沖縄を止めないために─サイバー攻撃時代の行政BCPを再点検する

行政機関の事業継続計画(BCP)は、災害だけでなく、近年多発するサイバー攻撃を前提に考える必要があります。飲料メーカーや物流企業への攻撃では、基幹システムが一度停止しただけで、生産、物流、顧客対応といった複数の機能が連鎖的に停止しました。行政の申請、窓口、福祉、医療などの業務はほぼすべてがデジタル化されているため、同様の事態が起これば行政サービスは直ちに影響を受けます。

沖縄県では、港湾BCP、障害福祉サービス事業所のBCP義務化、小規模事業者向けの事業継続力強化支援制度など、分野別の備えが進んでいます。また県庁内部でも新型感染症を想定した業務継続計画の改定が進められています。しかし、県内企業のBCP策定率は依然として一桁台とされ、観光、食品製造、文化産業など地域の基幹産業を支える中小事業者の備えが十分とは言えません。行政のBCPも、サイバー攻撃や通信断を前提とした具体策をどこまで詰めているか、公表情報からは読み取りづらい点が残っています。

こうした状況の中で参考になるのが、関西の大手物流企業が受けたランサムウェア攻撃です。攻撃直後、侵入経路の特定ができず、どこまで侵害されているか判断できない状況に陥りました。同社は次のように方針を語っています。

「侵入経路をすぐに特定するのは難しい状況でした。どこまで侵害されているか分からない環境を使い続けるリスクを避けるため、『すべて捨ててやり直す』という方針が決まりました。」

この決断により、全PC450台を総入れ替えし、サーバーも新規に構築。旧システムは使用せず、攻撃前のデータも移行しない“ゼロからの再構築”を選択しました。残っていた在庫情報など、必要最低限のデータのみテキストで共有し、復旧を最短で進めたとされています。

その結果、PC・サーバー除却に約3億円、復旧に要した人件費が約4億円、取引先への賠償が約10億円とされ、合計17億円以上の損失となりました。同社は「セキュリティはコストではなく、信頼性への投資である」と総括しています。

行政がここから学ぶべき点は三つあります。
一つ目は、止めてはいけない業務の優先順位を明確にすることです。住民票、戸籍、福祉、医療、避難所運営など、復旧すべき順番を事前に決めておく必要があります。
二つ目は、システム停止時でも業務継続できる代替手段の準備です。紙での受付、人員の振替、別拠点の活用など、デジタルに依存しない体制を整えておく必要があります。
三つ目は、外部との連携断絶を想定することです。行政は委託事業者、通信事業者、他自治体との協力が不可欠であり、これらが止まれば行政機能は大きく低下します。

沖縄では特に、観光、物流、文化産業、医療が強く結びついているため、一つの機能停止が地域全体に影響しやすい構造があります。港湾のBCPが整っていても、通信障害で手続きが止まれば物流は滞ります。福祉施設がBCPを整えていても、物資供給が断たれれば運営は困難になります。行政と企業、インフラが連動して初めて真の事業継続が成立します。

また、沖縄にはセキュアイノベーション株式会社(https://www.secure-iv.co.jp/)のようなサイバーセキュリティ専門企業もあります。監査、訓練、緊急時支援などを地域レベルで担える企業の存在は、沖縄の強みであり、行政や事業者は積極的に連携していくべきです。

加えて、家庭にも小さなBCPが必要です。通信断や台風の際、どう連絡を取り、どこに集合し、何を備えておくか。基本的な合意形成が、安全を大きく左右します。今こそ、家族で話し合う機会をつくり、備えを確認し直すことが求められます。

沖縄全体のサービスを止めないためには、行政、企業、地域、家庭がそれぞれの役割を認識し、現実的な備えを積み上げる必要があります。災害にもサイバー攻撃にも揺るがない地域づくりに向け、社会全体での総点検が必要とされています。

なお、個人的な話ではありますが、11月6日に視察先のベトナムでiPhoneの基盤がショートしました。そのおかげで1週間ほど、まともに連絡が取れずに困った経験から、個人のスマホなどもバックアップを取れるようにしておくこと。サイバー攻撃を受けることがあるかもしれないと考えて、個人のBCPも計画立ても必要だと感じました。

写真はninh binh TV という現地の報道が入っていましたので、そこからスクショ。

https://www.youtube.com/watch?v=7dls-UxFSt0

参考サイト

・沖縄県 港湾BCP
https://www.pref.okinawa.lg.jp/machizukuri/kowankuko/1013146/1013201/1013205.html

・沖縄県 障害福祉サービス事業所におけるBCP策定
https://www.pref.okinawa.lg.jp/kyoiku/shogaifukushi/1007022/1018749/1026811.html

・沖縄県 事業継続力強化支援計画(小規模事業者向け)
https://www.pref.okinawa.jp/shigoto/shien/1010056/1022724/1019808.html

・帝国データバンク BCP策定率調査
https://www.tdb.co.jp/report/economic/et9dv0lvm/

・サイバー攻撃対応の詳細(関西物流企業事例)
https://www.softbank.jp/business/content/blog/202510/kantsu-ransomware-it

・セキュアイノベーション株式会社
https://www.secure-iv.co.jp/

その他

Posted by 44104