Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

環境省が12時間代表電話を使えなかった件を考えてみる。

TBSの12月7日のニュースで、環境省の電話が半日止まった件がありましたので、少し考えてみました。

news.tbs.co.jp

東京・霞が関環境省で、7日未明から電話がおよそ12時間にわたって不通となるトラブルがありました。

 午前2時ごろ、職員が電話を使用していたところ突然切れてつながらなくなり、代表電話やほとんどの直通電話が使用できない状態がおよそ12時間続き、午後2時すぎになって復旧しました。

 NTT東日本によりますと、光電話の設備の故障が原因で、不正アクセスなどは確認されていないということです。引用:TBSニュース

 

事件自体は単なる設備機器故障ですので、セキュリティとは関係が無いと思われそうですが、このニュースを見ていて思い出したことがありました。それは5年ほどまでに某カードブランド(海外国籍)の方と話していた時に、『日本のインシデント対応は、災害しか考えてないけど大丈夫か?』と言われたことです。

2011年の東日本大震災の後で、大災害を考慮してBCPを改訂された企業は多いかと思いますが、今や大きな経営課題となりつつあるサイバー攻撃などで、自社システムが止まる場合・・・そうした想定が(少なくても当時は)あまりされてない、今もそんな企業が多いのではないでしょうか?

前述の某カードブランド(海外拠点)では、インシデント対応訓練として『社内電話を止める』ことが実施されたそうです。当時、この話を聞いたときは、そんな必然性すら感じませんでしたが、やはりそうしたリスクが増してきているという事を今は実感します。カードブランドは世界中の事故情報を抑えているので、こうしたリスクに対する懸念を当時からされていたのかと思いますが、2014年のソニーピクチャーズ事件でも、先日のWannaCryでも社内の重要システムがダウンした例が実際出てきているわけですから、『せめて検討だけでもしておく』ことは各企業にとっても必要かもしれません。

恐らく・・・実際に電話線を止めてみると、想定もしなかった関連障害がテストであっても発生して、サイバー攻撃を受けた際には大きな気づき(対策ポイント)となるでしょう。

 

f:id:foxcafelate:20171210132035p:plain

更新履歴

  • 2017年12月10日 PM(予約投稿)