2024年12月12日

サイバー攻撃対応のBCPとは｜備えておくべき理由や手順・ポイント

BCP（事業継続計画）は、企業がサイバー攻撃や自然災害といった緊急事態に備え、事業の継続および早期復旧を実現するための重要な取り組みです。特に近年は、サイバーリスクの増加に伴い、ITに特化した「サイバーBCP」の重要性が高まっています。

本記事では、サイバーBCPと自然災害BCPの違いやサイバーBCPを策定すべき理由のほか、BCPの策定手順やポイントについて詳しく解説します。サイバー攻撃に備えたBCPの策定を検討している企業は、ぜひ参考にしてください。

サイバーBCPと自然災害BCPの違い
- サイバー攻撃は時間差が生じる場合が多い
- サイバー攻撃は損害賠償のリスクを伴う
サイバー攻撃に備えてBCPを策定すべき理由
サイバー攻撃に対応したBCPを策定する手順
サイバー攻撃に備えるBCPの策定ポイント
サイバーBCPには「プライベートクラウド版SONR(ソナー)」がおすすめ

チームをつなぐコミュニケーションツール

SONRには月額制の安価で導入しやすいクラウド版と
各社専用の環境で構築するプライベートクラウド版があります。

サイバーBCPと自然災害BCPの違い

BCP（事業継続計画）とは、企業が緊急事態に遭遇した場合に、中核となる事業の継続、または早期復旧するための方法・手段を取り決めておく計画のことです。

BCPのなかには、「サイバー攻撃などのITリスクに対応するBCP（IT-BCP）」と「自然災害に対応するBCP」があります。どちらも欠かせない存在であり、優劣をつけるものではありません。しかし、リスクの性質や対応の仕方には大きな違いがあります。以下では、サイバーBCPと自然災害BCPの違いについて解説します。

サイバー攻撃は時間差が生じる場合が多い

自然災害では、地震のように災害発生とほぼ同時にBCPが発動されるケースが一般的です。一方でサイバー攻撃の場合、攻撃が発生してから認識されるまでに時間差が生じることは少なくありません。

たとえば、マルウエア感染などの侵害行為のケースでは、重要な個人情報が流出した時点で問題に気付く場合や、外部からの通報によって初めて重大なインシデントを認知する場合があります。

被害を受けたシステムやサーバは、データを単に元通りにするだけではなく、特定した改ざん・漏えいの原因に対処なければなりません。そのため、被害の範囲や原因を特定し、復旧作業を行うまでには多くの時間がかかってしまうでしょう。このような時間差は、被害の拡大、および深刻化を招きます。

サイバー攻撃は損害賠償のリスクを伴う

サイバー攻撃によって機密情報や個人情報が漏えいした場合、被害者への損害賠償が必要になるリスクがあります。大量の個人情報が流出した場合、賠償額が多額になるだけでなく、企業の信用にも重大な影響を及ぼすでしょう。自然災害の場合と比べると、意図的なデータの漏えい・改ざんのリスクは非常に高いといえます。

サイバーBCPをしっかりと策定していないと、「サイバーセキュリティがずさんだ」というレッテルを貼られることで顧客が離れてしまい、長期的なダメージにつながる可能性があります。こうした状況を回避するためにも、サイバーBCPの準備は不可欠です。

サイバー攻撃に備えてBCPを策定すべき理由

近年、テレワークの普及やICTツールの導入が進むなかで、企業のビジネス環境は急速に変化しています。このような変化は利便性を向上させる一方で、新たなサイバーリスクを生じさせる要因にもなっています。

さらに、サイバーリスクそのものも増加しています。総務省の「令和5年版情報通信白書」によれば、サイバー攻撃関連の通信量は2018年の2,169億パケットから2022年には5,226億パケットへと拡大しました。また「令和4年版情報通信白書」の2021年の調査では、企業の過半数が「情報セキュリティで何らかの被害を受けた」と回答しており、サイバー攻撃がいかに身近な脅威であるかがわかります。たとえば、フィッシングメールを通じて社員のログイン情報が盗まれ、重要なシステムに不正アクセスされるといった事例は珍しくありません。

このようなリスクが高まるなか、約98％の企業が何らかのサイバーセキュリティ対策を実施していますが、それだけでは不十分です。万が一、攻撃を受けた場合にどのように事業を継続し、被害を最小限に抑えるかを計画しておくことが大切です。

現在のビジネス環境では、ITシステムが停止すると業務全体に大きな影響が及びます。オンラインショップが攻撃されて停止した場合、売上が途絶えるだけでなく、顧客の信頼も失いかねません。そのため、事前にサイバー攻撃を想定したBCPを構築し、被害を最小限に抑える対策を講じることが重要です。

サイバー攻撃に対応したBCPを策定する手順

サイバーBCPを効果的に策定するためには、公的機関の資料活用がおすすめです。以下では、策定の具体的な手順をわかりやすく解説します。

システムの把握・管理
全体構成図の作成
体制の整備
教育訓練の実施
バックアップの実施と復旧手順の確認

1. システムの把握・管理

まず、自社が保有するサーバー、端末PC、ネットワーク機器などを把握し、詳細な一覧を作成します。

一覧には以下の情報を含めることが推奨されます。

社内サーバ・端末PCのOS、IPアドレス、用途
脆弱性対応状況、ウイルス対策ソフトの稼働状況
管理者権限でログインする端末の識別情報

さらに、VPN装置やファイアウォール、ルーターなどの設置場所やIPアドレス、使用目的を明記したリストを作成し、全体的な可視化を図ります。

2. 全体構成図の作成

社内LANやインターネット接続点を含むネットワーク構成をわかりやすく示す図を作成します。構成図にはIPアドレスやルーティングの詳細も含め、ネットワーク全体の構造を把握しやすくすることが重要です。

また、各システムが利用できなくなった場合にどの業務が継続できなくなるかを想定し、代替運用の手順を準備します。非常時の代替運用サーバーやバックアップデータの管理状況を確認し、必要に応じて強化策を検討しましょう。

3. 体制の整備

インシデント発生時の組織内および外部関係機関（事業者、行政機関、警察など）との連絡体制を整備します。非常時の役割や対応手順を定め、緊急連絡先や情報伝達ルートを明確化し、関係者に周知しましょう。

また、リスク検知と情報収集の体制を整備することも大切です。ファイアウォールやVPNのアクセスログを定期的に確認する運用ルールを設定し、重要な脆弱性情報が速やかに共有されるようにします。

4. 教育訓練の実施

策定したBCPを実効性のあるものにするために、定期的な教育訓練を行います。障害発生時を想定し、障害時対応マニュアルや代替運用マニュアルを準備しておきましょう。

また、教育訓練を実施した状況に応じて計画を改善していくことで、関係者全体の対応力向上を図り、非常時の混乱を最小限に抑えられます。

5. バックアップの実施と復旧手順の確認

サイバー攻撃に備えたオフラインバックアップを定期的に実施し、復旧手順を事前に確認しておきましょう。また業務フローを意識して復旧対象システムの優先順位を設定し、復旧計画を具体化しておくことで復旧作業の効率化を図れます。

定期的なバックアップの実施と復旧手順の確認により、サイバー攻撃によるリスクを最小限に抑えつつ、迅速な事業継続が可能になります。

サイバー攻撃に備えるBCPの策定ポイント

サイバー攻撃に対応したBCPを策定する際は、いくつかポイントを押さなければなりません。以下では、サイバー攻撃に備えるBCPの策定ポイントを紹介します。

公的機関のガイドラインを活用する

サイバー攻撃に備えたBCPを策定する際は、公的機関が提供するガイドラインを活用することをおすすめします。以下のようなガイドラインには、BCPの基本的な構成や策定時の留意点が詳しく記載されており、初めてBCPを策定する企業でも活用しやすい内容です。

代表的な公的機関のガイドライン	特徴
ITサービス継続ガイドライン｜経済産業省	ITシステムに特化した事業継続計画の作成方法が具体的に説明されている
サイバー攻撃を想定した事業継続計画（BCP）策定の確認表｜厚生労働省	サイバー攻撃を想定したBCP作成の手順について解説されている
中小企業BCP策定運用指針｜中小企業庁	コストを抑えつつ実効性を高める方法が紹介されており、小規模事業者でも無理なく取り組める
重要インフラのサイバーセキュリティに係る安全基準等策定指針｜サイバーセキュリティ戦略本部	サイバー攻撃を受けた場合の影響を最小限に抑えるための具体的な対策や基準が詳しく示されている

公的機関のガイドラインを活用することで、自社の状況や規模に合った現実的なBCPを構築できます。活用可能なリソースを十分に活かし、サイバー攻撃に対する備えを万全にすることが大切です。

優先順位を決める

サイバー攻撃に備えたBCPを策定する際、最初に直面する課題のひとつが「どの対策を優先すべきか」という判断です。限られたリソースのなかで、すべてのリスクに対策を講じるのは現実的ではありません。そのため、対策の優先順位を明確にすることがポイントです。

はじめに、事業継続において最も重要な要素を洗い出しましょう。金融機関であれば、インターネットバンキングやATMの稼働停止が顧客に与える影響の大きい要素です。一方、製造業の場合、製造ラインの制御システムが停止すれば、生産に直結する損失が生じます。

さらに、不要な対策と必要な対策を区別することも大切です。すべてのシステムを最先端のセキュリティで保護するのは理想的ですが、費用対効果を考慮する必要があります。たとえば、内部文書の管理システムに高額なセキュリティ対策を導入するより、営業データや顧客情報などの優先度が高い情報を保護するほうが現実的です。

こうした優先順位を決めるプロセスを通じて、企業の限られたリソースを最も効果的に活用し、事業継続を確保するBCPを策定できます。

計画内容は従業員に周知する

サイバー攻撃に備えたBCPは、計画を策定するだけでは不十分です。緊急時に迅速かつ的確な対応を可能にするために、その内容を従業員全員に周知し、実際に活用できる状態にしておきましょう。緊急時の指揮命令系統や各担当者の責任範囲、ITシステムの構成要素、対応手順などを図やフローチャートにまとめて可視化することで、複雑な情報を直感的に理解できるようになります。

また、計画内容の周知はデジタルツールだけに頼らず、紙媒体でも共有することがポイントです。特にサイバー攻撃によるシステム障害時は、デジタルデータへのアクセスが制限される可能性があります。重要な情報は印刷して、各部門に配布するよう取り組みましょう。

このようにBCPを従業員に周知しておくことで、緊急時でも混乱を最小限に抑え、迅速な事業継続が可能になります。

サイバーBCPには「プライベートクラウド版SONR(ソナー)」がおすすめ

社内コミュニケーションツール「SONR（ソナー）」は、社内で起こっている、一つひとつの話題に集中できるよう設計されたグループウェアです。社内のタスクや出来事を整理しながら、確実に完了させていくことができます。

またプライベートクラウド版SONRは、自社専用サーバーでSONRを運用できるため、セキュリティが高い点が特徴です。AWSによる安心のシステム運用により、常時データバックアップ、障害発生時のリスク分散、冗長性、スケーラビリティなど、継続してシステムが稼働する安心の運営体制を構築できます。自社に合わせたカスタマイズや、独自プラットフォームの構築ができるプライベートクラウド版SONRは、BCP対策に最適です。

また「もっともシンプルで、もっとも簡単な」をプロダクトポリシーにしているSONRは、誰でも簡単にブラウザや専用アプリから投稿の確認、コメントの返信、予定の確認などが可能です。『中小企業が導入しやすいコスト・導入の訪問サポートやオンラインサポートなどの支援・多くの業種での生産性向上と業務効率化の実績』など、ITツールの導入が不安な企業でも安心して導入いただけます。

プライベートクラウド版SONR

自社のセキュリティレベルに合わせた運用が可能
自社専用サーバーによる運営でセキュリティが高い
自社独自のコミュニケーションインフラを自由に構築できる
企業のニーズに合わせた機能を追加
既存ツールと連携が可能
スマホアプリで外出先からアクセス
全国の中小企業1,000社以上での導入実績

BCP対策にお困りの方は、まずはお気軽にご相談ください。