ISO 27001:2022/Amd 1:2024 の改訂では、気候変動に関連する問題の認識を組織の戦略計画に統合することの重要性が強調されています。世界的に不安定な状況下で業務の継続性とサイバーレジリエンスを確保するための新しい対策の実装方法を以下に示します。
2024年2月にISO/IEC 27001:2022の修正1:2024が発行されました。これは、ISOが2021年9月に署名したロンドン宣言に沿ったもので、気候変動を考慮しています。この出版物は、パリ協定、国連の持続可能な開発目標、適応と強靭性に関する国連の行動呼びかけを支持し、2023アジェンダの目標13に沿っています。
この修正から生じる2つの影響があります。
- 気候変動の影響を軽減する対策:組織は、気候変動の影響を軽減するための対策を講じ、特に情報セキュリティ管理システム(ISMS)に関連した組織の役割を再定義する必要があります。
- セキュリティコンバージェンス:気候変動が情報セキュリティを損なう新たなリスクを認識し、マルチリスクアプローチを通じて対応する「セキュリティコンバージェンス」のパラダイムに従うことができます。
気候変動の影響
気候変動は、以下のような壊滅的な出来事の発生頻度と影響を増加させます。
- 洪水、浸水、ハリケーン、竜巻、干ばつによる火災:これらの異常気象は、通信ネットワークインフラストラクチャ、発電または配電インフラ、中継器(結果として通信の中断を伴う)、重要なインフラ、サーバーや機器が設置されている社内エリアに影響を及ぼす可能性があります。
- 海面上昇:沿岸洪水を引き起こし、海岸近くのインフラに損害を与える可能性があります。
- 干ばつ:火災の危険性の増加や水資源の不足をもたらし、火災時の影響をより深刻にします。また、河川の水位や流量が低下し、水力発電所やデータセンターの冷却機能に影響を与え、ITシステムの運用継続に重大な影響を及ぼす可能性があります。
- 動物の存在と攻撃性の増加:ネットワークや接続に損傷を与えたり、中断させたりする可能性があります。
- 温度上昇:電力の中断や、特定の環境条件を必要とするシステムの動作停止を引き起こす可能性があります。
- 気候変動移民:極端な気候現象が生活や健康に及ぼす影響により、コミュニティを離れることを余儀なくされる移民の増加も考慮する必要があります。これにより、さまざまな規模の競合が発生し、ITシステムやインフラストラクチャにもリスクが生じる可能性があります。
解決策は緩和、適応、耐久のうちどれか?
バラク・オバマ前大統領の科学顧問であり、地球規模の気候変動の原因と結果の専門家であるジョン・ホルドレン氏によれば、私たちは「緩和、適応、耐える」という3つの選択肢に直面している。「耐える」しかないという選択肢を除いて、情報セキュリティ管理システムに対する気候変動の影響に対処するための2つの主要な戦略が浮上しています。最初の戦略は影響を緩和することを目的とし、2つ目の戦略は管理システムを適応させてレジリエンスを高めることに焦点を当てています。
緩和策
緩和策には、適切な実践を通じて組織が環境に及ぼす影響を軽減するための措置が含まれます。これらの措置は、情報セキュリティ管理システム(ISMS)に直接または間接的に関連する場合があります。
- 直接関連する対策の例:システムが数分間使用されなかった場合にスクリーンセーバーを起動する。これにより、エネルギー消費が減少し、安全対策も強化されます。
- 間接的に関連する対策の例:サーバールームの稼働に必要なエネルギーをグリーンエネルギー生産者から購入する。これは気候変動の影響を軽減しますが、ISMSのセキュリティを直接強化するものではありません。
適応策
2つ目のアプローチは、気候変動の影響を防ぐことを目的とした適応策の実施です。これには、システムの機能に必要な電力不足を補うための措置が含まれます。
- 事前対策:事象の影響を予測し、軽減するためのプロアクティブな対策。
- 事後対策:事業継続計画(BCP)などのリアクティブな対策。
例えば、オフィスや家庭内の温度と湿度を下げるための空調システムの過剰な消費が原因で発生する過負荷に対処するための適応策が必要です。
積極的な適応策
実施可能な事前対策は、異常気象現象の影響を予測および軽減することを目的としています。これらの措置は、必ずしも気候変動のみに由来する脅威に対抗するわけではない点に留意してください。
物理的構造物の位置と構造は、適切な標高、水域の存在、堤防の近さ、近くの森林地帯、火災の危険性の高い施設や構造物の存在など、地域の地形を考慮する必要があります。
より具体的に言えば、管理に関しては、状況(要件4.1)および利害関係者(要件4.2)の分析後に実施されたリスク評価(ISO/IEC 27001の要件6.1)の結果に基づいて、以下の対策を検討することができます。これらの対策は、計画段階と活動の継続的な管理の両方に関係します。
対抗すべき脅威 | 対策 |
火災 | 建築要素、家具、ケーブルなどに耐火性の材料を使用し、火災の延焼を阻止し遅延させるための防火扉や防火壁を設置します。また、ほこりの蓄積や短絡の危険を軽減します。火災を初期段階で検知する高感度な煙や熱センサーを設置し、誤作動のリスクを軽減するために2つの条件が必要なシステムを導入します。警報を送信し消火システムを作動させることができるシステムを設置し、不活性ガス(アルゴン、窒素など)や化学ガス(FM-200など)を使用して電子部品を損傷せずに消火します。データ処理が行われる場所の近くに消火器を設置し、消火は周囲の環境(密閉空間内のガスなど)を考慮して最適な混合物を使用して行います。また、機器が過熱しないように、メーカーの指示に従って設定します。 |
洪水 | サーバールームを建物の上層階に配置し、防水建築材を使用して機器を保護します。水の浸入や蓄積に対処できる適切なダクトと排水システムを確保し、水の浸入を早期に検出できるシステムを設置します。床下や記憶媒体や情報処理システムが設置されているエリアなどの戦略的ポイントに、即座に通知する自動警報システムを接続します。 |
停電 | 無停電電源装置(UPS)を設置し、非常用発電機の起動に必要な時間を確保します。また、ディーゼル、天然ガスなどの燃料源を使用してエネルギーを供給するシステムを導入し、情報セキュリティのための重要なインフラに二重電源を供給します。これにより、電力を主システムから非常用発電機に自動的に切り替え、非常用発電機が完全に動作するまでバックアップバッテリで重要なシステムに電力を供給します。単一障害点を防ぐために冗長電源システムを使用し、停電時のサーバーの過熱を防ぎます。 |
動物の存在 | ドア、窓などのアクセスを密閉し、侵入防止ネットや格子を設置し、密閉されたダクトを使用してケーブルが動物の通り道や避難所にならないように整理します。定期的なメンテナンスと清掃を実施し、食物の残渣や廃棄物を除去します。動物の糞や巣などの痕跡を特定して除去し、動物の侵入を妨げる音を発する超音波装置を設置します。また、非致死性の罠や抑止装置を設置し、監視システムを導入して動物の存在を検出します。害虫の存在を監視および制御するために消毒サービスを契約し、環境を清潔に保つことの重要性についてスタッフを訓練します。 |
温度上昇 | サーバールーム専用に設計されたエアコンを設置し、主要システムに障害が発生した場合に稼働できるよう冗長冷却システムを導入します。高床に穴あきタイルを使用して冷気通路を確保し、温度センサーを設置して環境条件を常時監視します。最適な温度しきい値を超えた場合にアラームシステムで責任者に通知し、定期的なメンテナンスで空気フィルターの効率を確保します。サーバー間の負荷をバランスし、仮想化テクノロジーを使用してハードウェアリソースの使用を最適化し、熱負荷を削減します。エネルギー効率の高い機器を使用し、不要な機器の電源を切るか、除湿器を設置して適切な湿度レベルを維持します。 |
重大なイベントに対応した事業継続計画の重要性
技術的な脅威だけでなく、迫り来る自然の脅威にますますさらされるビジネス環境において、重要なイベントを予測して効果的に対応する組織の能力は、業務の継続に不可欠です。
火災や洪水などの出来事は、情報へのアクセスを損なうだけでなく、事業運営に重大な影響を与える可能性があります。
したがって、組織は、ISO 22301:2019などの国際規格に基づいた、堅牢かつ積極的な事業継続戦略を採用することが不可欠です。
このため、予期せぬイベントに対処するために、組織は以下のことができる必要があります:
- 考えられるシナリオの評価
- 発生確率の評価
- 結果の深刻さの評価
この評価プロセスは、効果的かつタイムリーな対応計画を定義し、実行するために重要です。ビジネス継続計画の策定では、ITセキュリティとビジネスプロセスの継続性の両方を保証するために、さまざまなパラメータが考慮されます。
ITパラメータ
- RTO(目標復旧時間):緊急時におけるITシステムの予想される復旧時間
- RPO(目標復旧時点):復旧中に失われると予想されるデータ量
プロセスパラメータ
- MTPD(最大許容中断期間):プロセスが利用できなくなる最大時間
- MBCO(最小事業継続目標):プロセスが保証しなければならない最低限のパフォーマンス
ISO 22301規格とビジネスのレジリエンス
ISO 22301:2019「事業継続マネジメントシステム」規格は、組織のレジリエンスを管理するための不可欠なフレームワークを提供します。気候変動の避けられない影響を考慮し、危機管理に積極的にアプローチすることの重要性を示しています。
この規格では、実践的な演習の価値も認識されています。実践的な演習は、有用な教訓を引き出すために定期的に計画および管理され、対応戦略を継続的に改善する必要があります。
したがって、気候変動が増大する避けられない脅威を表す時代において、ISO 22301などの規格の採用は、事業運営のセキュリティと継続性の基本的な柱になります。適切な準備と堅牢な事業継続計画に投資する組織は、重要な資産を保護するだけでなく、将来の課題にも効果的に対処できるようになるでしょう。
結論
ISO 27001を更新して気候変動を含めることは、情報セキュリティ管理における重要な転換点となります。
サイバー攻撃や業務上のエラーから保護することに加えて、気候変動の脅威に直面しています。
したがって、レジリエンスと適応性は、将来のセキュリティ戦略を開発するための重要な柱となり、ビジネス慣行が効果的であるだけでなく、長期的に持続可能であることを保証します。最終的に、組織は現在の危険に対応するだけでなく、新たな課題を積極的に予測して準備することが求められます。