CHECK
01
サイバー攻撃を前提とした事業継続計画(BCP)の実効性検証
「出荷できない状況」に陥ったことは、基幹システムが停止した場合の代替手段が機能しなかった、あるいは準備されていなかった可能性を示唆します。サイバー攻撃によるシステムダウンは、もはや「想定外の災害」ではありません。ITシステムが完全に利用不能になることを前提とした、現実的な事業継続計画(BCP)が不可欠です。
対策の方向性:
まず、受注から出荷に至るまでの業務プロセスを洗い出し、システム停止時にどの業務が滞るかを明確にします。その上で、システムが復旧するまでの間、手作業や紙、電話、FAXといった代替手段で業務を継続するための具体的な手順を定めます。重要なのは、この計画を文書化するだけでなく、定期的な訓練を通じて実効性を検証することです。実際にシステムを停止させた状態で訓練を行うことで、現場の混乱や想定外の課題が明らかになり、計画の精度を高めることができます。
CHECK
02
復旧の生命線となるバックアップデータの「聖域化」
ランサムウェア攻撃からの復旧における唯一の希望は、正常なバックアップデータです。しかし、近年の攻撃者は、システムを暗号化する前にネットワーク上のバックアップサーバーを執拗に探し出し、破壊しようとします。バックアップが同時に被害に遭えば、自力での復旧は絶望的となります。
対策の方向性:
バックアップデータを攻撃者の手が届かない「聖域」に保管する戦略が必須です。具体的には、主要なバックアップをネットワークから物理的または論理的に完全に隔離されたオフライン環境(例:LTOテープ、外部ストレージ)に保管する**「エアギャップ」の考え方を導入します。また、クラウドストレージを利用する場合は、一定期間データの変更や削除を不可能にするイミュータブル(不変)バックアップを活用します。これらの対策に加え、定期的にバックアップからの復旧テスト**を行い、いざという時に本当にデータを復元できることを確認するプロセスが極めて重要です。
CHECK
03
医療サプライチェーンの一員としてのレジリエンス強化
オオサキメディカルは、医療機関に製品を供給する、社会インフラの重要な一部を担っています。同社の出荷停止は、医療現場での物品不足に直結し、患者の安全を脅かす可能性があります。自社の事業継続は、自社だけの問題ではなく、社会的な責任を伴います。
対策の方向性:
自社のセキュリティ対策を強化することはもちろん、業界全体でサプライチェーンの強靭性(レジリエンス)を高める視点が求められます。業界団体などを通じて、医療関連企業向けのセキュリティガイドラインを策定・共有したり、脅威情報を交換し合う仕組み(ISACなど)を構築したりすることが有効です。また、経営層はセキュリティ対策を単なるコストとして捉えるのではなく、医療というミッションクリティカルな事業を継続するための「事業投資」と位置づけ、リーダーシップを発揮して継続的な改善に取り組む必要があります。
