「テストしていないバックアップは、存在しないのと同じだ」
これは比喩ではない。非常時に初めて開く手順書には、必ず穴がある。例えば、誰が何を判断するか決まっていない。どのシステムをどの順番で戻すか決まっていない。復元完了の判断基準がない、など。
そもそも、壊れていないシステムを止めて訓練する許可を、現場は経営者に求めにくい。コストがかかるからだ。しかしランサムウェア被害が現実となったとき、訓練を怠ったコストと向き合わざるを得ない。
経済産業省とIPA(情報処理推進機構)が策定したサイバーセキュリティ経営ガイドライン Ver3.0 は、復元目標の設定と定期的な演習の実施を経営者の責務として明記している。サイバーセキュリティのガイドラインを定めている米国NIST(国立標準技術研究所)のSP800-34でも、技術要件の観点から、バックアップの設計がビジネスインパクト分析から逆算されなければならないと示している。
つまり、バックアップは目的から設計されなければならない。それでも多くの企業では、目的や手段が曖昧な状態で、場当たり的なバックアップを行っているのではないだろうか。
見えざる分断が生み出す「根拠のない安心」
ではなぜ、「使える」バックアップが取れないのだろうか。この問題の本質は技術ではなく、2つの分断にある。
1つは、ビジネス要件を知っている人(経営者)と手段を設計する人(IT部門・ベンダー)の間の分断だ。経営者は「任せてあるから大丈夫だろう」、IT部門は「言われた通りにした」、ベンダーは「頼まれた範囲を納品した」とそれぞれ思っている。
三者とも嘘をついていない。しかし三者が揃って、「同じ目的を共有した」復元のことを考えていない。ベンダーが復元の範囲まで踏み込まないのは、顧客が要件を示さないからでもある。「バックアップの取得」と「バックアップからの復元」は本来まったく別の話だが、その区別が契約上も認識上も、曖昧なまま置かれがちだ。
もう1つは、脅威の現実と自己認識との分断だ。
「復元しないといけない状況に陥ると思っていなかった」
被害に遭った企業からそういった声を聞くことがある。「うちは大丈夫だろう」という根拠のないバイアスは根強い。ランサムウェア被害は「遭うか遭わないか」の問題ではなく、もはや「いつ遭うか」の問題になっている。しかしその認識と現実の間にはまだ隔たりがある。
この「分断」は、筆者が主宰するHardening Projectでも繰り返し目撃してきた現象だ。Hardening Projectとは、システム堅牢化技術を競って顕彰する実践的なプロジェクトで、2025年のテーマは「Invisible Divide(見えざる分断)」だった。
サイバー攻撃から事業を守るための備えが、人の意識や意図の分断によってまともに機能しない――そうした状況を参加者たちは繰り返し再現し、そしてその分断を乗り越えることの重要性を、実体験として学んだ。
次ページが続きます:
【セキュリティ対策で陥りがちな「手段先行」】
