現代の企業はクラウドやネットワーク、ITシステムに極めて深く依存しています。しかし近年、多発するサイバー攻撃は、もしシステムが停止したときに業務がどう崩壊しうるかを改めて警告しています。こうした状況を受け、英国政府は大手企業の最高経営責任者(CEO)らに対し、潜在的なサイバー攻撃に備え、緊急時対応計画を「紙で記された形で」整備するよう要請する書簡を送付しました。デジタル機器がすべて機能しない事態を想定し、あえてペンと紙に立ち戻ることの必要性を訴える助言です。
ハッキングによる実害とその教訓
この助言が示された背景には、英国国家サイバーセキュリティセンター(NCSC)が、近年、国家的インフラや主要企業を対象としたサイバー攻撃の増加を報告している点があります。実際、ジャガー・ランドローバーでは複数の工場がサイバー攻撃を受け、生産が停止した事例が報じられています。さらに、Marks & Spencer や Co-op といった小売企業も、システム停止に伴い店舗運営や物流に混乱を来したとされます。こうした攻撃は単なるデータ漏洩や情報流出にとどまらず、企業の物理的業務運営やサプライチェーン全体に波及し、経済活動を揺るがすリスクがあることを浮き彫りにしました。
NCSCの長官リチャード・ホーン氏は、「もし攻撃が社内に侵入した際、ITシステムが役立たない状況でも企業がどう業務を継続し、ITを再構築するかを想定して計画を持つ必要がある」と述べています。この見解には、サイバー攻撃を完全に防ぐことは現実的には難しく、むしろ被害を前提とした回復力を重視すべき、という前提が背景にあると解されます。
レジリエンス重視への転換
【広告】
記事では、企業が従来の「防御中心のセキュリティ」から、「回復力(レジリエンス)」の構築へと視点を変えることが推奨されています。いわゆる レジリエンス・エンジニアリング(resilience engineering) の考え方では、攻撃発生時に以下のような能力を備えることが重要とされます:
- 予測(Anticipate):潜在的脅威や弱点を事前に把握する
- 吸収(Absorb):攻撃の衝撃を最小化し、耐える
- 回復(Recover):迅速に通常運転に戻す
- 適応(Adapt):攻撃から学び、将来に備える
こうした能力を備えるには、デジタル環境だけに頼らず、すべての手順・連絡先・優先度がデジタル機器を介さずとも参照可能な形で保存されていなければなりません。紙媒体あるいはオフラインでの計画も、抑止策の一部と位置付けられます。
アナログ思考と最悪シナリオへの備え
今回の政府助言は、企業にとって最もシンプルな業務継続策に立ち戻るよう促すものとも言えます。デジタル化が進む現代だからこそ、ITがまったく使えなくなった場合の「アナログな対処法」が、事業継続の鍵となりうるのです。経営層は、IT部門だけの問題と捉えるのではなく、「ITなしで事業をどう維持するか」という最悪の事態を前提にした計画を、誰でも参照できる形で整備する責務があります。
ただし、このアプローチは万能ではありません。紙媒体そのものがアクセス不能になる可能性、保存性・改ざんリスク、運搬・保管コストなどの課題もあります。将来的には、オフライン化された復旧システム、分散化されたバックアップ、物理的な資料保護といった要素と組み合わせる必要があるでしょう。
こうした対策を講じることが、現代における最も実践的な第一歩になり得る――本記事が示す警告は、単なる助言にとどまらず、企業のサイバー危機対応における構造転換のきっかけとなる可能性を秘めています。
コメント