バックアップが「あるのに使えない」という問題は、技術の失敗ではなく、まさにこの分断が生んだものだろう。
監査やコンプライアンスチェックも、この分断を見逃しがちだ。チェックリストに「バックアップを取得しているか」という項目はある。しかし「復元できるか」「テストしているか」「復元目標を経営者が定めているか」という項目は抜けていることが多い。
結果として、「バックアップを取ったから大丈夫」と思い込んでしまう。リスクが高いにもかかわらず、誰も現状を変えようとしなかった結果が「復元できたのはわずか2割」というわけだ。
セキュリティ対策で陥りがちな「手段先行」
まず自社のことを振り返ったとき、どれくらいの停止期間で、どの状態まで復元することが目標になっているか。その問いに、今すぐ答えられるだろうか。
この問いへの答えが、バックアップ設計の出発点であり、IT部門とベンダーに渡すべき要件の必須要素だ。こうして初めて、バックアップが単なる形式的調達から、ビジネスにとって実質のある復旧手段として整備される。
今回はバックアップを題材にしたが、同じ構造の問題は実はセキュリティリスク対策のほかの場面にも、広く潜んでいると筆者は考える。
同業他社もやっているし、コンサルタント会社が勧めるからEDRを導入した、脆弱性診断をやった、インシデント対応契約を結んだ――それぞれに予算をかけ、担当者が動いた。「やってる感」はある。
しかし「何のためか」という目的が経営レベルで定まっていなければ、いざインシデントが起こったときに適切に対応できず、被害の拡大を阻止できないおそれがある。
手段が先行し、目的が後から追いかける、あるいは追いかけることすら忘れる……。そういった構造は、バックアップに限った話ではないだろう。目的を踏まえた検討と、現実に即した戦術の改善をぜひ続けてほしい。
