問題発生時の対応
飲食店でITシステムに障害が発生した際には、迅速かつ的確な対応が求められる。IPAの「中小企業のためのセキュリティインシデント対応の手引き」では、以下の3つのステップに沿って対応することが推奨されている。
1.検知・初動対応
・システムの停止や障害の発生が確認されたら、速やかに情報セキュリティ責任者に連絡
・あらかじめ策定した方針に則り、責任者や担当者などを決めて社内体制を構築する
・できる限り業務に支障が出ないようシステムの継続稼働を実施、または予備システムへの切替を行う
2.報告・公表
・第一報で必要に応じてWebサイトやメディアを通じて公表、専用問い合わせ窓口の開設
・第二報以降では、影響のある取引先や顧客に対して対応状況や再発防止策を報告
3.復旧・再発防止
・システム障害などの原因を調査し、5W1Hの観点から状況を整理する
・特定した原因に応じて修復や変更、機器の入れ替えやデータの復元を実行
・事実関係を裏付ける情報や証拠の保全、必要に応じてPCやサーバー、ネットワーク機器のログ調査などを実施
・修復作業が完了したら、ITシステムやサービスの復旧を行う
・根本的な原因を分析し、新たな技術の導入やルールの策定、整備や改善による再発防止策を講じる
参考:IPA「中小企業のためのセキュリティインシデント対応の手引き」
社内での情報共有にはじまり、各所へ報告、原因究明と再発防止を行う流れは、飲食店における衛生管理などのトラブル対応フローと同様である。
外部対応と社内体制の整備
飲食店の場合、クラウドサービスの利用者となるため、自社による対応が困難なケースも多い。根本的な原因の調査や復旧、再発防止策については、専門家であるベンダー側の対応に委ねられる。
ただし社内PCのウイルス感染や不正アクセスについては、犯罪や事件性を考慮して警察やIPAへの届出も必要になる。加えて情報漏洩の恐れがあるなら、被害者となる取引先や顧客へ損害の補填なども考えられるだろう。だからこそ、IT-BCPによる情報セキュリティの強化が重要になってくる。
また緊急時には、社内で明確な役割を決めておくことも必要不可欠だ。具体例として、以下のような社内体制の構築が挙げられる。
| 役職名 | 役割と責任 |
|---|---|
| 情報セキュリティ責任者 (例:店舗マネージャー、店長) | ・問題の影響を判断し、対応の意思決定を行う |
| 部門責任者 (例:店長、副店長) | ・原因を調査し、情報セキュリティ責任者に報告 ・情報セキュリティ責任者の意思決定に基づき、適切な対処を実施 |
| システム管理者 (例:IT人材) | ・ITシステム関連の知識を持つ人材がいる場合、部門責任者と連携し適切な対処を実施 |
| 問題の第一発見者 | ・障害や異常の内容を部門責任者に報告 |
参考:IPA「中小企業の情報セキュリティ対策ガイドライン第3.1版」
対策の積み重ねで店舗のITセキュリティを強化する
現在では、飲食店向けのITシステムなども充実しており、手軽に導入できるケースも少なくない。だからこそ不正アクセスや情報漏洩、サービス停止のリスクを把握し、店舗の安定した経営を維持できるように取り組むべきだ。
クラウドサービスの場合、機能としてデータのバックアップが実施できたり、データを出力して社内のPCにも保存できる。そうして簡単なものから1つずつ対策を推し進めることでも、問題やトラブルが起こった時の大事な備えになっていくため、IT-BCP対策の第一歩として踏み出してはいかがだろうか。
