ビジネスに不可欠な要素を定義し、安全に保護します。中核となるシステムとプロセスに重点を置くことで、より迅速な復旧を実現します。
Minimum Viable Company(MVC)とは、破壊的なサイバー攻撃を含む重大な障害発生後に、重要業務を維持するために必要な、最小限の業務サービス、人材、テクノロジー、データ、施設、サプライヤー、および意思決定能力の組み合わせを指します。
組織の安全な運用基盤:顧客対応、人員保護、法的義務の履行、キャッシュフローの維持、信頼できるコミュニケーションの確保、脅威への対処、そして全面的な業務再開への移行を支えられるものでなくてはなりません。
これらの概念により、Minimum Viable Company(MVC)を実行可能かつ検証可能な取り組みへと転換できます。
すべてのシステムを、それが生み出すビジネス価値に結び付けます。顧客対応、決済処理、規制遵守、記録保持などを含め、最初の24時間、72時間、そして最初の1週間で何を機能させる必要があるのかを定義します。各コンポーネントの依存関係を特定します。
まずは、IDシステム、ネットワーク、セキュリティツール、特権アクセス、安全なアウトオブバンド通信など、最も重要な基盤を確立します。これらはレベル0に分類されます。これらがなければ、他のすべてを信頼することができません。
イミュータブルバックアップ、強化されたDigital Jump Bag™、正常な構成情報、プレイブック、連絡先リストをエアギャップ環境に事前配置します。プライマリシステムが侵害されていると仮定します。リカバリ資産はクリーンな状態を保ち、隔離されていなければなりません。
深刻なサイバー攻撃を受けた場合、本番環境に直接安全に復旧することはできません。セキュリティ侵害を再び持ち込むことなくシステムを再構築するには、隔離された環境が必要です。クリーンルームでは、まず調査、検証、確認を実施できるため、MVCを初日から信頼できる状態で運用できます。重要なサービスを安全に稼働させ、信頼できる意思決定を行い、安心して全面的な運用再開へと移行できます。
検証のないリカバリは単なる希望にすぎません。定期的なテストとシミュレーションにより、プライマリシステムが侵害を受けた場合やオフラインになった場合ても、重要なサービス、依存関係、プロセスが実際に機能することを確認できます。この検証により、実際の障害下でもMVCが信頼できる運用を継続できるという確信が得られます。
組織がMinimum Viable Company(MVC)アプローチを採用するのは、復旧完了まで業務を停止するのではなく、障害発生中も業務を継続するためです。環境の大部分が利用できない状態または信頼できない状態であっても、重要なサービスを継続し、顧客対応、決済処理、各種義務の履行を維持できます。正常で隔離された資産から再構築し、本番環境へ戻す前に検証を行うことで、攻撃者による潜伏状態を排除し、信頼できる状態で運用を復旧できます。
このアプローチにより、緊迫した状況下での意思決定の遅れも軽減できます。あらかじめ定義されたガバナンス、アウトオブバンド通信、強化されたDigital Jump Bag™により、チームは明確な判断と統制の下で行動できます。同時に、DORAやNIS2などのフレームワークに準拠することで、レジリエンスとコンプライアンスを実証しやすくなります。組み込まれたメトリクスと得られた知見により、継続的な改善を支援し、時間をかけてアーキテクチャ、ポリシー、パートナーエコシステムを強化します。
Cohesityと連携して、MVC戦略の定義、検証、運用化を進めましょう。
Minimum Viable Company(MVC)におけるすべてのレベル0のデータソースを統合バックアップおよびリカバリで保護します。
対応およびリカバリのワークフローを自動化し、目標復旧時間(RTO)の短縮を実現します。
最悪の事態においても、MVCコンポーネントである最重要資産を確実にリカバリ可能な状態に維持します。
この隔離環境を利用して、リスクを再び持ち込むことなくシステムを再構築します。
脅威を検知および調査することで、MVC復旧時の再感染リスクを低減します。
Minimum Viable Company(MVC)とは、ランサムウェア攻撃、サイバー攻撃、災害発生後に業務を再開するために必要となる最小限のデータセットと重要システムを特定する、サイバーレジリエンス戦略です。MVCの概念には、CRMやERPなどの中核アプリケーション、重要な従業員データ、サプライチェーン情報、基本的なインフラ構成など、障害発生後の業務再開に必要な最小限のデータセットが含まれます。
MVCを定義することで、企業はダウンタイムを削減し、ランサムウェアからの復旧を加速するとともに、事業継続性を確保し、ミッションクリティカルなワークロードを保護できます。これにより、サイバーリカバリ計画を、迅速かつポリシー主導型の復元ワークフローへと変えることができます。
Cohesity Data Cloudプラットフォームは、CohesityのFive-Step Cyber Resilience Framework©に直接対応することで、Minimum Viable Company(MVC)戦略を支えています。具体的には、すべてのデータの保護、常時リカバリ可能な状態の維持、脅威の検知と調査、アプリケーションレジリエンスの実践、データリスク体制の最適化を実現します。
Cohesity CERTのインシデント対応と組み合わせることで、MVCデータのリカバリ可能性、コンプライアンス、レジリエンスを維持し、事業継続、災害復旧、サイバーレジリエンスの実現を加速します。
従来の災害復旧(DR)プランでは、自然災害、ハードウェア障害、人的ミスの発生後に最新のバックアップからIT環境全体を復旧します。Minimum Viable Company(MVC)プランは、ランサムウェアや破壊的なサイバー攻撃を想定して構築されており、最新の構成やデータをそのまま復旧すると、脆弱性の再持ち込みや再感染を引き起こし、ダウンタイムが長引く可能性があります。一方、MVCでは、クリーンでイミュータブルなコピーから企業を再始動するために必要な最小限のデータセット(コアアプリケーション、認証情報、構成情報など)を優先します。""IT部門のみでフェイルオーバーを行う従来のDRとは異なり、MVCではIT、セキュリティ、事業部門のリーダー間による積極的な連携が必要です。MVCでは、サイバーボールティング、フォレンジック、クリーンルーム検証、オーケストレーションされたサイバーリカバリといった追加機能が必要ですが、従来のDRでは必要とされません。
Minimum Viable Business(MVB)またはMinimum Viable Company(MVC)の状態を定義することは、サイバーレジリエンスにおいて極めて重要です。なぜなら、ランサムウェア攻撃や破壊的なサイバーインシデント発生後に、最優先で復旧すべきシステム、アプリケーション、データを明確化できるためです。すべてを一度に復旧しようとするのではなく、NIST CSF、DORA、ISO 22301などのフレームワークに準拠しながら、収益、お客様の信頼、規制遵守を守るために、本当に重要なコア業務のみを復旧することを目的としています。MVB/MVCの状態を定義することで、目標復旧時間(RTO)の短縮やダウンタイムコストの削減が可能になり、事業継続計画をレジリエンス重視の先進的な戦略へと進化させることができます。
30日間の無償トライアル版を開始するか、デモをご覧ください。
