サイバー攻撃は、もはや「大企業だけの問題」ではありません。
ランサムウェア、メール起点の侵害、VPN突破、クラウドアカウント乗っ取りなど、日常的に中小企業を狙う攻撃が増えています。実際に被害に遭った企業の多くが口を揃えて言うのは、「セキュリティ対策はしていたが、止まった後の段取りが決まっていなかった」という点です。
そこで重要になるのが、サイバー攻撃を前提に“止めない・止まっても戻す”ためのBCP(事業継続計画)です。
本記事では、中小企業の経営者が最短1日で骨子を作れるよう、必要なステップを整理して解説します。
サイバー攻撃BCPが必要な理由:中小企業ほど影響が深刻になる
サイバー攻撃は、売上停止・追加コスト・信用毀損が同時に発生し、意思決定が遅れるほど損失が拡大します。
受発注や請求が止まればキャッシュフローに直撃し、顧客対応が滞れば解約や違約金につながります。さらに、個人情報漏えいが疑われる場合は調査・通知・再発防止が必要となり、経営工数も膨らみます。
BCPは「被害ゼロ」を目指すものではなく、止まった後に最短で戻すための経営の段取り表です。
特に中小企業は兼務が多く、属人化しやすいため、平時に決めておく価値が非常に高い領域です。
最短1日で骨子を作るための全体ステップ
1日で完成させるコツは、完璧な文書を目指さず、“意思決定が必要な項目を先に埋める”ことです。
① 現状把握(棚卸し)
- 重要業務(受注・出荷・請求など)
- 支えるシステム(基幹、メール、ファイル、SaaS)
- 重要データ(顧客、会計、設計、個人情報)
- 社内リソース(IT担当、総務、経営)
- 外部リソース(保守ベンダ、MSP、弁護士、保険)
まずは「何が止まると困るのか」を明確にします。
② 経営の決定事項を固める
- BCP発動基準(例:ランサム画面表示、基幹停止30分超)
- 優先業務(止めない順番)
- 復旧目標(RTO/RPO)
- 取引先への一次連絡基準
- 身代金要求への基本方針
ここが曖昧だと、隔離・停止の判断が遅れ、被害拡大につながります。
③ 骨子の作成(4ブロックで整理)
骨子は次の4つに分けると短時間で作れます。
- 体制:指揮命令系統、役割分担、外部支援の呼び出し条件
- 対応:検知〜初動(隔離・停止・証拠保全)、判断基準
- 復旧:バックアップ復元、代替運用、復旧優先順位
- 運用:訓練、見直し頻度、版管理
文章を整えるのは後回しで構いません。まずは箇条書きで埋めるだけで実務に使えます。
④ 社内共有(公開・版管理)
- 連絡先・初動手順・復旧優先順位を1枚にまとめる
- 詳細手順は別紙化
- 改定履歴・保管場所・配布先を明確にする
テンプレートの選び方と注意点
テンプレートは便利ですが、そのまま使うと「書類はあるが動けない」状態になりがちです。
選ぶポイント
- 自社の業種・規模・IT構成に近い
- 初動・復旧・連絡が具体的に書ける欄がある
- RTO/RPOや優先業務を決める設計になっている
そのまま使うと失敗しやすい点
- 判断者が空欄
- バックアップの実態が未確認
- 取引先連絡基準が未定
- 停止中の代替業務が未設計
テンプレートは“チェックリスト兼たたき台”として使い、必ず自社の固有情報を埋めることが重要です。
中小企業でも回る体制づくり
中小企業の現実解は 「最小人数で回る指揮系統」 と 「外部支援の即時起動」 です。
社内体制(兼務前提)
- 指揮:社長・役員
- 統括:情報システム責任者
- 業務:各部門長
- 対外:総務・広報・営業
外部支援
- 保守ベンダ
- MSP
- クラウドサポート
- 弁護士
- 保険窓口
- フォレンジック(必要に応じて)
「社内だけで復旧しきる」前提を捨てることが、結果的に復旧を早めます。
初動対応:被害拡大を止めるための最優先行動
初動の目的は 原因究明より先に“被害拡大の停止” です。
- 感染端末・サーバのネットワーク隔離
- アカウント無効化・パスワード変更
- 証拠保全(ログ・メモリ情報)
- 外部支援を呼ぶ判断基準を明記
- 基幹停止やネットワーク遮断は経営判断にする
初動が1時間遅れるだけで被害は何倍にも膨らみます。
復旧戦略:バックアップと代替運用が鍵
ランサムウェアではバックアップ破壊も起きるため、バックアップの隔離と復元テスト が復旧可否を左右します。
バックアップのポイント
- 複数世代の保持
- オフライン保管
- 別アカウント・別ネットワークで隔離
- 定期的な復元テスト
復旧優先順位(例)
- 認証基盤(ID管理)
- ネットワーク
- 基幹システム(受発注・会計)
- メール・ファイル
- 周辺システム
停止中の代替運用
- 受注:電話・FAX・フォーム
- 出荷:紙のピッキングリスト
- 請求:締め日調整・暫定請求
- サポート:FAQ・折り返し運用
停止中に発生した取引データの再入力ルール(突合方法・責任者)も決めておきます。
運用と訓練:机上演習だけでも効果が大きい
BCPは作って終わりではなく、運用して初めて効果が出ます。
訓練の進め方
- まずは机上演習(テーブルトップ)から
- 現実的なシナリオ(メール起点、ランサム、VPN突破)
- 連絡先・判断者・代替手段を時系列で確認
見直しのタイミング
- 年1回
- システム変更
- 委託先変更
- 組織変更
- 重大インシデント発生時
訓練を回すだけで、初動の質は大きく向上します。
中小企業こそ“完璧よりスピード”が重要
誠一さんの視点として強く感じるのは、中小企業にとって最も危険なのは「何も決まっていない状態」 だということです。
サイバー攻撃は突然起きますが、初動の判断が1時間遅れるだけで被害は何倍にも膨らみます。
しかし、逆に言えば “最小限の骨子”があるだけで、被害は大きく抑えられる のです。
- 誰が決めるのか
- どこまで止めるのか
- どこから戻すのか
- 取引先へいつ連絡するのか
これらが1枚にまとまっているだけで、現場の混乱は劇的に減ります。
終わりに
サイバー攻撃BCPは「作ること」よりも「自社に合わせて動く形にすること」が難しい領域です。
もしこの記事を読んで、
- うちの会社に当てはめるとどうなる?
- 1日で骨子を作るのを手伝ってほしい
- テンプレートを自社向けに調整したい
- 補助金を使って整備できるか知りたい
と感じられたら、ぜひ気軽にご相談ください。
経営者の不安や現場の状況を丁寧に伺いながら、“動くBCP”を一緒に形にするサポート を行っています。
BCPを、事業継続の実務にしっかり活かしていくために。
その最初のステップを、トップページで分かりやすく案内しています。
作成に向けて必要な流れを、まずはトップページで確認してみてください。
▼トップページを見る
サイバーセキュリティBCPの策定・事業継続力強化計画の認定取得をお考えなら、
▶S&Hパートナーズ株式会社のBCP・事業継続支援サービスがお勧めです。