低でも半年に1回は定期的な診断を受けると良いでしょう。
.jpg)
お電話でのお問い合わせはこちら:03-4590-8198
(営業時間:10:00-17:00)
日本で企業が本格的にディザスタリカバリ(災害復旧)に取り組むようになったのは、2011年の東日本大震災からだといわれています。本拠地が被災地から離れていても、データセンターが被害を受けたことで事業停止に追い込まれ、倒産や廃業になった企業も少なくありませんでした。
それから10年の歳月が経過した今、自社のディザスタリカバリについて今一度考えてみませんか?
災害リスクは決して過去のものではなく、今後もいつどこで経験するか分かりません。
今回はディザスタリカバリとは何かと、その必要性や導入ポイントについて徹底的に解説します。
クラウドバックアップについて知りたい方はこちら
目次
ディザスタリカバリとは?
ディザスタリカバリがビジネス環境で必要な理由
企業が遭遇しやすい災害の種類
ディザスタリカバリツールを選ぶ際の5つのポイント
ディザスタリカバリを構築する方法
安心・安全のディザスタリカバリ対策なら「使えるクラウドバックアップ」がおすすめ
「ディザスタリカバリ」とは、自然災害などによって企業のシステムが使用不能になった場合に復旧すること、またはそのためのシステムのことです。
「ディザスタリカバリ」という言葉の意味は分かっても、具体的な内容までは理解していないかもしれません。ここでは、BCPとの違いやディザスタリカバリを論じる際に必ず登場する「RPO」や「RTO」について説明します。
ディザスタリカバリとBCPの違い
「ディザスタリカバリ(Disaster Recovery)」はその頭文字をとって「DR」と略されることもあります。文字通り「災害復旧」のことです。災害復旧の範囲は非常に広いですが、企業にとっては、主に災害時に被害を受けたシステムの「復旧」を指して使われます。
それに対して、「BCP(Business Continuity Planning)」とは「事業継続計画」と訳されます。事業の継続を危うくする要因は災害以外にも考えられます。人的なミスで引き起こされたシステム障害やテロ攻撃なども含まれるでしょう。
BCPとは企業が緊急事態に直面したときに被害を最小限にとどめ、中核となる事業を継続するために平時から方法や手段を取り決めておくことです。つまり、計画の対象はシステムの復旧だけではありません。
また、ディザスタリカバリが主に災害からの復旧を目的としているのに対し、BCPはその後の事業の継続も視野に入れています。
このように考えると、ディザスタリカバリはBCPに含まれていると考えられるでしょう。
リカバリポイント目標(RPO)とは
「RPO(Recovery Point Objective)」は「リカバリポイント目標」、「目標復旧時点」と訳されます。災害が原因でシステムに障害が発生した場合、過去のどの時点までデータを復旧させるのかについての目標値です。
RPOをどのくらいに設定するかは、主に企業の業務内容によって変わってきます。例えば、ECサイトを運営しているなら、「RPO=0秒」が理想です。なぜなら、システムに障害が起きる直前にECサイトで大きな取引がなされる可能性があり、そのデータが失われることで企業は多大な損害を受けるからです。それに対して、通常更新頻度が一日一回の企業であれば、「RPO=1日」でも十分かもしれません。
もちろん、どの企業にとってもRPOが短ければ短いほど良いのですが、そのためには頻繁にバックアップをとらなければならなくなり、その分コストがかかってしまうことに注意が必要です。
リカバリタイム目標(RTO)とは
「RTO(Recovery Time Objective)」は「リカバリタイム目標」、「目標復旧時間」と訳されます。災害が原因でシステムに障害が発生した場合、いつまで復旧させるかを定めた目標値のことです。言い換えると、ビジネスに大きな影響を与えることなく、システムの停止が許される時間を指します。
お気づきのように、RTOもRPOと同じく企業の業務内容によって設定すべき目標値は変わってきます。ECサイトを運営し、平均して1時間当たり何百万円という売上がある企業の場合、RTOが長くなればなるほど損失が大きくなるため、できるだけ「RTO=0秒」に近づけるのが理想です。
といってもECサイトを1つのサーバだけで運営していれば、システム障害による損失は事実上不可避です。そのため、一般的にはサイトやサーバは「冗長化」されています。つまり、障害が起きた場合の予備のサイトやサーバを準備することで、RTOをできるだけ短くする対策がとられているのです。
以下では、ディザスタリカバリがビジネス環境で必要な3つの理由について説明します。
セキュリティが強化される
「災害復旧」と訳されるディザスタリカバリですが、自然災害以外にもシステムに障害をもたらす要因はあります。ランサムウェアやマルウェアなどのサイバー攻撃もそこに含まれます。企業がディザスタリカバリに注力することでセキュリティが強化され、顧客情報や機密情報などが保護されます。
ダウンタイムによるコストの発生を防ぐ
Gartner社が2019年に行った調査によると、データ侵害が発生した場合、平均のダウンタイムは2.2日、1分間あたりの平均コストは5,600米ドル(約78万円)、データ侵害によるコスト総額の平均は392万米ドル(5億4,600万円)に上りました。
多くの調査により、ダウンタイムのコストはその持続時間と直線的な相関関係にあることが裏付けられています。つまり、システム障害自体は避けられないとしても、RTOをできるだけ短くすることこそが企業のディザスタリカバリの生命線ともいえます。Magnaの調査によると、災害を経験してから5日以内に事業を再開できなければ、90%の確率で1年以内に倒産することが明らかになりました。
災害時にも業務を滞りなく行える
ディザスタリカバリに注力することで、災害時にも企業活動を継続でき売上を確保できます。それだけでなく、金融、医療、通信、運輸、製造などの業界が災害時に業務を滞りなく行えるかどうかは、社会インフラやサプライチェーンの維持とも関係しています。
企業がそれら重要業務を早期に復旧させ、災害時にも業務継続することは単に自社の利益を越えた社会的責任(CSR)にもつながります。CSRを果たすために前もってディザスタリカバリのために投資し、計画を策定することで企業はブランド力や、消費者や取引先からの信頼を高めることができます。
企業が備えるべきリスクは多岐に渡ります。ここでは企業が遭遇しやすい災害の種類について3つ取り上げます。
通信障害
通信障害は携帯電話での通話やデータ通信にとどまらず、医療・物流・金融など幅広い範囲で生活インフラに影響を及ぼすことになります。2022年に発生したKDDIの通信障害はそのことを浮き彫りにしたともいえます。
首都直下地震で想定されているシナリオでは、発災直後から電柱など通信ケーブルが寸断され、通信が混乱することが指摘されています。停電が発生すれば非常用電源による基地局などの機能は維持されるものの、商用電源を利用した通信機器は使えなくなるでしょう。
アプリケーションのエラー
アプリケーションのエラーが発生すると作業の継続が困難になり、企業活動に大きなダメージをもたらします。アプリケーションのエラーの原因にはさまざまなものがありますが、文字通りの災害に限らず、ウイルス感染やシステム自体のバグが引き起こすこともあります。
建物の倒壊などの災害
企業が遭遇する災害の中でも、建物の倒壊は文字通りの物理的障害です。考えられるのは地震による建物倒壊ですが、世界有数の地震国である日本では過去の経験も踏まえて、堅牢なファシリティが採用されています。東日本大震災の際も地震によって完全に倒壊した建物はなかった、といわれるほどです。特にデータの保護という観点からは、データセンターが重要ですが、比較的新しい建物の場合は基本的に免震構造であるため、地震により建物が倒壊しデータが消失するリスクは少ないといえます。
もっとも建物を倒壊させる要因として地震以外にもテロや火災、水害なども考えられるため、遠隔拠点にバックアップを保存しておくことが大切でしょう。
「いつ起こるか分からないことのために高いお金はかけられない」という見方は感情的には理解できますが、企業のリスクマネジメントとしては失格です。自社の事業形態やセキュリティポリシーに合わせてRTOやRPOを考慮に入れながら、最適なディザスタリカバリ対策を構築しておきましょう。以下で5つのポイントを挙げておきます。
1. レプリケーションの機能性
レプリケーションとは災害発生に備えた冗長化の手段です。つまり、ハードウェアを含め同じシステム環境を2つ準備しておくことです。通常稼働させているシステムと別に待機用のシステムを構築しておくことで、万が一の場合はシステムの切り替えだけで事業を継続することが可能になります。
「バックアップとどう違うの?」と疑問に思う方がいるかもしれません。レプリケーションが稼働用と待機用のシステムをリアルタイムで同期させるのに対し、バックアップはそれが難しいためシステム復旧までに時間がかかってしまいます。そのため、ディザスタリカバリツールを選ぶ場合にはレプリケーションの機能性を考慮に入れることが必須です。
とはいえ、レプリケーションの導入だけでは不十分です。なぜなら、バックアップのように特定の時点にシステム環境を戻すことはできませんし、リアルタイムに更新される特性上、稼働用システムがウイルスに感染したら、待機用システムも影響を受けてしまうからです。
ディザスタリカバリツールにはレプリケーションとバックアップの両方が不可欠といえるでしょう。
2. 誰でも使用できる操作性
当然のことですが、ディザスタリカバリツールは非常事態に使用します。高度に緊張している状況下で適切に運用するためには誰でも使用できる操作性が求められます。その上で万が一の事態に備えて、社内で繰り返しテストを行っておくとよいでしょう。
3. 理想的なDRサイトの構築の可能性
DRサイトとは、主要なシステム拠点で事業継続が不可能になった場合に代替拠点となる設備を指します。
一般的にDRサイトには「ホットサイト」、「ウォームサイト」、「コールドサイト」の3つの形態があるとされています。
ホットサイト:災害などにより主要システムが使えなくなった場合、最もスピーディにDRサイトに切り替えられるタイプです。メインの車の故障に備えて、エンジンをかけっぱなしで予備の車を待機させているような状態であり、メインシステムと同じ設備が求められるため、最もコストがかかります。
ウォームサイト:メインの車が故障した場合に備えて、エンジンはかけないまでも常にイグニッションキーがセットされているような状態に例えられます。システムの稼働に必要な設備が備わっているため、RTOは数時間から1週間程度で復旧可能です。
コールドサイト:DRサイトの中で立ち上げに最も時間がかかるタイプです。メインの車が故障したことを知って初めて、キーをセットするような状態に例えられるかもしれません。切り替えにかかるRTOは1週間から数週間程度で、生活インフラに直結するような企業には向いていないDRサイトです。
ただ、コールドサイトだから「悪い」という訳ではなく、大切なのは自社が災害に直面した場合でも損失を最小限にとどめながら事業を継続するためにどのタイプが理想的なのか、ということです。
4. 予算に合った導入コスト
上述したDRサイトでホットサイトを選択すれば、「RTO=0秒」に近づけることができますが、如何せんコストがかかります。いくらディザスタリカバリ対策を充実させても、そのためのコストが企業の通常の活動を圧迫するようであれば本末転倒でしょう。
安心できるディザスタリカバリとコストの問題を両立させるためにはクラウドサービスを利用するのも一つの選択肢です。
5. トライアルの有無
繰り返しになりますが、ディザスタリカバリツールは非常事態に稼働させるものです。普段から使うものではないため、緊急時に誰もが操作でき、スムーズにシステムに移行できるかをテストしておくことが必要不可欠です。
そのためには、トライアル期間が設けられるものを選ぶとよいでしょう。トライアルで操作してみて、自社が考える理想的なディザスタリカバリ環境を実現できるのか、導入コストの問題も合わせて検討を重ねられます。
万が一の災害に備えていますぐ対策を講じるようにしましょう。自社に最適化されたディザスタリカバリを構築するための3つのステップを紹介します。
資産を棚卸しする
ディザスタリカバリの目的は緊急時でも企業活動を停止させないことであり、そのために鍵となるのはデータの保護です。ただ、自社にとって「保護したいデータとは何か」、「どこに保管しているのか」、「どのように保護するのか」など要件を明らかにしないことにはディザスタリカバリを構築できません。まず自社が保有するデータ資産の棚卸しから始めましょう。
リスク評価を行う
リスク評価はRPOとRTOに基づいて行います。ECサイトを構築するなどITシステムに依存度が高い企業と、そうでない場合はRPO、RTOの指標は大きく異なります。ダウンタイムやRTOがゼロになることが目標ではありません。目指すべきなのは、できるだけコストを抑えつつ、自社にとってのリスクを最小化するためのソリューション構築です。
コミュニケーションの計画を立てる
緊急事態には指揮命令系統が混乱します。そうした事態を可能な限り回避するために効果的なコミュニケーション計画を立てておきましょう。関係する従業員すべてが緊急時に稼働システムにアクセスできるように前もって研修等を実施し、周知徹底しておくことも大切です。
使えるねっとが提供するディザスタリカバリは、「使えるクラウドバックアップ」のオプション機能として提供されています。「使えるクラウドバックアップ」はファイルバックアップだけでなく、イメージバックアップを採用しているため、万が一データが消失しても高速で復元できます。ディザスタリカバリオプションのお申し込みにより、有事の際にはスピーディに復元サイトへ切り替え業務を継続できるため、大掛かりな設備投資なくDR対策が可能となります。
使えるクラウドバックアップが採用するのは米軍も採用する最高レベルのセキュリティ。すべてのファイル転送をAES-256で保護します。また、ランサムウェア攻撃からデータを守るためのAIベーステクノロジー「アクティブプロテクション」による疑わしい改変を即座に検出・対応し、バックアップデータを保護します。
価格はバックアップの月単価1,682円(税込)~、ディザスタリカバリオプションの月単価6,468円(税込)~、用途や容量に合わせて多彩なプランからお選びいただけます。まずは30日間の無料トライアルで操作性や使い勝手をお試しください。
ディザスタリカバリの詳細ページはこちら>>
使えるクラウドバックアップのサービス詳細ページはこちら>>
.jpg)
無料通話:0120-961-166
(営業時間:10:00-17:00)
「バックアップ」ー業界に関わりなく誰もが一度はこの言葉を耳にしたことがあるはずです。それに最近は「クラウドバックアップ」という言葉もよく聞くようになりました。
では思い返してみてください。今目の前にあるパソコンのデータを「最後に」バックアップしたのはいつでしたか?
目次
ハプニングは突然やってくる
バックアップとは?
クラウドバックアップとは?
クラウドバックアップの種類
クラウドバックアップツールの種類
まとめ
困ったときに「使えるクラウドバックアップ」
FAQ
いつもの朝。オフィスに到着してパソコンのスイッチをON……。
でもここで突然、パソコンが起動しなかったら? またはWordで報告書を書いている最中に、エラーが発生して再起動が必要になったら?
日常生活でも仕事の現場でも、PCエラーに悩まされた経験のある方は多いのではないでしょうか。メーラーを立ち上げてメールを書いている最中に間違えて消してしまって書き直し!ということもあり得ます。
直前の例はバックアップに直結しませんが、予期せぬ「PCの突然クラッシュ」は珍しいことではありません。また故障以外にも、「データ転送時に失敗してファイルが消えてしまった」、「バッテリーが残り少ない状態で作業をしていていきなり電源が落ちてしまった」など、様々な事態が考えられます。このようなハプニングが発生した場合、PC内のデータがすべて消失してしまうこともあり得ます。
クラウドストレージのおすすめ比較を知りたい方はこちら
バックアップとは、万一の場合に備えてコンピュータ上のデータを複製することです。特に重要なファイルや、完成に時間がかかる大容量のファイルなどの場合は、USBメモリやクラウドなど異なる複数の場所に保存しておくといいですね。
またMicrosoft Officeアプリにはオートセーブ機能もありますので、場合に応じて活用してみるのもひとつの手です。
あまり普段から意識していなかったという方は、重要なデータを守るためにまず以下のことからはじめてみてはいかがでしょうか?
1. クラウドやUSBメモリなど、バックアップの手段を持つ
2. 手動で行う場合、バックアップスケジュールを決める
3. オートセーブを活用する(ファイル自体が消えた場合に備えて、1と2の手順は必須です)
バックアップの必要性
(1).jpg)
企業にとってもバックアップの必要性は強調してもし過ぎることはありません。ところが、サイバーソリューションズが2022年6月に行った調査によると、「週1回以上、クラウドメールのバックアップを実施している企業は全体の1/5」に過ぎず、クラウドメールの管理責任の所在を67.4%の企業が未確認でした。必要性は分かっていても、現場の対策はまだまだ遅れているのが現状のようです。
ここではバックアップが必要な3つの理由をあらためて確認しておきましょう。
1. 企業の信頼性を担保するため
企業が保管する情報の中でも顧客情報はとりわけ機密性が高く、徹底して管理しなければなりません。顧客はいわば企業を信頼して個人情報を預けているにもかかわらず、何らかの理由で企業がデータを消失してしまったら、その企業に対する信頼は失墜します。そして、一旦失われた信頼を回復するには長い時間がかかります。
2. データの価値が高まっているため
ビジネスでやり取りされるデータはかつてなく増大しており、その重要度は増しています。多くの企業が「DX(デジタルトランスフォーメーション)」を進めており、データ活用により組織のシステムやプロセス、カルチャーは変容を遂げています。人事や労務、財務、マーケティング、社内コミュニケーションなどあらゆる業務の基盤となるデータが失われたときの企業のダメージは図り知れません。
3. 災害のリスクからデータを守るため
言うまでもないことですが、日本は災害大国でどこにいてもいつ災害に見舞われるか分かりません。特に中小企業は経営基盤が脆弱なため、災害の際にデータが消失し、事業継続が不能になれば、そのまま廃業に追い込まれるリスクが高いといえます。今では、多くの企業がBCP(事業継続計画)を策定していますが、事業資産の損害を最小限にとどめ、事業を回復・継続させるための備えの中にバックアップは欠かせません。
「でもそうは言っても、バックアップっていろいろ面倒なんだよねぇ……」
そんな方も少なくないかもしれません。そこで登場するのが、「クラウドバックアップ」です。
クラウドバックアップとは、クラウド(インターネット上のサーバ、保管スペース)にファイルをバックアップするやり方のこと。「クラウド」なので、自分でUSBメモリやディスクを用意したり、社内にバックアップサーバを設置したりする必要はありません。クラウドバックアップのサービスに登録して初期設定を済ませれば、あとは何も用意しなくていいんです。
データをクラウドにバックアップするメリット
ここで、クラウドバックアップのメリットについて整理してみましょう。
バックアップが簡単
クラウドバックアップは、何よりバックアップするのが簡単。基本的には、「サービスに登録→ソフトウェアをインストール→初期設定(&定期バックアップ設定)」するだけでOKです。あとはソフトウェアが勝手にファイルやフォルダを安全なクラウドストレージにバックアップしてくれます。
価格が比較的安いから、コスト削減になる
月額費用はかかりますが、そのぶん「サーバ構築のためのまとまった初期投資」や「突発的なサーバトラブルへの対応費用」などが必要ないので、トータルで見ればだいぶ安く済むことがほとんど。「バックアップはしておきたい、でもコストはできるだけ抑えたい」という方にぴったりです。
データの復旧が高速
データのバックアップをBCPの一環として捉えた場合、重要なのは単にデータを復元できることではなく、高速で復元して通常業務が再開できるか、ということです。
この点、クラウドバックアップでシステム全体をバックアップしておけば、万が一のときデータを高速で復元することが可能です。
ログデータを残せる
ログデータとは、誰がいつ、どのデータをバックアップ・復元をしたのか、設定を変更したのかがすべて記録されること。このため、社内の人間がデータにアクセスしてデータを盗み出すことを防げます。セキュリティマネジメントの観点からもクラウドバックアップは効果的だといえるでしょう。
データをクラウドにバックアップするデメリット
クラウドバックアップだって良いことばかりではありません。デメリットも確認しておきましょう。
インターネット回線が必要
「クラウド」はインターネット経由でアクセスするサーバなので、インターネットにつながっていないとバックアップできません。それにただつながっているというだけではなく、ある程度安定した高速な回線が必要です。
環境によってはバックアップのスピードが遅くなる事例も
会社のインターネット環境によっては、社内のローカルサーバなどにバックアップする場合と比較して、バックアップスピードが遅くなる可能性があります。
セキュリティに不安がある
クラウドバックアップの場合、データを外部事業者に預けることになります。利用者にとっては情報の保守、運用、管理の負担が減りメリットも大きいですが、その分、情報セキュリティを事業者に任せてしまうことになり、不安も拭えません。
ストレージコストが高くなる
クラウドバックアップでは導入コストが低いのがメリットですが、契約期間中は毎月定額で利用料を支払います。そのため、長期的な視点で考えると、コストはむしろ高くなる可能性もあります。
クラウドバックアップのデメリットを具体的に知りたい方はこちら
クラウドバックアップに限りませんが、バックアップには大きく分けて「イメージバックアップ」と「ファイルバックアップ」の2種類あります。
イメージバックアップ
イメージバックアップとは、簡単にいうとシステム全体をバックアップすることです。ここでいう「イメージ」とはファイルやフォルダの階層構造を保ったまま複製したデータを指します。
バックアップの対象にはアプリケーション、ユーザーアカウント、ユーザー設定なども含まれます。そのため、イメージバックアップであれば、復元の際にアプリケーションを再インストールしたり、様々な設定を一から行う必要はありません。
ただ、必要か不要か関係なく、とにかく丸ごとバックアップしてしまうため、バックアップに時間がかかってしまうというデメリットもあります。
ファイルバックアップ
ファイルバックアップとは、その名の通り、ファイル単位でバックアップを行うことです。ファイルバックアップのメリットは必要に応じて最小限のバックアップを行うため、復元に時間がかからない点です。
ただ、イメージバックアップと異なり、ファイルやアプリケーション、フォルダを動作させるためのシステムはバックアップしていないため、システム障害が起きた場合はOSの再インストールからアプリケーションの初期設定などを行わなければならないため、復元に時間がかかってしまいます。
オンプレミスの併用
クラウドバックアップには多くのメリットがありますが、万能ではありません。そもそもバックアップはいかにリスクを軽減するかという発想からスタートしており、バックアップ先はできるだけ多いのが理想です。
バックアップの大原則として「3-2-1ルール」があります。これは「データのコピーは3つ」、「2種類の異なるメディアでバックアップを保存」、「バックアップのうち1つは違う場所で保管」という原則です。このルールに基づくと、クラウドバックアップのみに依存するのではなく、クラウドの障害などに備えて、オンプレミスも併用してバックアップをとっておくと良いでしょう。
ここでは個人が活用できるクラウドバックアップツールの種類とバックアップの方法について説明します。
【方法1】iCloudでバックアップする
iPadやiPhoneのデータはiCloudによって簡単にバックアップできます。
Wi-Fiネットワークに端末を接続し、「設定」から「ユーザ名」を選択し、「iCloud→iCloudバックアップ」をタップすればバックアップがスタートします。
iCloudの場合、ストレージの容量が無料プランだと足りなくなる場合がありますので、その場合はデータの量に応じて有料アップグレードしておきましょう。
画像出典:Appleサポートページ
【方法2】Google Oneでバックアップする
Google Oneを利用すると、スマートフォンの「アプリデータ」「通話履歴」「連絡先」「設定」「SMSメッセージ」「写真」「動画」「MMSメッセージ」が保存されます。
Google Oneでは、以下の手順で自動的にバックアップするように設定できます。
1. Google Oneを開く。
2. 画面下部の「ストレージ」をタップ。
3. 「バックアップ」→「表示」をタップし、バックアップの状態を確認、設定を変更するには「データのバックアップを設定」をタップ。
【方法3】Microsoft365でバックアップする
Microsoft365は「Office365」の機能にプラスして、クラウド型のメールサービスである「Exchange Online」、社内ポータルサイトで情報共有ができる「SharePoint Online」、オンラインストレージサービスである「OneDrive for Business」、コラボレーションプラットフォーム「Microsoft Teams」が含まれたツールです。
Microsoft365では画面上の通知領域に表示される「クラウドアイコン」を選択し、「設定」→「ヘルプと設定」→「バックアップの管理」をクリックすれば、フォルダーごとにバックアップが可能です。
Office 365のバックアップデータ方法について知りたい方はこちら
画像出典:Microsoftサポートページ
クラウドバックアップが今後は主流になる!?
IDC Japanの調査によると、2021年の国内クラウド市場規模は4兆2018億円でしたが、2026年には約2.6倍の10兆9381億円になると予測されています。
その背景には多くの企業のビジネスモデルが転換期にあることも関係しています。今後はSIerによるシステム開発に代わって、SaaS(「サービスとしてのソフトウェア」)が主流になるでしょうし、ビッグデータやIoT、AIなどのテクノロジーの活用により、扱われるデータはますます増大していくものと考えられます。クラウドバックアップはそうした新しいビジネスモデルとも親和性があるのです。
使えるねっとでも、「使えるクラウドバックアップ」というクラウド型のバックアップサービスを提供しています。設備投資は不要でPC内のすべてのアプリ、ファイル、アカウント、各種設定、そしてOSに至るまで丸ごとバックアップするイメージバックアップを採用しています。そのため、万が一データが消失してもスピーディにデータを復元し、業務の再開が可能です。
また、気になるセキュリティに関しても、使えるクラウドバックアップは米軍も採用する最高レベルのセキュリティを採用。すべてのファイル転送を、暗号鍵が最も長く安全性が高いとされるAES-256で保護します。
さらにランサムウェア攻撃からデータを守るAIベースのテクノロジー「アクティブプロテクション」を搭載し、サイバー攻撃対策も万全です。
バックアップやクラウドサービスについてお考えの方、既存のサービスからの乗り換えをご検討の方は、お気軽にお問い合わせください。30日間の無料お試しも受付中です。
使えるクラウドバックアップのサービス詳細ページはこちら>>
.jpg)
(1) クラウドバックアップと同期の違いとは?
クラウドバックアップとは、災害やサイバー攻撃、システム障害などによりデータが破損、消失することを想定し、前もって同じデータを複製しておくことを指します。それに対して、同期とは、クラウドストレージにアクセスする複数の端末の状態を同じにしておくことです。
(2)クラウドバックアップの必要性は?
クラウドバックアップが必要なのは、企業にとってデータの価値がますます高まっているからです。そのため、情報は企業にとって資産であり、万が一の場合に備えて、資産を保護する必要があります。例えば、災害やサイバー攻撃にあっても、クラウドバックアップをとっていればすぐにデータを復旧して、事業を継続できます。
(3)クラウドバックアップのセキュリティは大丈夫?
クラウドバックアップのセキュリティは、データや通信の暗号化と暗号鍵によって保護されています。暗号化とは、データや通信を暗号化することで、誰にも盗み見られたり、解析されたりしないようにすることです。また、暗号鍵とは、複雑な暗号を復号するために使われます。
.jpg)
お電話でのお問い合わせはこちら:03-4590-8198
(営業時間:10:00-17:00)
サイバー攻撃が増大する中、民間・行政問わずBCP(事業継続計画)として常識になりつつあるバックアップ。さらに個人でも災害や、突然やってくる機器の故障に備えてバックアップしておくことは必須です。
ただ、一口にバックアップといっても大きく「イメージバックアップ」と「ファイルバックアップ」に分けられることをご存じでしょうか?
今回は特にイメージバックアップにフォーカスし、個人や企業がイメージバックアップを行なったり、導入したりする際のメリット・デメリットを取り上げます。また、ファイルバックアップとの違い、イメージバックアップの仕方、およびバックアップデータを復元する具体的な方法についても解説します。
クラウドバックアップについて知りたい方はこちら
目次
イメージバックアップとは?
イメージバックアップ導入のメリット
導入前に確認すべき注意事項(デメリット)
注意点①バックアップ先
注意点②システムイメージの上書き
注意点③回復ドライブ/システム修復ディスク
注意点④パソコンの動作に問題が生じている場合
注意点⑤ノートパソコン/タブレットパソコンをお使いの場合
バックアップの2つの方法
イメージバックアップとファイルバックアップの違い
イメージバックアップとファイルバックアップの比較表
システムイメージ(イメージバックアップ)のやり方
イメージバックアアップ:windows10の場合
イメージバックアアップ:windows11の場合
イメージバックアップを復元する方法
外付けHDDからシステムイメージを復元
Windows10システムイメージからの復元
Windows11システムイメージからの復元
イメージバックアップなら使えるねっとがおすすめ
イメージバックアップとは、すべてのファイルやアプリ、ソフトウェアだけでなく、ユーザーアカウントや各種設定、さらにオペレーティングシステムを含むシステム全体をバックアップすることです。
ファイルバックアップは名称から「ファイルをバックアップする」ことだと分かりますが、なぜ「イメージ」バックアップと呼ぶのでしょうか?
それはバックアップしたファイルやフォルダを「イメージファイル」、つまりファイルやフォルダを階層構造のまま保存するからです。
例えば、1000ピースのジグソーパズルを完成させたとしましょう。誰かがそのジグソーパズルを盗んだり、壊したりしないように、ピースを一旦バラバラにして、箱にしまっておけば再び作り上げることができますが、それには膨大な時間がかかります。そこで普通は完成作品をそのまま、どこか別の場所に大切に保管しておくのではないでしょうか。
イメージバックアップとは例えるなら、ジグソーパズルの完成品をそのまま保管するようなものです。
サイバー攻撃対策やパッチ管理まで、クラウドバックアップの多彩な用途を知りたい方はこちら
イメージバックアップ導入にはどんなメリットがあるのでしょうか?
イメージバックアップではシステムを含めて全体をまるごとバックアップしているため、復元の際に新しいマシンにOS、ファイルシステムを再インストールしたり、必要なアプリケーションを入れたり、アカウントを設定したりする必要はありません。同様に、バックアップする対象であるファイルなどを吟味し、選択する手間も省けます。
イメージバックアップ導入はメリットばかりのように見えますが、注意すべきポイントもあります。以下で、5つの注意事項を確認してみましょう。
個人がイメージバックアップを行う場合、バックアップ先はハードディスク、DVD/BDなどのメディアやストレージ、ネットワーク上の場所などから選べます。システムやアプリケーションを含めてまるごとバックアップするため、容量の大きな媒体が必要になります。
企業がイメージバックアップを行う場合はバックアップ先として、データセンター内の物理的サーバーか、仮想サーバー、あるいはクラウド型サーバーを選択することになるでしょう。この点、扱うデータ量が年々増加しているため、データ容量が大きくても安心なクラウドへのバックアップを活用する企業も増えています。
イメージバックアップをすでに一度行なった場合、同じハードディスクドライブやデバイスにバックアップしようとするとシステムイメージが上書きされてしまいます。そのため、上書きを避けるためには別のデバイスを選択する必要があります。
個人がバックアップを行おうとする場合に使用するツールとして「回復ドライブ」と「システム修復ディスク」があります。混同されがちなこの2つのツールの違いについても触れておきましょう。
回復ドライブとは、リカバリーディスク(recovery disk)と呼ばれることもありますが、このツールを使うことで、パソコンにトラブルが起きたときでも工場出荷時の初期状態までデータを復元できます。以前はそれらのデータはCDやDVDに収められていましたが、回復ドライブにはOSなどのデータも含まれるため、より容量の大きなUSBメモリや外付けHDDが使われるようになりました。
これに対してシステム修復ディスクとは、Windowsが起動しなくなったときに元の状態に復元するためのツールです。ただ、回復ドライブとは異なり、復元の元になるバックアップデータは含まれていないという違いがあります。
これらいずれのツールを使っても、イメージバックアップができるわけではない、ということに注意しましょう。回復ドライブは単にPCをまっさらな状態に戻すだけですし、システム修復ディスクはそもそも復元するためのバックアップデータを持ち合わせていないからです。
使っているパソコンの動作に不具合が生じている状況でイメージバックアップを行うと、その問題の箇所もそのまま丸ごとバックアップされます。そのため、そのバックアップデータに基づいて問題箇所の履歴もそのまま復元されてしまいます。パソコンの動作に問題が生じている場合はイメージバックアップは避けましょう。
イメージバックアップには時間がかかるため、デスクトップではなくノートパソコンやタブレットパソコンの場合は電源が切れてしまうことが懸念されます。そのため、電源が切れないようにACアダプタを接続しておきましょう。また、液晶ディスプレイを閉じてしまうとスリープモードになり、バックアップが中断する可能性もあるため、開けたままで作業を行なってください。
その他にも注意すべき点はありますが、イメージバックアップを実行する際は以上の5点をまずは一覧しておく必要があります。
ここからは、冒頭で説明したイメージバックアップとファイルバックアップとの違いについてご説明します。
冒頭部分でジグソーパズルの例えを挙げましたが、イメージバックアップが完成品をそのままばらさずに保存するのに対し、ファイルバックアップはいわばジグソーパズルのピースごとに保存するように、ファイル単位でバックアップをとります。
イメージバックアップはハードディスクを丸ごと保存するため、そのバックアップ作業に時間がかかるのに対し、ファイルバックアップは自分が必要とするファイルだけ選択して保存するので、時間も容量も節約できます。
決定的なデメリットは、万が一トラブルが起きて復元作業を行うとき、ファイルバックアップでは、WindowsなどのOSや必要なアプリケーションをまず再インストールしないとせっかくバックアップをとったファイルも開けないという点です。また、細かに行なっていた環境設定なども全部一からやり直さなければならないため、復元に膨大な手間がかかります。
個人で復元作業を行うことも大変ですが、企業であれば場合によって何日も業務に支障が出てしまうため、大きな経済的損失に繋がる可能性もあります。
ここまで説明したことを表にまとめ、イメージバックアップとファイルバックアップを比較しますので、ご参照ください。
イメージバックアップはシステムを対象にデータからアプリケーション、環境設定まですべてをバックアップするため、バックアップ作業に時間がかかります。平常時にかかる時間的、人的コストは高いですが、万が一トラブルが起きた場合には低コスト、短時間で復元作業を行なえます。ファイルバックアップはその逆です。
個人であっても、企業であっても、災害やサイバー攻撃などにより、いつ、どのような形でデータを失うか分からない時代にあって、常に非常事態を想定して対策しておくことはリスクマネジメントとして有効です。その観点から見れば、イメージバックアップに軍配が上がるといえるでしょう。
以下ではイメージバックアップを行う具体的な方法について、MicrosoftのWindowsを例に説明します。いずれの場合も、イメージバックアップ先として専用の外付けHDDを事前にご用意ください。製品にもよりますが、比較的安価で購入できるはずです。
①イメージバックアップを作成します。「スタートメニュー」→「Windowsシステムツール」→「コントロールパネル」を開きます(「検索ボックス」からも開くことは可能)。「コントロールパネル」の「システムとセキュリティ」の中にある「バックアップと復元(Windows7)」を選択します。
.png)
②「システムイメージの作成」を選択します。
.png)
③システムイメージのバックアップ先で、接続した外付けHDDを選びます。イメージバックアップの実行を開始し、完了するまでしばらく待ちます。
④DVDドライブに空のメディアをセットし、「システム修復ディスクを作成しますか?」で「はい」をクリックします。
①イメージバックアップを作成します。
「スタート」→右上の「すべてのアプリ」→「Windowsシステムツール」→「コントロールパネル」を開きます(「検索ボックス」からも開くことは可能)。「コントロールパネル」の「システムとセキュリティ」の中にある「バックアップと復元(Windows7)」を選択します。
②「システムイメージの作成」を選択し、保存先を接続した外付けHDDに指定します。
③バックアップ元とバックアップ先以外にも一緒にバックアップしたドライブがある場合はそれも含めて、バックアップを開始します。終了するまでしばらく待ちます。
④DVDドライブに空のメディアをセットし、「システム修復ディスクを作成しますか?」で「はい」をクリックします。
万が一トラブルが発生した場合、バックアップしておいたイメージファイルから復元ができます。その手順について説明します。
①「スタート」→「設定」→「システム」の順にクリックします。
②「システム」の画面左下の「詳細情報」をクリックし、「システムの保護」を選択します。
③「システムのプロパティ」が表示されるので、「システムの復元」をクリックします。
④「システムファイルと設定を復元します。」という画面が出たら、「別の復元ポイントを選択する」を選び、「次へ」をクリックします。
⑤任意の復元ポイントをクリックし、「影響を受けるプログラムの検出」をクリックします。
⑥「削除されるプログラムとドライバー」ボックスと「復元が見込まれるプログラムとドライバー」ボックスを確認して問題がなければ「閉じる」をクリックします。
⑦復元ポイントが選択されていることを確認して、「次へ」をクリックします。「復元ポイントの確認」という画面で内容をチェックしたら、「完了」をクリックします。
⑧「いったんシステムの復元を開始したら、中断することはできません。続行しますか?」とメッセージが表示されるので、「はい」をクリックします。その後、システムの復元が開始するため、しばらく待ちます。
⑨正常に完了したことを確認します。
①「スタートボタン」→右上の「すべてのアプリ」→「Windowsツール」の順にクリックし、「コントロールパネル」を選択します。
②「コントロールパネル」の「システムとセキュリティ」の中から「セキュリティとメンテナンス」を選択します。
③「回復」→「システムの復元を開く」をクリックします。
④「システムファイルと設定を復元します。」という画面が出たら、「別の復元ポイントを選択する」を選び、「次へ」をクリックします。
⑤「選択したイベントの前の状態にコンピューターを復元します」と表示されるため、確認して「次へ」をクリックします。
⑥「復元ポイントの確認」と表示されるため、確認して問題がなければ「完了」をクリックします。
⑦「いったんシステムの復元を開始したら、中断することはできません。続行しますか?」とメッセージが表示されるので、「はい」をクリックします。その後、システムの復元が開始するため、しばらく待ちます。
⑧正常に完了したことを確認します。
今後、起こり得る災害やサイバー攻撃に備えて、個人だけでなく、会社にも今の時点で万全の対応が求められます。「必ず起きるわけじゃないから」と先延ばしするのは危険です。
上述したようにイメージバックアップなら企業にとって重要な資産ともいうべき情報をシステムやアプリケーション、環境設定を含めて丸ごとバックアップできます。
使えるねっとが提供する「使えるクラウドバックアップ」はイメージバックアップを採用しており、お客様のPCやサーバーのデータを丸ごと弊社のデータセンターへ保存できます。また、DR(ディザスタ・リカバリ)機能も併せてご利用いただくことで、災害やサイバー攻撃、人的要因やシステム障害などが発生した場合には、バックアップデータからボタン一つで弊社のクラウド上でお客様の社内システムを瞬時に起動でき、システムのダウンタイムを最小限に留めることが可能です。
また、大切なバックアップデータはAES-256で暗号化し、長野県のデータセンターで大切に保管します。設定により、お客様のHDDやNASに保存することもできます。もちろん、マルウェア対策にも優れており、「アクティブプロテクション」によって、Petya、WannaCry、Osirisなど最新のランサムウェアからもシステムとデータをしっかり保護します。
ランサムウェアに感染!アクティブプロテクションを使用した場合/使用しなかった場合の、検証ビデオはこちら
クラウドバックアップは単なる「便利なサービス」ではなく、導入するかどうかは企業経営、リスクマネジメントとも関連する非常に重要な決定です。そのため、弊社では30日間の無料トライアル期間を準備しており、操作感や機能をお試しいただけます。是非お気軽にお問い合わせください。
価格は月単価2,200円(税込)~、用途や必要なサイズに合わせて、バックアップコストを最適化させるために複数ある多彩なプランからお選びいただくことができます。
サポート体制充実、操作も簡単な「使えるクラウドバックアップ」の見積もりはこちらから。
使えるクラウドバックアップの詳細はこちら>>
.jpg)
お電話でのお問い合わせはこちら:03-4590-8198
(営業時間:10:00-17:00)
2022年3月に発表された調査結果によると、2021年の国内パブリッククラウドサービス市場は前年比28.5%増の1兆5879億円だったそうです。今後も中小企業を含め、日本企業のクラウド移行は加速するといわれており、2026年の市場規模は2021年比約2.4倍の3兆7586円になると予想されています。
多くの企業がクラウドに移行する1つの理由はバックアップです。しかし、クラウドに移行すれば万事安心というわけではありません。クラウドバックアップのデメリットやリスクについてもしっかり理解し、対応策をとることが大切です。
今回はクラウドバックアップのデメリットにあえて切り込み、クラウドバックアップの導入に向いている企業、向いていない企業についても解説します。
クラウドバックアップのおすすめサービスについて知りたい方はこちら
クラウドバックアップについて知りたい方はこちら
目次
クラウドバックアップのデメリットとは?
クラウドバックアップとは?
クラウドバックアップが必要なのはなぜ?
クラウドバックアップのメリットとは?
クラウドバックアップをするべきデータとは?
クラウドバックアップに向いている企業とは?
クラウドバックアップに向いていない企業とは?
使えるクラウドバックアップはさまざまなビジネスシーンで使える
会社の安定性・信頼性向上にクラウドバックアップは不可欠
FAQ
クラウドバックアップのデメリットには以下のような点があります。
ランニングコストがかかる
クラウドバックアップは運用や保守のコスト削減につながるといわれます。確かに開始の際のイニシャルコストはオンプレミスに比べて低めですし、運用や構築にかかる人的コストは削減できます。
しかし、長期的にみればクラウドバックアップは毎月定額の費用がかかります。サービスの内容にもよりますが、専用の人件費などを除いた場合、クラウドバックアップの方がランニングコストがかかるケースもあります。
運用やセキュリティは事業者任せ
総務省の情報通信白書(令和2年版)によると、クラウドを利用しない企業が理由として挙げた中で一番多かったのが「必要ない」でしたが、その次に「セキュリティに不安がある」が31.8%を占めていました。
どのクラウドサービスもセキュリティの高さを前面に打ち出していますが、企業にとって資産ともいうべきバックアップデータを事業者にあずけるわけですから、情報漏洩などの不安要素は排除しきれません。
クラウドバックアップを選択する場合は、総務省が挙げている「クラウドサービス事業者が行うべき主要な情報セキュリティ対策」なども参考にしながら、利用者側でできる具体的方法を確認することが必要です。
.png)
速度
クラウドバックアップはインターネットを経由してデータを格納するため、回線を占有してしまう恐れがあります。そのため、データの量によってはバックアップや復元作業に時間がかかってしまいます。バックアップスケジュールを業務時間外に設定するなどの対応が必要でしょう。
帯域圧迫の懸念
帯域とは、時間単位で送信できるデータ転送量のことを指します。通常、クラウドバックアップでは、大量のバックアップデータを遠隔地にあるバックアップセンターに転送するため、帯域圧迫による転送速度への影響や障害が懸念されます。転送するデータの重複削除や速度の調整などの対応が求められます。
ハードウェアへの負荷がかかる
クラウドバックアップを導入することで、他のハードウェアに影響が及ぶ可能性があります。そうなると、オフィスに設置している機器やデバイスの動作が遅くなり、従業員の業務に支障が出たり、モチベーションや生産性が下がる原因にもなりかねません。
インターネット環境が必須
クラウドバックアップは、データのコピーを、インターネットを経由してアクセスするリモートネットワーク上のコンピューティングリソースに安全に保存することです。そのため当然ですが、インターネット環境が必須になります。外部ハードディスクへのバックアップにはその懸念はありません。
クラウドストレージのおすすめ比較を知りたい方はこちら
.png)
クラウドバックアップは大きく分けて以下の2つのタイプに分けられます。
クラウドバックアップのタイプ
①イメージバックアップ
イメージバックアップとは、システム全体をバックアップすることです。その中にはすべてのファイル、アプリケーション、アカウント、ユーザー設定なども含まれます。そのため、復旧後はすぐに前と同じように使用可能です。
②ファイルバックアップ
ファイルバックアップはその名の通り、ファイルをバックアップすることです。そのため復旧後、アプリケーションを再インストールしたり、アカウント設定する必要があります。ファイルバックアップの利点はデータ容量を抑えられる点です。
クラウドバックアップのデメリットを挙げましたが、それでもなお導入の必要性は高いといえます。その基本的な理由は2つです。
災害対策
災害大国・日本では、どの企業でもいつ、どのような形で台風や地震などの災害に巻き込まれ、データが消失するか分かりません。クラウドバックアップでBCP対策(事業継続計画)をしていれば、サーバは地震や火災、停電にも強い構造であるデータセンターに置かれるのが一般的です。そのため、災害によってオフィスが使えなくなっても、インターネット環境さえあればデータを復旧して事業を継続できます。危機管理の面からもクラウドバックアップは有効というわけです。
もちろん、大規模な停電によってネットワークが広範囲にわたって遮断された場合はクラウドバックアップをしていてもデータの活用が不可能になります。クラウドバックアップだけでなく、できるだけデータは分散させておくことも大切です。
ランサムウェア対策
ランサムウェアとは、企業などのデータを高度な暗号化により使用できないようにして、復旧と引き換えに身代金(ランサム)を要求する不正プログラムのことです。
クラウドにデータをバックアップしておけば、ランサムウェアはデータにアクセスできないため、暗号化の被害にあうリスクを減らせます。
もちろん、クラウドバックアップには大きなメリットがあります。リスクだけに目を向けるのではなく、利点を把握しておくことで、自社で導入すべきか総合的な判断が可能になります。
低コストで導入可能
オンプレミスでバックアップを構築、運用しようとすると導入コストが膨大で、500〜1,000万円程度の費用が必要になります。それに対して、クラウドバックアップの場合は通常数十万円程度で導入可能です。
アクセスがしやすい
クラウドバックアップはインターネット環境さえあれば、データの復旧が可能です。また、逆にファイルやフォルダごとに権限を設定できるため、データの流出を防止できます。管理のしやすさもクラウドバックアップのメリットといえるでしょう。
拡張性
従業員数の増加や業務規模の拡大によってデータ量は増加します。クラウドなら、会社の成長に合わせてデータバックアップの量を簡単に追加できます。
企業がクラウドバックアップすべき必要不可欠なデータは多岐に及びます。代表的なものを3つ挙げます。
長期的な保存が必要なデータ
業務ではすぐに使わないものの、内部統制の証拠として長期的に保存しなければならないデータが含まれます。従来はテープメディアなどに保管されてきましたが、それにもコストが発生します。クラウドバックアップによって保管コストの削減につながります。
業務に必要な会社にとって重要なデータ
上述したように企業の重要なデータは常にランサムウェアや災害リスクにさらされています。クラウドバックアップすることで、それらの資産をトラブルから保護できます。
容量が大きなデータ
クラウドバックアップなら必要に応じて自由に容量を増減できます。画像や動画など容量が大きなデータも安心して保存可能です。
以上のメリット・デメリットを踏まえると、事業においてデータが不可欠な企業にはクラウドバックアップが向いているといえるでしょう。現在、日本のビジネスシーンではDX(デジタルトランスフォーメーション)が推し進められていますが、デジタル技術を駆使して新しい価値を生み出そうとしてる企業にとってはクラウドバックアップの利用は不可欠でしょう。
すでにオンプレミスでバックアップを構築しており、なおかつ今後データ量が増加しないと思われる場合は導入メリットはあまり大きくないかもしれません。それでもバックアップしているデータが災害やサイバー攻撃にさらされるリスクも考慮に入れると、やはりクラウドバックアップは費用対効果が高い選択といえます。
使えるねっとが提供する「使えるクラウドバックアップ」はバックアップ機能だけでなく、データを守って使うための機能を1つにまとめたサービスです。
ファイルバックアップではなく、イメージバックアップを採用しているため、万が一データが消失しても高速復元してすぐに業務を再開できます。
また、管理者アカウントから社内の別デバイスを一元管理。遠隔操作で設定変更でき、時間もコストも節約可能です。
使えるクラウドバックアップが採用するのは米軍も採用する最高レベルのセキュリティ。すべてのファイル転送をAES-256で保護し、サーバー側でもセキュアにAES-256で暗号化します。またランサムウェア攻撃からデータを守るためのAIベーステクノロジー「アクティブプロテクション」により、疑わしい改変を即座に検出・遮断し、バックアップデータを保護します。
使えるクラウドバックアップは、ますますリスクが高まる災害、サイバー攻撃に対応するためのおすすめ最強ソリューションです。価格は月単価1,870円(税込)~、用途や容量にあわせて多彩なプランからお選びいただけます。
まずは無料のトライアルをお申込みください。
使えるクラウドバックアップの詳細はこちら>>
.jpg)
(1)クラウドバックアップの特徴は?
クラウドバックアップの特徴は、自動的にデータを複製できることです。これまでのバックアップでは、企業内のサーバなどに定期的にバックアップする作業が必要でした。そのため、クラウドバックアップでは手間を大きく省くことができます。また、複数拠点にバックアップすることでデータ消失のリスクを軽減できます。
(2)クラウドバックアップは安全?
クラウドバックアップはローカルバックアップよりも安全といわれます。しかし、クラウドバックアップだから必ず安全という訳ではありません。選ぶにあたって、暗号化方式がどの程度厳格なのか、ランサムウェア対策や、災害発生時にも事業を継続するためのソリューションを備えているのか、なども検討しておきましょう。
.jpg)
お電話でのお問い合わせはこちら:03-4590-8198
(営業時間:10:00-17:00)
サイバー攻撃の勢いはとどまるところを知りません。政府は2022年2月23日、3月1日に引き続き、3月24日に「現下の情勢を踏まえたサイバーセキュリティ対策の強化について」という注意喚起を行いました。
中小企業も含めてすべての企業は感染リスクを最小化するためのセキュリティ対策強化はもちろんのこと、万が一感染したとしてもデータを復旧するためのバックアップが欠かせません。
使えるねっとが提供している「使えるクラウドバックアップ」はバックアップ機能はもちろん、データを守る・使うための機能を1つにまとめたサービスで、多くの企業に導入していただいています。
以下では、改めてバックアップの必要性について振り返り、使えるクラウドバックアップの機能を大解剖いたします。
会社のデータを安全に守るための3箇条
ビジネスのあらゆるシーンにITツールが導入され、DX化がビジネスを大きく変容させる中、企業が保有するデータの価値はますます高まっています。
会社の資産ともいうべきデータを安全に守るための3箇条は以下の通りです。
デジタル形式でファイルを保存する
セキュリティ強化に加えて、政府の推進する「働き方改革」や環境保護の観点からも企業のペーパーレス化が進められていますが、現場ではなかなか思うようにはいかないようです。
BizClipが2020年3月に約2500人を対象に行った調査によると、企業のさまざまな業務に紙の資料が介在する現実が浮かび上がってきました。例えば、全体の66.5%が「契約・申請書類」に、57.9%が「取引先・顧客への請求・見積もり」に、54.8%が「社内会議資料」に紙を使用していると回答しました。
また、文書の管理方法として「契約書・申請書類」の76.7%、「取引先・顧客への請求・見積もり」の64.2%、「社内会議資料」の56.6%がスキャンしたり、データ化されたりすることなく、紙のままファイリングして保管されていることも分かりました。
企業の重要なデータがデジタル化されることなく、紙ベースで保管されているとすれば、紛失のリスクはもちろんのこと、災害などの消失の危険にもさらされることになります。こうしたリスクを減らすためには会社のデータはデジタル化してファイル保存しておくことが必要です。
複数箇所に保存する
従来からバックアップに関しては「3-2-1ルール」が提唱されてきました。これは2012年に米国土安全保障省のCISA(サイバー・セキュリティ・インフラストラクチュア・セキュリティ庁)が運営するUS-CERTが提示したものです。
「3-2-1」とは、重要なデータは「ファイルのコピーは3個」、「ファイルを保管する記録メディアは2種類」、「コピーのうち1つはオフサイトに保管」を意味します。
当初はこのルールを実践するには手間が掛かりすぎると言われていましたが、近年ランサムウェア対策として改めて専門家たちにより推奨されるようになりました。特にクラウドストレージサービスの普及により、オフサイトにデータを保管しやすくなり、中小企業でも「3-2-1ルール」の実践がコスト面でも十分可能になっています。
バックアップツールを利用する
バックアップにはさまざまな方法があります。Windowsにはバックアップの設定が搭載されているため、パソコン内のデータを外付けHDDなどに定期的にコピーし、保存できます。
しかし、多くの企業で保有しているデータはかなり広範囲に及ぶため、専用のバックアップツールを利用するのも一つの方法です。例えば、使えるねっとの「使えるバックアップ」は単なるバックアップ機能だけでなく、データを使う機能も念頭においたサービスであり、導入効果が高いといえます。
バックアップはなぜ必要?
上述したように企業にとって貴重なデータを守るための主な手段はバックアップです。ただ、バックアップが大切だと分かっていても、ついつい先送りしているようなら、以下の2つの理由を考慮してください。バックアップが急務であることがお分かりいただけるはずです。
企業がデータを失う=大きな損害
いうまでもないことですが、企業にとってデータを失うことは大きな損失をもたらします。
顧客データや商品開発・マーケティングに関するデータなど、貴重なデータを失うことは企業に計り知れない経済的損失をもたらします。
加えて、損失を回復するためにかかるコストも甚大です。例えば、社員15名の中小企業の事務所が水没し事業継続が不可能になったとしましょう。データを含めて復旧するために1カ月かかるとすると、その間社員は時間外残業に追われ、企業が支払うコストは300万円にもなります。加えて1カ月営業停止に追い込まれることにより、売上損害も500万円に上り、被害合計は800万円にもなります。
実際、テキサス州立大学の調査レポートによると、社内データが全て消えた場合、2年以内に94%の企業が倒産するともいわれています。
災害やサイバー攻撃によるデータ消失
ジャーマンウォッチが発表した「世界気候リスク・インデックス(2020年版)」によると、1999〜2018年において日本は62位でしたが、2018年には1位でした。近年の洪水や台風による被害、今後起きることが想定されている南海トラフ巨大地震や首都圏直下型地震などを念頭におくと、日本国内のどの企業にとってもBCP(事業継続計画)は不可欠といえるでしょう。
また、株式会社サイバーセキュリティクラウドが国内15,000以上のサイトを対象にした調査によると、2022年2月16日以降、不審な攻撃者によるアクセスが急増しており、その数は直近3ヵ月平均と比べて最大25倍にまで膨らみました。
大企業だけでなく、サプライチェーンも攻撃対象になっており、2022年3月にトヨタ系列の小島プレス工業がサイバー攻撃を受け、トヨタの国内全工場を一時停止する事態にまで追い込まれました。
特にランサムウェアは感染したパソコンとそれに接続されたハードディスク、同一ネットワーク内のデータを暗号化し使用不能にします。企業は多額の身代金を支払わなければ、その間業務停止に追い込まれることになります。その間の逸失利益と復旧のためにかかるコストはやはり膨大になるでしょう。
使えるクラウドバックアップ、その気になる機能性
上述したように企業がデータを守るためにバックアップツールを用いることは1つの方法です。以下では使えるクラウドバックアップの機能性について大解剖します。
主な特徴
バックアップ~復元~セキュリティまで多彩な機能で一元管理
使えるクラウドバックアップの設定はとても簡単で、いつでもどこからでも複数のバックアップ対象を一括管理できます。バックアップ対象は自由に設定可能で、ファイル、フォルダを個別に復元・ダウンロードできますし、システム全体のバックアップをしておけば、マシンそのものを復元できます。
それを可能にしているのが「イメージバックアップ」という方法で、すべてのアプリ、ファイル、ユーザーアカウント、さらにはオペレーティングシステムを含むシステムイメージ全体を一気にバックアップします。この方法により万が一データが消失してもすぐに通常業務が再開できます。
世界最高水準の暗号化/サイバーセキュリティ機能を採用
米軍も採用する最高レベルの暗号化をファイルがアップロードされる前に実施し、すべてのファイル転送もAES-256で保護します。また、サーバー側でもセキュアにAES-256で暗号化、サイバーセキュリティ機能も万全で、企業の大切なデータをがっちり守ります。
ディザスタリカバリ(DR)対策にも効果的
ディザスタリカバリ(DR)とは、災害発生時に被害を受けたシステムを復旧することを指します。DR対策で最も重要なのは、いうまでもなく企業活動の停止時間をできるだけ短くすることです。
使えるクラウドバックアップでは、弊社の国内データセンターに日々バックアップをとり、万が一のときに備えています。災害発生時にはボタン一つでスタンバイしておいた環境に切り替え、事業継続を可能にします。
まとめ
使えるクラウドバックアップは、ますますリスクが高まる災害、サイバー攻撃に対応するための最強ソリューションといえます。にもかかわらず、専門的な知識や複雑な構築作業は不要、設定は5分で完了し、利用はとても簡単です。
価格は容量200GB、パソコン1台+モバイル3台込みで月単価¥1,408(2年契約)、低コストでの導入が可能です。
無料のトライアルご希望もお待ちしております。まずはお気軽にお問合せください。
使えるクラウドバックアップの詳細はこちら>>
.jpg)
無料通話:0120-961-166
(営業時間:10:00-17:00)
