第11回：BCPの文書の成り立ちについて

「計画書」と名前のつく社内文書は多々あるが、BCP（事業継続計画）というドキュメントは、他の社内文書に比べて今ひとつ形が捉えにくいと感じている人も少なくない。例えば○○製品開発計画とか○○プロジェクト計画書といったものは、アイデンティティがはっきりしている。しかしBCPは、一見すると規定文や指示書のようでもあるし、防災マニュアルや業務手順書のようでもある。

2019/08/01

第75回：BCMの関係者が考える組織のレジリエンス

BCMの専門家や実務者による非営利団体であるBCI（注1）は、組織のレジリエンスに関するアンケート調査の結果を『Organizational resilience: Perspectives from the industry』という報告書として2019年7月に発表した。アンケート回答者の多くがBCI会員（つまりBCM関係者）だと思われることから、この調査結果はあくまでもBCM関係者が組織のレジリエンスをどのようにとらえているかを表すものと考えるべきであろう。

2019/07/30

パラレルな宇宙を旅してみよう

我々の秩序のある合理的なときもある世界と異なり、パラレルな世界では混沌と混乱が支配している。通常の論理のルールは、因果関係といった基本的なものでさえ、適用されない。あまりにも奇妙な場所なので描写することもできない。行って自分で見るほうが良い。 現実の災害はメッシーなので、われわれはこれをシミュレーションによって行うのが一般的である。可能な限り精細なカラフルな災害現場あるいはシナリオを想像してみる。今それをしてみよう。まずは思考の実験である。一瞬自分のことを考えてみる。来月、今日から4週間のカレンダーはどうなっているだろうか？

2019/07/30

パラレルな宇宙～大災害の本質

激しい振動があなたを快眠から揺さぶり起こす。あなたは目を開ける。真っ暗闇で全く音はしないがまだ寝室にいる。突然マットレスが持ち上げられて波のように揺れ動く。あなたを揺すぶって起こした狂人が戻ってくる。あなたのベッドの下でこれぞとばかり激しく蹴って突き上げる。雷鳴とポップコーンのはじける音と、花火の音の全てが同時に来たような騒音で耳がふさがれる。れんがのビルを擦り合わせているような擦過音もする。しばらくすると揺れは収まりベッドから落ちる。寝室は前後に、激しく揺さぶられておりランプや写真が棚から落下して壊れるのを聞く。

2019/07/26

GRCS、制御システム安全対策支援

GRCSは18日、製造業や重要インフラなどを対象とした、制御システムセキュリティ対策コンサルティングサービスの提供を開始すると発表した。2020年東京オリンピック・パラリンピックを控え、サイバー攻撃のリスクが高まりつつある制御システムの対策を支援し、円滑な業務推進や安全性向上を図る。

2019/07/18

第10回：BCP策定会議の立ち上げと実施要件

今回よりBCPを策定するための具体的なステップと必要条件などについて考えていこう。まず唐突ではあるが、決して望ましいとは言えないBCPの作り方から指摘しておきたい。それは「最初から最後まで自己完結的に作る」というアプローチである。

2019/07/18

第74回： IT途絶を招いた最大の原因は何か

データバックアップやITシステムの災害復旧などのサービスを提供している英国のDatabarraks社は、ITのレジリエンスやサイバーセキュリティなどに関する調査報告書として、2019年7月に「Data Health Check 2019」を公開した。

2019/07/16

あなたのWebサイト、攻撃されていませんか

企業の顔になるホームページ、製品を販売するためのEC（Electronic Commerce）サイト、そしてみなさんが情報をチェックするSNSなどのビジネスは、今やWebサイトなしには成り立ちません。

2019/07/16

世界は狂った

鉄のカーテンの両側で政治家と将軍たちは、もし、相手側がこちらを皆殺しにするなら、相手側も皆殺しにすると保証した。つまり、われわれは人間を抹殺することに同意することで、人間性を維持するのである。 ルイス・ラプハン　「化石の森」

2019/07/12

第9回：BCP策定のステップを確認する

「BCPはいろいろな作り方があって、どれを参考にすればよいかよく分からない」。時々このような声を聞くことがある。一般に中小企業向けBCPの具体的な考え方や作り方を知ろうとしたら、まずは次のような情報源やノウハウを参考にすることになるだろう。

2019/07/04

第73回：GDPR導入後の英国におけるサイバーセキュリティの実態

英国のデジタル・文化・メディア・スポーツ省（Department for Digital, Culture, Media and Sport）は2019年4月に「Cyber Security Breaches Survey 2019」という報告書を発表した。これは英国内の企業と慈善団体（businesses and charities）を対象として、サイバーセキュリティに関する実態調査を行った結果をまとめたものである。

2019/07/02

有効な事前対策、脆弱性診断

今まで当連載では、ハッキングやマルウェア感染に遭ったとき、またその後の感染拡大を防ぐ対策を中心にご紹介してきました。今回は事前に行う対策についてお話しします。

2019/07/01

すべての災害の母

未来を垣間見ることができれば、どうだろうか。 もし、全ての起こるかもしれない災害と、それがもたらす全ての悪いことを見ることができたら、どうだろうか。ハリケーンによる大洪水、地震で倒壊した建物、停電でスーパーマーケットの空っぽの陳列台や凍える住宅、バイオテロ攻撃の死者など、それらの全ての悪いことを足し合わせてみる。それは、どのように見えるだろうか。

2019/06/28

第72回：DDoS攻撃の発生状況とその実態

これまで本連載でたびたび紹介してきた、BCI（注1）による Horizon Scan Report（注2）によると、世界のBCM関係者が今後12カ月間に最も懸念される脅威は4年連続で「サイバー攻撃とデータ漏えい」（Cyber attack & data breach）となっている。また同じくBCIから発表された「Supply Chain Resilience Report」（注3）によると、世界のBCM関係者が過去12カ月間に経験したサプライチェーン途絶の原因の中で「サイバー攻撃とデータ漏えい」は 2013年から急増しており、2015年以降は2～3位の間で推移している。したがってサイバー攻撃はBCM関係者にとって最も警戒すべき脅威の一つと言える。

2019/06/25

Shit happens　－最悪の事態も起きるー

9.11の後、インテリジェンス・コミュニティ（政府が設置している情報機関によって組織されている機関）では攻撃が差し迫っているということが多くの人の目に明らかだった。ハリケーン・カトリーナの後、ニューオーリンズのインフラの強化が大幅に遅れていることもよく知られていた。 ナシーム・ニコラス・タレブ（ブラックスワンの著者）によれば、ブラックスワンはきっかけとなるインシデント（出来事）、あるいは一連のインシデントの産物なのだと説明するのは、偶然にだまされているのである。事後でさえ大災害の原因を理解できると考えるのはばかげている。結局のところ科学者たちは、相当の努力をしたにも関わらず、地震やテロ攻撃のタイミングを正確に予想することはできなかった。大災害の原因を突き止めるというのは大体において後付けの試みである。

2019/06/14

インシデント検知から60分以内に通知

GRCSは13日、「次世代型MSS（マネージドセキュリティサービス）」と題した企業向けのサイバーセキュリティの監視支援サービスの提供を開始したと発表した。Carbon Black（カーボン ブラック）社のエンドポイント向けセキュリティ製品である「CB Defense（シービー ディフェンス）」導入企業に、運用とセキュリティ監視の支援をGRCSが行う。

2019/06/13

SDNを使った制御システムのセキュリティ対策

今回は制御システムに対するSDN（Software-Defined Networking）を使ったサイバーセキュリティ対策について触れていきます。近年制御システムに携わる方々からSDNを利用したホワイトリスト対策について聞かれる機会が非常に増えました。その内容のご紹介です。

2019/06/10

想像上の友人　人間のもろさ

我々は何度も同じ問題に直面した。受け身の抵抗、曖昧、そして無視である。我々は人が何を言うか、それをいつ言うかが分かるまでになった。奇妙に思うかもしれないが、この現象を説明するために想像上の友人を作ることにした。その名はブルースである。

2019/05/31

SDNを使ったセキュリティソリューション

SDN（Software- Defined Networking）といった技術を使ったセキュリティ強化策について説明します。この技術はデータセンター向けに作られた技術ですが、企業オフィスや制御システムに対しても活用することができます。特にサイバーセキュリティ対策に関しては有効です。

2019/05/28

第70回：サプライチェーンのレジリエンスに関するここ10年間のトレンド

これまで本連載では、BCMの専門家や実務者による非営利団体であるBCI（注1）によって毎年発表されている「Supply Chain Resilience Report」を度々紹介してきた（注2）。これは主にBCI会員に対するアンケート調査を通して、サプライチェーン途絶の発生状況や企業等における対策状況や問題意識などを探ろうとするもので、2009年に最初の調査が行われて以来、10年連続で行われている。

2019/05/21

希望が煉瓦壁になる 　我々は自らの脆さを忘れがちである

ベッドからはい出して床に倒れたとき肌に分厚い煙が押し付けられるのを感じる。できるだけ床に近くいるのがよいと誰かが言っていたことを思い出す。しかしそこに救いはない。熱と酸素不足があなたの心臓をどきどきとさせる。希望は遠のいていき、もう終わりだと悟る。意識を失いつつあるとき、遠く家のもう一方の端で、煙感知器がピッチの高い音を出すのを聞く。近くの煙感知器用に買っておいた新品の電池が使用されないで台所のカウンターにある。あなたの命を救ったかもしれない電池であるが交換されることにはならなかったものである。

2019/05/17

ビル制御システムのセキュリティ対策（2）

前回の内容で説明しきれなかった、制御システムインフラ（＝ネットワーク）のホワイトリスト制御について説明します。

2019/05/13

企業情報窃取狙うサイバー攻撃に注意

マクニカネットワークスは8日、2018年度下期の日本国内の組織に対する標的型攻撃を解析したレポート「標的型攻撃の実態と対策アプローチ（第2版）」を公開した。主に中国からの機密情報窃取に注意を呼びかけるもので、サイバー攻撃による産業スパイ活動の実態を説明している。

2019/05/08

重要なインフラ　サイバー脅威

電力・病院・サプライチェーン・通信・小売店・公共輸送・銀行といった重要なインフラからなるすべてのシステムに共通していることがある。ワールド・ワイド・ウェブとして知られる危険な荒れ野に融合されていることである

2019/04/26

アドソル日進と立命大、IoTで協定

アドソル日進と立命館大学は22日、IoT（モノのインターネット）セキュリティに関する産学連携に関して協定を締結した。立命大に研究センターを設置し、医療や製造業などで重視されるインターネットからの重要情報の分離について基準作りなどを目指す。

2019/04/22