予期せぬシステム障害に対する予防策・事後対策のご紹介

　2020年度はシステム障害によって事業者のサービスが停止したニュースが目立ちました。例えば、大手クラウドサービスにおけるシステム障害では、特定のスマホ決済サービスや一部のスマホゲーム等が利用不可になるという事態に発展しました。また、大手金融事業者のシステム障害では、同社のATMが一時使用できなくなり、多くのユーザーが影響を受けました。

 これらの事例のような、サイバー攻撃や悪意のある行為などによらないものの、予期していなかった事態によるシステム障害は「脅威」であるとされ、独立行政法人情報セキュリティセンターが発行した「情報セキュリティ10大脅威2021」*1（以下、本資料）に、「予期せぬIT基盤の障害に伴う業務停止」として「組織」向け脅威の7位にランクインしています。

　本資料では、「予期せぬIT基盤の障害に伴う業務停止」に対する予防策として、『IT基盤の様々なトラブルを事前に想定し、対応策を準備しておく』ことや、『事業の継続や早期復旧を可能にするため、行動計画や復旧目標を定め、事業継続計画（BCP）を策定し、運用する』*2こと、復旧対策としての『データバックアップ』*2などを提案しています。

　予防策を講じるにあたっては、費用対効果の観点から、見込まれる効果に対して投入するコストを検討する必要があります。そのため、まずはシステム障害によるサービス・業務停止に伴う影響（どの程度の大きさの被害・損害がどのくらいの頻度で自社、関係事業者およびユーザーなどに生じうるか、など）を評価することが重要です。

　また、十分な予防策を講じたとしてもシステム障害が発生する可能性はどうしても残ります。その場合、自社のサービス・業務停止により、サプライチェーン上の他事業者から賠償請求を受ける可能性も考えられます。これらに備えるための事後対策として、契約時点での免責事項の見直しや保険加入などの検討をしてみてはいかがでしょうか。

＊１：本資料によると『情報セキュリティ専門家を中心に構成する「10大脅威選考会」の協力により、2020年に発生したセキュリティ事故や攻撃の状況等から脅威を選出し、投票により順位付けして解説した資料』（本資料より引用）です。
なお、本資料は以下URL先で公表されています。https://www.ipa.go.jp/security/vuln/10threats2021.html

＊２：本資料より引用しました。