Cybersecurity Awareness Month（サイバーセキュリティ意識向上月間）の歴史は、紀元前424年までさかのぼります。当時、アケメネス朝の王クセルクセス2世が書記官に法廷文書のコピーを2部作成するよう命じ、1部はパピルスで城の穀物倉に、もう1部は夏の宮殿の土器に保管したことがバックアップの起源とされています。…というのは全くの嘘ですが、それらしく聞こえませんか？（サイバー攻撃が盛んな時代なので、情報源は常にチェックしましょう）冗談はさておき、Cybersecurity Awareness Monthは、データをバックアップすることの重要性に着目し、偶発的なデータ損失、システム停止、サイバー攻撃に備える絶好の機会です。現在、特にランサムウェアの脅威レベルが非常に高まっています。ウクライナ戦争によりサイバー攻撃の警戒度がこれまで以上に高まりましたが、それ以前からランサムウェア攻撃の件数と深刻度は全般的に増加しています。Ransomware-as-a-Serviceが「イノベーション」を経たことで、事実上誰でも効果的なランサムウェア攻撃を仕掛けることができるようになりました。そのため、企業データの脆弱性はこれまでにないほど高まっています。保険会社によっては、ランサムウェア攻撃を防止・特定・軽減する強力なデータ保護プログラムを導入していない組織に対して、保険料の値上げや契約のキャンセルを要求する場合すらあります。この事実を踏まえたうえで、攻撃前、攻撃中、攻撃後に実行できるベストプラクティスをご紹介します。多要素認証（MFA）を活用する－MFAは、悪質なアクセスをブロックするのに役立つシンプルな制御です。ランサムウェア攻撃における最大のリスクとして、攻撃者によってバックアップデータが破壊され、復元に必要なクリーンデータを完全に失うことが挙げられます。MFAだけではこのリスクを軽減することはできません。しかし、MFAによって攻撃しにくい状況を作ることで、壊滅的なインシデントの進行を遅らせることが期待できます。最小権限の原則を採用する－ルートアカウントの情報にアクセスできる人数を制限するのは、賢明な方法と言えます。これは通常、アインティティおよびアクセス管理（IAM）よって実現することができます。特に、バックアップシステムにアクセスできるユーザーとアプリケーションについては、他のアプリケーションと同じアクセス情報を使用しないことが重要です。データを暗号化する－これはかなり基本的なことですが、こういった単純なルールが意外と守られていないことがあります。保存時のデータ暗号化（DaRE）を常に使用しましょう。データが暗号化されると、データ盗難による深刻な影響が大幅に軽減されます。データ侵害を報告するのはどの企業にとっても恥ずべきことではありますが、流出したデータが窃盗犯にとって役に立たない場合は、傷も浅くすみます。3-2-1バックアップ戦略を使用する－この方法では、少なくとも3つのデータコピーが必要になります。3つのうち2つは、異なるメディアのサイト上に保存します。そして、少なくとも1つのコピーをオフサイトに保管します。WasabiのパートナーであるVeeamは、いわゆる3-2-1-1-0ゴールデンバックアップ戦略を推奨しています。これは、コピーをさらにもう1部作り、オフラインまたは仮想のエアギャップクラウドストレージに保存する手法です。この戦略における最後の「0」は、エラーがゼロであることを示します。オンサイトのバックアップはプライマリシステムとともに危険にさらされる可能性があるため、こういった戦略がとても重要です。また、エラーをゼロにするには、バックアップを定期的に監視およびテストする必要があります。WasabiはAWS S3などの他社とは異なり、下り転送料が無料です。下り転送やAPIリクエストの追加料金がかからないため、お手頃な価格でこの戦略を実践することができます。データのイミュ―タビリティ（不変性）を取り入れる－データをイミュータブルな状態でバックアップした場合、内容を変更することができなくなるため、ランサムウェアによる暗号化の影響を受けません。Wasabiのイミュータブル機能には、ガバナンスモードとコンプライアンスモードがあります。コンプライアンスモードは、多くの規制コンプライアンスで求められている削除・保護ポリシーに準拠し、人為的なミスや悪意のある行為からデータを最大限に保護します。ガバナンスモードでは、ルートユーザーに特定のオブジェクトポリシーを変更できる権限が与えられます。たとえば、30日間にわたってオブジェクトを保持する設定にしていても、ルートユーザーであればそれを変更することが可能です。コンプライアンスモードの場合は、ルートユーザーであってもポリシーを変更することはできません。クラウドストレージアカウントの安全性を確保する－イミュータブルバックアップを使用していても、悪意のある人物がクラウドストレージアカウント全体を削除してしまう場合があります。アカウントの安全性を保つために、先述したベストプラクティスの1と2を導入しましょう。また、クラウドストレージアカウントのセキュリティを提供するプロバイダーを検討する必要があります。Wasabiでは、マルチユーザー認証によって1人のユーザーがストレージアカウントを削除できないようにする機能も提供しています。Wasabiでバックアップ戦略を完璧にする以上のベストプラクティスを通して、ランサムウェアの軽減ができるほか、サイバー保険会社ともより良い関係を築くことができるようになります。Wasabiには、こういった実感を得ているお客様が多く存在します。Aquatech International社のシニアITエンタープライズアーキテクトであるBrian Fraley氏は、以下のように述べています。「Wasabiは我々のバックアップ戦略に素晴らしい追加機能をもたらしてくれました。昨年、海外オフィスの1つがランサムウェアの攻撃を受け、リポジトリとして機能していたNASも暗号化されたことで、現場で使用可能なバックアップが一切なくなりました。しかし、たった数回クリックするだけでWasabiから環境を復元することができました。イミュータブル機能を取り入れてからはUSB外付けドライブの使用をやめましたが、これ以上ないほど満足しています。」ケンタッキー州ハーディン郡政府のITディレクターであるAaron Miller氏も、イミュータブル機能によってランサムウェアを軽減できることがWasabiを採用する大きな決め手になったと語っています。「ランサムウェア攻撃を受けた組織に関するニュースを毎日のように耳にします。Wasabiがあれば、万が一ランサムウェアに感染したとしても、OSを再インストールし、数分以内にバックアップを取得することができます。すべてのデータが安全に保護されているとわかっているので、夜間でも安心して眠れます」。...

近年「BCP（事業継続計画）」という言葉を耳にする機会が増えました。BCP策定の取り組みは大企業を中心に進んでいますが、中小企業ではいまだ十分に浸透しているとは言えません。しかし経営資源に限りのある中小企業にこそ、BCPは必須の取り組みです。この記事では中小企業がBCPに取り組むべき理由、具体的なメリット・デメリット、そして国や東京都が提供する支援策について詳しく解説します。BCPは決して難しいものではありません。まずは自社が抱えるリスクを知り、できることから対策を始めていきましょう。「BCP」とは？BCPとはBusiness Continuity Planの略で、日本語では「事業継続計画」と訳されます。企業が自然災害などの予期せぬ緊急事態に遭遇した際に、事業資産の損害を最小限にとどめつつ、中核となる事業の継続や早期復旧を可能とするために、事前に策定しておく計画のことです。BCPの目的は、事業の継続を通じて顧客や取引先からの信頼を維持し、従業員の雇用を守り、企業価値を保全することにあります。よく混同されがちな「防災対策」は、主に人命保護や建物・設備の被害軽減を目的としていますが、BCPは、事業の継続・早期復旧に焦点を当てている点が大きく異なります。防災対策が「守り」の対策であるのに対し、BCPは「攻め」の経営戦略とも言えるでしょう。中小企業におけるBCPの必要性緊急事態はいつ起こるかわかりません。とくに経営基盤が脆弱な中小企業にとって、事業継続を脅かすリスクへの備えは、企業の生死を分ける重要な経営課題です。ここでは中小企業が直面するリスクとBCPの必要性を具体的に見ていきましょう。災害リスクと中小企業の脆弱性近年、日本各地で地震、台風、ゲリラ豪雨、大雪などの自然災害が頻発しています。加えて、新型感染症のパンデミック、テロ、サイバー攻撃などの脅威にも注意が必要です。中小企業は大企業に比べて経営資源（ヒト・モノ・カネ・情報）が限られるため、ひとたび災害や緊急事態が発生すると、事業継続が困難になるリスクが非常に高くなります。BCPがない場合のリスクBCPを策定していない場合、緊急事態が発生した際に企業は以下のような深刻なリスクに直面する可能性があります。事業停止・縮小による経済的損失：事業活動が長期間停止することで売上が大幅に減少する顧客や取引先の信頼失墜：納期遅延や提供停止などにより顧客や取引先からの信頼を失い、取引が打ち切られる可能性がある従業員の離職、採用難：事業の先行きが見えない状況下で従業員の士気が低下し、離職につながる可能性がある。企業の評判も悪化し、新たな人材の確保が困難になる廃業・倒産のリスク：資金繰りが悪化して事業の再建が困難になり、廃業・倒産に追い込まれる可能性がある社会的信用の失墜：事業を止めることで地域社会での責任を果たせなくなり、社会からの信用を失ってしまうこれらのリスクは企業の存続を脅かすだけでなく、地域経済全体にも大きな影響を与えかねません。中小企業がBCPを策定するメリットBCPは緊急事態発生時のリスクを軽減するだけでなく、平時における経営改善や企業価値向上にもつながる非常に有効なツールです。ここではBCP策定によって得られる具体的なメリットを見ていきましょう。事業継続性の向上BCPを策定する最大のメリットは、緊急事態発生時においても、事業の継続、または早期復旧の可能性を高められる点です。BCPには、以下のような具体的な効果があります。事業継続・早期復旧：事前に対応策を定めておくことで冷静かつ迅速に行動でき、事業の中断期間を最小限に抑えられる顧客・取引先の信頼維持・向上：事業を継続することで顧客や取引先からの信頼を維持できる。納期遅延やサービス停止による損害賠償リスクも軽減できる従業員の安心・安全確保：安否確認や避難誘導など安全確保に関する対策により、従業員とその家族の安全を守れる経営改善・企業価値向上CP策定は、緊急時への備えだけでなく、平時の経営改善や企業価値向上にも貢献します。業務効率化・無駄の削減：BCP策定の過程で自社の業務プロセスを詳細に見直すことで、ボトルネックとなっている業務や無駄な作業が明らかになり、改善のきっかけとなるリスク管理体制の強化：さまざまなリスクを想定し対応策を検討することで、組織全体のリスク管理意識が高まり、経営の安定化につながる社会的責任（CSR）の遂行：BCPを策定・運用することで社会からの信頼が高まり、企業イメージの向上にもつながる金融機関・投資家からの評価向上：近年ではBCPの策定状況を評価項目に加える金融機関や投資家が増えており、資金調達や企業評価の面でも有利に働く可能性があるBCP策定の課題BCPの重要性は理解していても、実際に策定するとなるといくつかの課題を感じる中小企業も少なくありません。主な課題としては、以下のような点が挙げられます。時間と手間：BCP策定には、現状分析、リスク評価、対策の検討、計画書の作成など多くの時間と手間がかかるため、日常業務に追われる中でBCP策定に十分な時間を割くのが難しい専門知識：BCP策定には、防災、リスクマネジメント、事業継続に関する専門知識が必要なため、自社内に専門知識を持つ人材がいない場合、どのように進めればよいかわからない費用：BCP策定にコンサルタントを活用したり、システムを導入したりする場合、費用の発生が課題となるこうした課題は、以下で紹介する国や自治体の支援策を活用することで補うことができます。まずは簡易的なBCPからスタートして、徐々に内容を充実させていけば企業の負担を減らすこともできるでしょう。国や自治体の中小企業向けBCP策定支援国や自治体では、中小企業のBCP策定を後押しするためのさまざまな支援策を用意しています。これらの支援策を積極的に活用することでBCP策定のハードルを下げることができるでしょう。国の支援策国はBCP策定のためのガイドラインやBCPの運営方法など、さまざまな情報発信を行っています。また経済産業大臣が認定する「事業継続力強化計画認定制度」を活用すれば、税制措置や金融支援、補助金の加点などの支援策を受けることも可能です。参照：事業継続ガイドライン｜内閣府、中小企業BCP策定運用指針｜中小企業庁、事業継続力強化計画｜中小企業庁東京都の支援策BCPの策定支援は自治体レベルでも行われています。たとえば東京都中小企業振興公社では、セミナーや講座の開催、コンサルティングの実施による「BCP策定支援」や、必要な経費の一部を助成する「BCP実践促進助成金」などの制度を実施しています。参照：BCP策定支援｜経営支援｜東京都産業労働局まとめと今後の展望自然災害や感染症、さらにはサイバー攻撃といった多様なリスクが企業を取り巻く現代において、BCPは中小企業の存続と成長に欠かせない戦略です。BCPの策定は、緊急時の迅速な事業継続・早期復旧のみならず、平時の業務効率化やリスク管理体制の強化、ひいては企業価値の向上にも直結します。国や自治体が提供する支援策を賢く活用して、今こそ具体的なBCP策定に踏み出しましょう。Wasabiのクラウドストレージは高度なセキュリティ機能と迅速なデータ復旧を実現し、BCPの重要な基盤となります。企業のリスク対策を一層強化する理想的なパートナーとして、ぜひWasabiのサービスを検討してください。...

サイバー脅威が深刻化・頻発化する中、米国議会は、重要インフラを悪意のある行為から保護するためのさまざまな立法措置を検討してきました。ウクライナ戦争によってサイバー脅威への懸念がさらに高まったことで、上院は米国サイバーセキュリティ強化法（SACA）を可決しました。この法案には、2022年3月15日に大統領による署名のもと発効された法律「米国重要インフラ向けサイバーインシデント報告法（CIRCIA）2022」が含まれています。この法律はサイバー攻撃に関するものですが、特にランサムウェアがもたらすリスクに対処するために制定されたという見方もできます。本ブログでは、ランサムウェアの軽減が企業のSACA遵守に与える影響についてご説明します。サイバーセキュリティインシデントに関するSACAの報告要件この法律では、エネルギーの電力網・ダム・廃水処理施設などを含む16種類の重要なインフラを運営するいわゆる「対象事業体」に対し、サイバーインシデントの発生後72時間以内に米国サイバーセキュリティ・社会基盤安全保障庁（CISA）に報告することが義務付けられています。この規則が定められた根拠は明白で、インシデントの存在を認知しなければCISAが対応できないためです。また、直面している脅威について業界内の組織同士で理解する必要もあります。情報開示が迅速に行われることで効果的な対応につながります。SACAは内容に関する議論期間が設けられていますが、最終的な方針が固まるのはおそらく2年ほど先になるでしょう。現時点では、72時間前までに報告することが義務付けられており、今後もこのルールが維持される可能性が高いと思われます。しかし、72時間では長すぎます。脆弱性は公開から数時間でハッカーやボットネットによって悪用されるため、最終的な方針が設定される前に報告義務の時間が短縮されることを願います。SACAに基づく報告基準SACAでは主に2つの報告トリガーが指定されています。対象となる事業体は、規則制定プロセスの詳細に従って、以下の内容を報告する必要があります。「（i）当該情報システムまたはネットワークの機密性・完全性・可用性の損失につながる、または運用システムおよびプロセスの安全性と回復力に重大な影響を及ぼすサイバーインシデント」または、「(ii)サービス拒否攻撃、ランサムウェア攻撃、または情報システムや運用技術システムに対するゼロデイ脆弱性の悪用などによる、事業運営の中断」法律事務所BakerHostetlerのレポートによると、この法律では対象となる事業体に対し、「クラウドサービスプロバイダー、マネージドサービスプロバイダー、その他のサードパーティデータホスティングプロバイダーの侵害、またはサプライチェーンの侵害によって促進された、またはそれによって引き起こされたサービス損失による不正アクセスまたは事業運営の中断」を報告することも義務付けられています。特にランサムウェアを意識して作られた法律SACAは、システムの機密性・完全性・可用性の損失につながるあらゆる脅威を対象としています。実際のところ、深刻化・蔓延化ているサイバー脅威であるランサムウェアのほとんどすべてがこの法律の対象となっています。ランサムウェア攻撃は事業運営を混乱させる可能性もあります。これらの事実を認識したうえで、この法律の起草者はランサムウェアについて言及し、対象となる事業は身代金を支払ったか、もしくは支払う予定があるかを、インシデント対応の詳細とともに開示しなければならないと規定しています。さらに、ランサムウェアの問題は攻撃の潜在的な深さにも関係しています。マルウェアはデータを暗号化して身代金を要求しますが、ランサムウェア攻撃はそれよりもさらに破壊的かつ陰湿です。まず、多くの場合においてデータの流出が伴います。さらに、ほとんどの場合、ステルスマルウェアがインフラの奥深くに埋め込まれ、しばらく経ってから有効化されます。これにより、対象事業が重大なリスクにさらされる恐れがあるため、この新法で攻撃の報告を義務付けることは非常に理にかなっていると言えます。この現状を踏まえたうえで私が問題視しているのは、ランサムウェア攻撃の標的となる企業がこの法律をどのように解釈するかということです。SACAでは、インシデントによって企業の情報システム、ネットワーク、運用システム、プロセスに「重大な影響」が与えられた場合に報告義務を課しています。しかし、一体誰が、何をもって「重大な影響」であるかどうかを判断するのでしょう。たとえば、ある企業がイミュータブルバックアップを使用してハッカーからのアクセスを防ぎ、ランサムウェア攻撃による潜在的な損害を軽減した場合でも、CISAに攻撃を通知する必要があるのでしょうか。この法律は、損害やサービスの中断がない場合において不明瞭な点があります。しかし、SACAが重視しているのは透明性であることは明らかです。ランサムウェアやサイバー攻撃を受けた結果がどうなるかに関わらず、インシデントの報告はすべての人に役立ちます。ランサムウェア攻撃の影響を軽減する方法ここまで、ランサムウェア攻撃から正常に復旧するための手順について詳しくご説明してきました。堅牢な3-2-1バックアップ戦略によってバックアップコピーの少なくとも1部をイミュータブルストレージに保存することで、システムの消去やソフトウェアの再インストール、身代金の支払いなどを避け、操作の中断を最小限に抑えながら安全なデータをアップロードすることができます。もちろん、実際はそんなに単純ではないため、組織ごとに適したバックアップ戦略を考える必要があります。その戦略には、完全バックアップや増分バックアップを実行する頻度、定期的にバックアップをテストおよび検証するための計画なども含まれます。これまでの一般的な頻度は少なくとも年に1度といったところでしたが、サイバーセキュリティ攻撃を受けるリスクを考慮し、現在では多くの組織が四半期に1度または月に1度バックアップをテストしています。最後に、すべてのクラウドストレージサービスが同じように作成されているわけではないことにご注意ください。多くのクラウドストレージ層の場合、テラバイトあたりのコストが比較的低くても、バックアップデータが急速に増加する可能性があります。データの増加だけでなく、APIリクエスト料金（バックアップをテストする場合など）や下り転送料（サイバー攻撃が発生した場合にデータを復元する場合など）といった隠れたコストが発生し、ストレージ予算が思いがけず急激に跳ね上がる恐れがあります。そのため、データの保存先を選ぶ際は、下り転送料やAPIリクエスト料が請求されないかどうかを確認しましょう。ランサムウェア対策を真剣に考える新法の最終的かつ恒久的な規則が決まるまでには、まだしばらく時間がかかると思われます。しかし、この法律の方向性は非常に明確であり、重要なインフラに影響を及ぼすインシデントを迅速に報告することが政府から期待されています。この期待は、すべての企業に拡大する可能性があります。そのため、ランサムウェア対策に真剣に取り組むべき時期が来たことを示すシグナルとしてこの法律を捉えるべきです。...