【サイバーセキュリティ】「サイバー攻撃を想定したBCPがない」がなくなる ― 中小企業が最低限備えるべき事業継続計画の作り方
~ 有事に「何もできない」から、「やるべきことがわかる」へ変わる ~
序章:サイバー攻撃を受けたとき、あなたの会社は動けますか?
ある月曜日の朝、出社した社員がパソコンを起動すると、画面に見慣れないメッセージが表示されていました。
「あなたのファイルはすべて暗号化されました。復号するには、72時間以内に〇〇ビットコインを支払ってください。」
社内のファイルサーバーにもアクセスできない。メールも使えない。基幹システムも停止している。社長に報告しようにも、連絡先がパソコンの中にしかない。お客様からは「見積もりが届かない」と電話が鳴り続ける。
――これは架空の話ではありません。
警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によれば、2023年に報告されたランサムウェア被害197件のうち、約73%が中小企業でした。そして、被害企業の多くが「復旧に1ヶ月以上かかった」「復旧費用が1,000万円を超えた」と回答しています。
こうした事態に直面したとき、「何をすべきかが書かれた計画書」があるかないかで、その後の対応速度は大きく変わります。それがBCP(Business Continuity Plan:事業継続計画)です。
しかし、多くの中小企業のBCPは、地震や台風などの自然災害のみを想定しています。サイバー攻撃を想定したBCPを持っている中小企業は、まだごく少数です。
このコラムを読み終えるころには、サイバー攻撃時のBCPがなく有事に何もできない状態から、サイバー攻撃を想定した実効性のあるBCPが作れる状態に変わっているはずです。
本コラムでは、以下の3つの柱で解説します。
- サイバー攻撃と自然災害のBCPの違い ― なぜ別で考える必要があるか
- サイバーBCPの必須要素 ― 最低限入れるべき5項目
- 訓練と見直しの仕組み化 ― 作って終わりにしない方法
「BCPって何?」という方から、「自然災害のBCPはあるけどサイバー攻撃版はない」という方まで、幅広く役立つ内容になっています。
第1章:なぜうまくいかないのか ― 良かれと思ってやってしまっている5つのこと
サイバー攻撃への備えとして、すでに何らかの対策を講じている企業も多いでしょう。しかし、「良かれと思ってやっていること」が、実はサイバー攻撃時の対応を難しくしているケースがあります。
この章では、よくある5つの「良かれと思って」パターンを紹介します。どれも「間違い」ではありませんが、「それだけでは足りない」というポイントです。
良かれと思って「自然災害のBCPがあるからサイバー攻撃にも対応できる」と思っている
自然災害のBCPを策定している企業は増えています。内閣府の「令和5年度企業の事業継続及び防災に関する実態調査」によれば、大企業のBCP策定率は約76%、中堅企業でも約45%に達しています。
しかし、自然災害のBCPとサイバー攻撃のBCPは、根本的に性質が異なります。
| 比較項目 | 自然災害のBCP | サイバー攻撃のBCP |
|---|---|---|
| 被害の範囲 | 物理的(建物、設備、インフラ) | 論理的(データ、システム、ネットワーク) |
| 被害の認識 | 発生時点で明確にわかる | いつ侵入されたのかわからないことが多い |
| 復旧の順序 | 物理的な修復→業務再開 | 原因特定→封じ込め→駆除→復旧 |
| 影響の範囲 | 地理的に限定される | 全拠点に同時に影響する可能性がある |
| 代替手段 | 別拠点での業務継続 | 別拠点のシステムも感染している可能性がある |
| 外部への対応 | 取引先への納期遅延連絡 | 情報漏洩時の個人情報保護委員会への報告義務 |
最も大きな違いは、自然災害は「物理的な被害」であり、サイバー攻撃は「論理的な被害」であるという点です。
地震であれば、建物が壊れたかどうかは目で見えます。しかし、ランサムウェアに感染した場合、「いつ侵入されたのか」「どこまで被害が広がっているのか」「バックアップデータは安全なのか」がすぐにはわかりません。
さらに、自然災害では「東京本社が被災しても大阪支社で業務を継続する」という代替策が有効ですが、サイバー攻撃では大阪支社のシステムもすでに感染している可能性があります。拠点を替えれば解決する、という単純な話ではないのです。
良かれと思って「バックアップさえ取っていれば復旧できる」と安心している
バックアップを取ることは非常に重要です。しかし、「バックアップがある=復旧できる」とは限りません。
ランサムウェアの攻撃者は、バックアップデータも暗号化の対象にします。IPAの「情報セキュリティ10大脅威 2025」でも、ランサムウェアは組織向け脅威の1位に選ばれており、その手口はますます巧妙化しています。
よくある問題点を挙げます。
- バックアップがネットワーク上に置かれている:ランサムウェアがネットワーク上の全ファイルを暗号化するため、バックアップも巻き込まれる
- バックアップの復元テストをしていない:いざ復元しようとしたら、データが壊れていた・手順がわからなかったというケースが多い
- バックアップの世代管理をしていない:ランサムウェアの潜伏期間が長い場合(数週間~数ヶ月)、直近のバックアップもすでに感染データを含んでいる可能性がある
- 復旧にかかる時間を把握していない:全データの復元に何時間かかるのかを事前に検証していないため、復旧計画が立てられない
警察庁の調査では、ランサムウェア被害を受けた企業のうち、バックアップから完全に復旧できたのは約2割にとどまっていると報告されています。バックアップは「取っていれば安心」ではなく、「復元テストまでして初めて意味がある」のです。
良かれと思って「BCPを作ったが一度も訓練していない」
BCPを策定すること自体は素晴らしい取り組みです。しかし、作っただけで一度も訓練していないBCPは、有事にはほぼ機能しません。
理由は明確です。
- 手順書の存在を社員が知らない:BCPがどこに保管されているか、社員が把握していない
- 役割分担が変わっている:BCPに書かれた担当者がすでに異動・退職している
- 手順が現実に合っていない:策定時の想定と現在のIT環境が異なっている
- パニック状態で冷静に読めない:実際のインシデント時は極度のストレス下にあり、初めて見る手順書を読み込む余裕がない
中小企業庁の調査によると、BCPを策定した企業のうち、定期的に訓練を実施している企業は約3割にとどまっています。つまり、7割の企業は「作って終わり」になっているのです。
BCPは「作ること」がゴールではなく、「有事に実際に使えること」がゴールです。そのためには、定期的な訓練と見直しが不可欠です。
良かれと思って「システム復旧だけ考えて顧客対応を想定していない」
サイバー攻撃を受けた際に最も重要なのは、システムの復旧だけではありません。顧客・取引先への対応が遅れると、技術的な復旧よりもはるかに大きなダメージを受けます。
2022年に改正された個人情報保護法では、個人データの漏洩が発生した場合(または発生したおそれがある場合)、個人情報保護委員会への報告と本人への通知が義務化されました。報告期限は、速報が「事態を知った後、速やかに(概ね3~5日以内)」、確報が「30日以内(不正の目的による漏洩等の場合は60日以内)」です。
つまり、システムが復旧したかどうかに関係なく、被害発覚後すぐに外部への対応が必要になるのです。
BCPにシステム復旧の手順しか書かれていないと、以下のような事態に陥ります。
- 顧客からの問い合わせに対する回答が統一されず、混乱が生じる
- メディアからの取材に対して不適切な発言をしてしまう
- 個人情報保護委員会への報告が遅れ、行政指導を受ける
- 取引先への連絡が遅れ、信頼を失う
良かれと思って「IT担当者だけにBCP対応を任せている」
サイバー攻撃はIT部門の問題、と考えがちです。しかし、サイバー攻撃が発生した場合、影響は全社に及びます。
- 経営者:対応方針の決定、対外発表の判断、予算の確保
- 総務・人事:社員への連絡、安否確認(システムが使えない場合の連絡手段)
- 営業:顧客・取引先への連絡、代替的な受発注方法の確保
- 法務:個人情報保護委員会への報告、法的リスクの評価
- 広報:メディア対応、プレスリリースの作成
IT担当者だけでこれらすべてを対応することは不可能です。サイバーBCPは、全社的な取り組みとして策定する必要があります。
特に中小企業では、IT担当者が1~2名しかいないケースも多く、その担当者がインシデント対応に集中してしまうと、顧客対応や社内連絡が完全にストップします。だからこそ、IT担当者以外の社員にも役割を割り当てておくことが重要なのです。
第2章:成果を出している企業の特徴 ― 3つの視点で見る
サイバーBCPをうまく運用している中小企業には、共通する特徴があります。ここでは「焦点」「行動」「量」の3つの視点で解説します。
焦点:「完璧なBCP」ではなく「最低限動けるBCP」を目指している
成果を出している企業は、最初から100ページの完璧なBCPを作ろうとしません。まず「有事の最初の72時間を乗り切るための行動指針」を策定し、そこから徐々に内容を充実させています。
具体的には、以下の問いに答えられる状態を最初のゴールにしています。
- 「サイバー攻撃を受けたとき、最初に誰に連絡するか?」
- 「システムが全停止したとき、どの業務を最優先で復旧させるか?」
- 「メールが使えないとき、顧客にどうやって連絡するか?」
- 「誰がどの判断をする権限を持っているか?」
この4つの問いに全社員が答えられる状態を作ることが、サイバーBCPの出発点です。
行動:「紙の計画書」ではなく「行動カード」に落とし込んでいる
成果を出している企業は、分厚いBCP文書とは別に、名刺サイズの「インシデント対応カード」を全社員に配布しています。
このカードには以下の情報だけが書かれています。
- 緊急連絡先(社長、IT担当者、セキュリティベンダー、警察サイバー犯罪相談窓口)
- 最初にやること3ステップ(1. LANケーブルを抜く/Wi-Fiを切る 2. 画面を撮影する 3. 上記の連絡先に電話する)
- やってはいけないこと(再起動しない、身代金を払わない、自分で復旧しようとしない)
パニック状態でも「このカードを見れば動ける」という状態を作っているのです。
量:「年1回の大訓練」ではなく「四半期ごとの小訓練」を重視している
成果を出している企業は、年に1回の大規模な訓練よりも、四半期に1回の15分間の机上訓練を重視しています。
| 訓練の種類 | 所要時間 | 頻度 | 内容 |
|---|---|---|---|
| 連絡訓練 | 15分 | 四半期に1回 | 「サイバー攻撃が発生した」という想定で、緊急連絡先リストに沿って電話連絡を行う |
| 机上訓練(ウォークスルー) | 30分 | 半年に1回 | 「ランサムウェアに感染した」というシナリオで、BCPに沿って各自の役割と行動を確認する |
| 実機訓練 | 2時間 | 年1回 | バックアップからの復元テスト、代替通信手段での連絡テストを実際に実施する |
大規模な訓練は準備が大変で、結果的に「今年は忙しいからやめよう」となりがちです。15分の連絡訓練なら、朝礼の延長で実施できます。小さな訓練を高頻度で回すのが、定着の鍵です。
第3章:サイバーBCPの理論とフレームワーク ― Before→Afterへの最短距離
サイバーBCPの全体構造:「5つの必須要素」
サイバー攻撃を想定したBCPには、最低限以下の5つの要素が必要です。これは、NISTサイバーセキュリティフレームワーク(CSF)や経済産業省の「サイバーセキュリティ経営ガイドライン Ver3.0」を基に、中小企業向けに簡素化したものです。
| 必須要素 | 内容 | なぜ必要か |
|---|---|---|
| 1.対応体制と役割分担 | 誰が何をするかの明確な定義 | パニック時に「誰がやるのか」で止まらないため |
| 2.緊急連絡体制 | 社内・社外の連絡先と連絡手段 | メールやチャットが使えない状況を想定するため |
| 3.初動対応手順 | インシデント発生から最初の24時間の行動 | 初動の遅れが被害を拡大させるため |
| 4.業務継続の優先順位 | どの業務をどの順番で復旧させるか | すべてを同時に復旧することは不可能なため |
| 5.外部対応の手順 | 顧客、取引先、行政機関、メディアへの対応 | 法的義務(個人情報保護法)を果たすため |
要素1:対応体制と役割分担
サイバーインシデント対応チームの編成例を示します。中小企業(従業員50名程度)を想定しています。
| 役割 | 担当者(例) | 主な責任 |
|---|---|---|
| 総指揮 | 社長または経営幹部 | 対応方針の最終決定、対外発表の判断 |
| 技術対応リーダー | IT担当者 | システムの封じ込め、原因調査、復旧作業 |
| 業務継続リーダー | 総務部長 | 代替業務手段の確保、社員への情報伝達 |
| 対外対応リーダー | 営業部長 | 顧客・取引先への連絡、問い合わせ対応 |
| 記録係 | 事務担当者 | 対応のタイムライン記録、エビデンスの保全 |
重要なのは、代理者(バックアップ担当)を必ず指名しておくことです。IT担当者が出張中、社長が海外にいる、というケースを想定し、各役割に2名以上を割り当てます。
要素2:緊急連絡体制
サイバー攻撃が発生した場合、社内のメールやチャットが使えなくなる可能性が高いです。そのため、ITシステムに依存しない連絡手段を確保しておく必要があります。
| 連絡手段 | 用途 | 備考 |
|---|---|---|
| 個人携帯電話 | 社内の緊急連絡 | 全社員の個人携帯番号リストを紙で保管 |
| プリペイド携帯 | 社外への連絡 | 社内回線が使えない場合の代替 |
| SNS(LINE等)のグループ | 一斉連絡 | 社内メールの代替。事前にグループを作成しておく |
| 固定電話 | 顧客からの着信対応 | 代表番号の転送設定を確認しておく |
緊急連絡先リストには、以下を含めます。
- 社内:社長、IT担当者、各部門長
- 社外:セキュリティベンダー(契約している場合)、顧問弁護士、加入しているサイバー保険の連絡先
- 公的機関:警察サイバー犯罪相談窓口(#9110)、IPA情報セキュリティ安心相談窓口、個人情報保護委員会
要素3:初動対応手順
インシデント発生から最初の24時間が、被害の大きさを左右します。以下は、ランサムウェア感染を想定した初動対応手順の例です。
発生後0~1時間:封じ込め
- 感染が疑われる端末のLANケーブルを抜く/Wi-Fiを切断する
- 画面のスクリーンショットまたは写真を撮影する(証拠保全)
- 緊急連絡先リストに沿って、IT担当者→社長の順に電話連絡する
- 感染端末を再起動しない(証拠が消える可能性がある)
発生後1~4時間:状況把握
- IT担当者が被害範囲を確認する(他の端末、ファイルサーバー、クラウドサービス)
- バックアップデータの安全性を確認する(感染していないか)
- 対応チームを招集し、状況を共有する
- セキュリティベンダーに連絡し、専門的な支援を要請する
発生後4~24時間:対応方針の決定
- 業務への影響度を評価する(停止している業務、影響を受ける顧客)
- 復旧の優先順位を決定する(次の要素4を参照)
- 顧客・取引先への第一報を発信する
- 個人情報の漏洩の可能性がある場合、個人情報保護委員会への速報を準備する
- 全社員に状況と今後の対応方針を伝達する
要素4:業務継続の優先順位
すべてのシステムを同時に復旧することは不可能です。「どの業務を最優先で復旧させるか」を事前に決めておく必要があります。
| 優先度 | 業務 | 目標復旧時間(RTO) | 理由 |
|---|---|---|---|
| 最優先 | 受注・出荷管理 | 24時間以内 | 売上に直結。顧客への影響が最も大きい |
| 高 | メール・コミュニケーション | 24時間以内 | 顧客・取引先との連絡手段 |
| 高 | 経理・給与計算 | 3日以内 | 支払い遅延は取引先との信頼に影響 |
| 中 | 社内ファイルサーバー | 1週間以内 | 業務効率に影響するが、一時的に代替手段で対応可能 |
| 低 | 社内ポータル・掲示板 | 2週間以内 | 業務継続への影響は限定的 |
この優先順位は、RTO(Recovery Time Objective:目標復旧時間)とともに定義します。RTOとは、「この業務は最大何時間(何日)停止しても事業に致命的な影響が出ないか」を示す指標です。
要素5:外部対応の手順
サイバー攻撃を受けた際の外部対応は、以下の3つに分かれます。
1. 顧客・取引先への対応
- 第一報(発生後24時間以内):「現在、システムに障害が発生しており調査中です。ご不便をおかけし申し訳ございません」という一報を入れる
- 第二報(原因が判明した段階):被害の範囲、復旧の見込み、顧客データへの影響の有無を報告する
- 事後報告:復旧完了後に、原因と再発防止策を報告する
2. 行政機関への報告
- 個人情報保護委員会:個人データの漏洩が発生した場合、速報(概ね3~5日以内)と確報(30日以内)を提出する
- 警察:サイバー犯罪として被害届を提出する(警察庁サイバー犯罪相談窓口:#9110)
- IPA:情報提供として、インシデントの内容を報告する
3. メディア対応(必要な場合)
- 想定問答集を事前に用意しておく
- 窓口を一本化し、担当者以外はメディアに応答しないルールを徹底する
- 「現在調査中」で統一し、不確実な情報を発信しない
Before→Afterの変化
この5つの必須要素を整備すると、以下のような変化が生まれます。
| Before(現状) | After(サイバーBCP整備後) |
|---|---|
| サイバー攻撃時に誰が何をするかわからない | 役割分担が明確で、各自が自分の行動を把握している |
| メールが使えなくなったら連絡手段がない | ITに依存しない緊急連絡体制が整っている |
| 初動で何をすべきかわからず右往左往する | 最初の24時間の行動手順が決まっている |
| どの業務から復旧すべきか判断できない | 業務の優先順位とRTOが定義されている |
| 顧客対応が後手に回り信頼を失う | 外部への連絡テンプレートが用意されている |
第4章:サイバーBCPを作る ― 明日から始める5つのステップ
「理論はわかった。では、実際にどうやってサイバーBCPを作ればいいのか?」
この章では、中小企業が明日から着手できる具体的なステップを5つに分けて解説します。
ステップ1:重要業務の洗い出しと優先順位づけ(所要時間:2~3時間)
実施場所:会議室
参加者:経営者+各部門の責任者
準備するもの:ホワイトボードまたは模造紙、付箋
手順
- 自社の全業務をリストアップする:各部門長が自部門の主要業務を付箋に書き出す(1業務1枚)
- 各業務の「停止許容時間」を議論する:「この業務は何日止まっても大丈夫か?」を部門長同士で議論する
- 優先順位をつける:「24時間以内」「3日以内」「1週間以内」「2週間以内」の4段階に分類する
- ITシステムとの紐づけ:各業務がどのITシステムに依存しているかを整理する
ポイント
- 売上への影響、顧客への影響、法的義務の3軸で優先度を判断する
- 「すべてが最優先」にならないよう、最優先は3業務以内に絞る
- この作業は、自然災害のBCPにも活用できるため、BCPが未策定の企業は一石二鳥
ステップ2:対応体制と役割分担の策定(所要時間:1~2時間)
手順
- 第3章の「対応体制と役割分担」表をベースに、自社の担当者を当てはめる
- 各役割に正担当と副担当(代理)を指名する
- 「誰がいなくても動ける体制」になっているか確認する:社長不在時、IT担当者不在時のケースを想定
- 役割と連絡先をA4用紙1枚にまとめる
ステップ3:初動対応手順書の作成(所要時間:2~3時間)
手順
- 第3章の「初動対応手順」をベースに、自社の状況に合わせてカスタマイズする
- シナリオ別に手順を作成する:以下の3つのシナリオをカバーする
- シナリオA:ランサムウェア感染(ファイルが暗号化された)
- シナリオB:不正アクセス(外部から社内システムに侵入された)
- シナリオC:情報漏洩(顧客データが外部に流出した)
- 各シナリオで「最初の1時間」「最初の4時間」「最初の24時間」の3段階で行動を整理する
- フローチャート形式で可視化する:「はい/いいえ」で分岐する形式にすると、パニック時でも辿りやすい
ステップ4:緊急連絡先リストと行動カードの作成(所要時間:1時間)
手順
- ステップ2で作成した対応体制表をベースに、緊急連絡先リストを作成する
- 名刺サイズの「インシデント対応カード」を作成する(第2章参照)
- カードを全社員に配布する:デスクに貼る、社員証と一緒に携帯する、など
- 紙の緊急連絡先リストを、金庫またはIT担当者のデスクの引き出しに保管する(デジタルデータだけでなく紙でも保管)
行動カードの記載内容
【サイバー攻撃?と思ったら】
1. LANケーブルを抜く/Wi-Fiを切る
2. 画面の写真を撮る(スマホで)
3. IT担当者に電話する【やってはいけないこと】
・パソコンを再起動しない
・身代金を払わない
・自分で復旧しようとしない
・SNSに投稿しない
ステップ5:バックアップの確認と復元テスト(所要時間:半日)
手順
- 現在のバックアップ方式を確認する
- 何のデータをバックアップしているか
- どこに保存しているか(社内NAS、クラウド、外部メディア)
- どのくらいの頻度で取得しているか
- 何世代分保持しているか
- 「3-2-1ルール」を満たしているか確認する
- 3つのコピー(元データ+2つのバックアップ)
- 2種類の異なる媒体(例:NAS+クラウド)
- 1つはオフサイト(社外またはネットワークから切り離された場所)に保管
- 実際にバックアップから復元テストを行う
- テスト用の端末で、バックアップデータからファイルの復元を試みる
- 復元にかかった時間を記録する
- 復元したデータが正常に開けるか確認する
- テスト結果を記録し、問題があれば改善する
IPAの「中小企業の情報セキュリティ対策ガイドライン」でも、バックアップは「取得するだけでなく、定期的に復元テストを行うこと」が推奨されています。
第5章:作って終わりにしない ― 訓練と見直しの仕組み化
サイバーBCPは、「作ったとき」が最も価値が低い文書です。訓練と見直しを重ねるたびに、実効性が高まっていきます。この章では、BCPを「生きた文書」にするための仕組みを解説します。
5-1. 四半期ごとの「15分訓練」を実施する
前述のとおり、大規模な訓練は準備が大変で続きません。以下のスケジュールで、小さな訓練を高頻度で回すことを推奨します。
年間訓練スケジュール例
| 時期 | 訓練内容 | 所要時間 | 参加者 |
|---|---|---|---|
| 4月 | 連絡訓練:緊急連絡先リストに沿って電話連絡を実施 | 15分 | 全社員 |
| 7月 | 机上訓練:「ランサムウェア感染」シナリオで役割確認 | 30分 | 対応チーム+経営者 |
| 10月 | 連絡訓練+行動カードの確認 | 15分 | 全社員 |
| 1月 | 実機訓練:バックアップからの復元テスト | 2時間 | IT担当者+経営者 |
連絡訓練の具体的な進め方
- 訓練日時を事前に全社員に通知する(抜き打ちでもよいが、初回は予告する)
- IT担当者が「ランサムウェア感染が発生しました」というメッセージを、対応チームのリーダーにSMSまたは電話で伝える
- リーダーは緊急連絡先リストに沿って、次の担当者に電話連絡する
- 全員に連絡が行き渡るまでの時間を計測する
- 訓練後、以下を振り返る:
- 全員に連絡が行き渡ったか
- 電話番号は最新だったか
- つながらなかった人がいた場合、代替手段で連絡できたか
5-2. 半年ごとのBCP見直しチェックリスト
BCPは、策定後も定期的な見直しが必要です。以下のチェックリストを使って、半年に1回、内容を更新します。
| チェック項目 | 確認内容 |
|---|---|
| 人事異動・退職への対応 | 対応体制表の担当者が現在の社員と一致しているか |
| 連絡先の更新 | 緊急連絡先リスト(社内・社外)が最新か |
| ITシステムの変更 | 新しいシステムの導入や、クラウドサービスの変更がBCPに反映されているか |
| 業務優先順位の変更 | 新規事業の開始や、主力事業の変化がBCPに反映されているか |
| 法規制の変更 | 個人情報保護法やその他の関連法規に変更がないか |
| 前回の訓練結果 | 前回の訓練で発見された課題が改善されているか |
| バックアップの確認 | バックアップ方式、保管場所、復元テスト結果が最新か |
5-3. インシデント発生後の「事後レビュー」を必ず行う
実際にサイバーインシデントが発生した場合(または、ヒヤリハットがあった場合)、発生後1週間以内に事後レビュー(振り返り)を実施します。
事後レビューの進め方
- 事実の時系列整理:何が、いつ、どのように発生したかを時系列で整理する
- 対応の評価:BCPの手順どおりに動けたか、動けなかった点はどこかを評価する
- 改善点の特定:手順の不備、連絡の遅れ、判断の迷いなど、改善すべき点を洗い出す
- BCPの更新:特定された改善点をBCPに反映する
- 全社への共有:事後レビューの結果を全社員に共有し、次回に活かす
注意すべきは、事後レビューは「犯人探し」ではなく「仕組みの改善」が目的であるということです。「誰が悪かったか」ではなく、「どの仕組みが足りなかったか」に焦点を当てます。
5-4. 活用できる外部リソース
サイバーBCPの策定・訓練に活用できる外部リソースを紹介します。
| リソース | 提供元 | 内容 |
|---|---|---|
| 中小企業の情報セキュリティ対策ガイドライン 第4版 | IPA | BCPを含むセキュリティ対策の指針。付録にはテンプレートも収録 |
| サイバーセキュリティ経営ガイドライン Ver3.0 | 経済産業省 | 経営者向けのサイバーセキュリティ対策の指針 |
| 事業継続計画(BCP)策定・運用ガイド | 中小企業庁 | BCP策定の基本的な手順。サイバー攻撃への言及もあり |
| SECURITY ACTION | IPA | 中小企業が自己宣言でセキュリティ対策に取り組む制度。二つ星ではBCPの策定が推奨される |
また、以下の補助金・助成金がBCP策定費用に活用できる可能性があります。
| 制度名 | 概要 | 補助率・上限 |
|---|---|---|
| IT導入補助金(セキュリティ対策推進枠) | セキュリティサービスの導入費用を補助 | 補助率1/2、上限100万円 |
| 東京都サイバーセキュリティ対策促進助成金 | 都内中小企業のセキュリティ対策費用を助成 | 助成率1/2、上限1,500万円 |
| 事業継続力強化計画 | 認定を受けるとものづくり補助金等で加点 | 直接的な補助金ではないが、他の補助金の採択率向上に寄与 |
まとめ:サイバーBCPは「有事の地図」
本コラムでは、「サイバー攻撃を想定したBCPがない」という課題を解消するために、以下の内容をお伝えしました。
- 自然災害のBCPだけでは不十分:サイバー攻撃は物理的被害ではなく論理的被害であり、対応の考え方が根本的に異なる
- サイバーBCPの5つの必須要素:対応体制、緊急連絡体制、初動対応手順、業務優先順位、外部対応手順
- 明日から始められる5ステップ:重要業務の洗い出し、対応体制の策定、初動手順書の作成、行動カードの配布、バックアップの確認
- 作って終わりにしない仕組み:四半期ごとの15分訓練、半年ごとの見直し、事後レビューの実施
サイバーBCPは、完璧である必要はありません。大事なのは、「有事に最初の一歩を踏み出せる状態」を作ることです。
「ランサムウェアに感染しました。どうすればいいですか?」
この質問に、あなたの会社の全社員が「まずLANケーブルを抜いて、IT担当者の〇〇さんに電話します」と答えられる状態を作ること。それがサイバーBCPの出発点です。
まずは今週中に、緊急連絡先リストを紙で作成し、IT担当者のデスクに置くことから始めてみてください。たった30分の作業が、有事の対応速度を大きく変えます。
アクセルパートナーズでは、中小企業のサイバーセキュリティ対策を包括的にサポートしています。
「何から始めればよいかわからない」「自社に合った対策を知りたい」という方は、まずは無料相談からお気軽にお問い合わせください。
SECURITY ACTION二つ星の取得支援、補助金・助成金の活用サポート、セキュリティ体制の構築まで、貴社の状況に合わせたご提案をいたします。
アクセルパートナーズ 取締役・中小企業診断士
国内Sier企業でシステムエンジニア、PM、研修講師、法人営業を経験。 人と組織の成長を支えるマネジメントに携わる。2023年 中小企業診断士登録。2025年 アクセルパートナーズの理念や行動指針に強く共感し、取締役として参画。
