プラクティス8-2　組織内外の連絡先の定期メンテナンス

　プラクティス8-1に記載したU社では、自然災害を想定したBCPを策定しており、年に1回BCP訓練を実施しているが、サイバー攻撃を想定した訓練や疑似演習は実施していない。

　情報システム部の部長は、サイバー攻撃によるインシデント発生時は通常のシステム障害と異なり、システム運用委託先に加えてセキュリティに関する専門ベンダとの連携が必要となると考え、BCP訓練のタイミングで組織内外の連絡先を全てメンテナンスすることとした。なお、災害発生時の連絡先はメーリングリストでまとめられているが、例年のBCP訓練では訓練シナリオに関係する連絡先のみをチェックしていた。また、連絡先にIT部門が含まれているかどうか確認したことがなかった。

U社の実践のステップ

情報システム部長が実践したステップは下記の3点である。

1. ①必要なIT部門が災害時の連絡先に含まれているか確認し、抜け漏れがあれば追加する
2. ②BCP訓練対象でない連絡先について、訓練と同期して担当者の電話番号・メールアドレスに変更がないか、確認する
3. ③災害発生時に利用する、BCP向けに存在している全ての連絡先にテストメールを発信する

U社の実践内容

　情報システム部長は、サイバー攻撃を想定した疑似演習において意図的に本番システムを攻撃させることは、実施のハードルが高いと考えた。そこで、自社だけで対応可能なインシデント発生時の連絡先の定期的なメンテナンスとメーリングリストへのテストメール発信を最低限実施するプロセスとした。