サイバー攻撃BCPの作り方:最短1日で骨子を完成

BCP 事業継続計画

サイバー攻撃は、もはや「大企業だけの問題」ではありません。
ランサムウェア、メール起点の侵害、VPN突破、クラウドアカウント乗っ取りなど、日常的に中小企業を狙う攻撃が増えています。実際に被害に遭った企業の多くが口を揃えて言うのは、「セキュリティ対策はしていたが、止まった後の段取りが決まっていなかった」という点です。

そこで重要になるのが、サイバー攻撃を前提に“止めない・止まっても戻す”ためのBCP(事業継続計画)です。
本記事では、中小企業の経営者が最短1日で骨子を作れるよう、必要なステップを整理して解説します。

サイバー攻撃BCPが必要な理由:中小企業ほど影響が深刻になる

サイバー攻撃は、売上停止・追加コスト・信用毀損が同時に発生し、意思決定が遅れるほど損失が拡大します。
受発注や請求が止まればキャッシュフローに直撃し、顧客対応が滞れば解約や違約金につながります。さらに、個人情報漏えいが疑われる場合は調査・通知・再発防止が必要となり、経営工数も膨らみます。

BCPは「被害ゼロ」を目指すものではなく、止まった後に最短で戻すための経営の段取り表です。
特に中小企業は兼務が多く、属人化しやすいため、平時に決めておく価値が非常に高い領域です。

最短1日で骨子を作るための全体ステップ

1日で完成させるコツは、完璧な文書を目指さず、“意思決定が必要な項目を先に埋める”ことです。

① 現状把握(棚卸し)

  • 重要業務(受注・出荷・請求など)
  • 支えるシステム(基幹、メール、ファイル、SaaS)
  • 重要データ(顧客、会計、設計、個人情報)
  • 社内リソース(IT担当、総務、経営)
  • 外部リソース(保守ベンダ、MSP、弁護士、保険)

まずは「何が止まると困るのか」を明確にします。

② 経営の決定事項を固める

  • BCP発動基準(例:ランサム画面表示、基幹停止30分超)
  • 優先業務(止めない順番)
  • 復旧目標(RTO/RPO)
  • 取引先への一次連絡基準
  • 身代金要求への基本方針

ここが曖昧だと、隔離・停止の判断が遅れ、被害拡大につながります。

③ 骨子の作成(4ブロックで整理)

骨子は次の4つに分けると短時間で作れます。

  • 体制:指揮命令系統、役割分担、外部支援の呼び出し条件
  • 対応:検知〜初動(隔離・停止・証拠保全)、判断基準
  • 復旧:バックアップ復元、代替運用、復旧優先順位
  • 運用:訓練、見直し頻度、版管理

文章を整えるのは後回しで構いません。まずは箇条書きで埋めるだけで実務に使えます。

④ 社内共有(公開・版管理)

  • 連絡先・初動手順・復旧優先順位を1枚にまとめる
  • 詳細手順は別紙化
  • 改定履歴・保管場所・配布先を明確にする

テンプレートの選び方と注意点

テンプレートは便利ですが、そのまま使うと「書類はあるが動けない」状態になりがちです。

選ぶポイント

  • 自社の業種・規模・IT構成に近い
  • 初動・復旧・連絡が具体的に書ける欄がある
  • RTO/RPOや優先業務を決める設計になっている

そのまま使うと失敗しやすい点

  • 判断者が空欄
  • バックアップの実態が未確認
  • 取引先連絡基準が未定
  • 停止中の代替業務が未設計

テンプレートは“チェックリスト兼たたき台”として使い、必ず自社の固有情報を埋めることが重要です。

中小企業でも回る体制づくり

中小企業の現実解は 「最小人数で回る指揮系統」「外部支援の即時起動」 です。

社内体制(兼務前提)

  • 指揮:社長・役員
  • 統括:情報システム責任者
  • 業務:各部門長
  • 対外:総務・広報・営業

外部支援

  • 保守ベンダ
  • MSP
  • クラウドサポート
  • 弁護士
  • 保険窓口
  • フォレンジック(必要に応じて)

「社内だけで復旧しきる」前提を捨てることが、結果的に復旧を早めます。

初動対応:被害拡大を止めるための最優先行動

初動の目的は 原因究明より先に“被害拡大の停止” です。

  • 感染端末・サーバのネットワーク隔離
  • アカウント無効化・パスワード変更
  • 証拠保全(ログ・メモリ情報)
  • 外部支援を呼ぶ判断基準を明記
  • 基幹停止やネットワーク遮断は経営判断にする

初動が1時間遅れるだけで被害は何倍にも膨らみます。

復旧戦略:バックアップと代替運用が鍵

ランサムウェアではバックアップ破壊も起きるため、バックアップの隔離と復元テスト が復旧可否を左右します。

バックアップのポイント

  • 複数世代の保持
  • オフライン保管
  • 別アカウント・別ネットワークで隔離
  • 定期的な復元テスト

復旧優先順位(例)

  1. 認証基盤(ID管理)
  2. ネットワーク
  3. 基幹システム(受発注・会計)
  4. メール・ファイル
  5. 周辺システム

停止中の代替運用

  • 受注:電話・FAX・フォーム
  • 出荷:紙のピッキングリスト
  • 請求:締め日調整・暫定請求
  • サポート:FAQ・折り返し運用

停止中に発生した取引データの再入力ルール(突合方法・責任者)も決めておきます。

運用と訓練:机上演習だけでも効果が大きい

BCPは作って終わりではなく、運用して初めて効果が出ます。

訓練の進め方

  • まずは机上演習(テーブルトップ)から
  • 現実的なシナリオ(メール起点、ランサム、VPN突破)
  • 連絡先・判断者・代替手段を時系列で確認

見直しのタイミング

  • 年1回
  • システム変更
  • 委託先変更
  • 組織変更
  • 重大インシデント発生時

訓練を回すだけで、初動の質は大きく向上します。

中小企業こそ“完璧よりスピード”が重要

誠一さんの視点として強く感じるのは、中小企業にとって最も危険なのは「何も決まっていない状態」 だということです。
サイバー攻撃は突然起きますが、初動の判断が1時間遅れるだけで被害は何倍にも膨らみます。

しかし、逆に言えば “最小限の骨子”があるだけで、被害は大きく抑えられる のです。

  • 誰が決めるのか
  • どこまで止めるのか
  • どこから戻すのか
  • 取引先へいつ連絡するのか

これらが1枚にまとまっているだけで、現場の混乱は劇的に減ります。

終わりに

サイバー攻撃BCPは「作ること」よりも「自社に合わせて動く形にすること」が難しい領域です。
もしこの記事を読んで、

  • うちの会社に当てはめるとどうなる?
  • 1日で骨子を作るのを手伝ってほしい
  • テンプレートを自社向けに調整したい
  • 補助金を使って整備できるか知りたい

と感じられたら、ぜひ気軽にご相談ください。
経営者の不安や現場の状況を丁寧に伺いながら、“動くBCP”を一緒に形にするサポート を行っています。

BCPを、事業継続の実務にしっかり活かしていくために。
その最初のステップを、トップページで分かりやすく案内しています。
作成に向けて必要な流れを、まずはトップページで確認してみてください。
トップページを見る

サイバーセキュリティBCPの策定​・事業継続力強化計画の認定取得をお考えなら
▶S&Hパートナーズ株式会社のBCP・事業継続支援サービスがお勧めです。

BLOG

  • HOME
  • BCP
  • サイバー攻撃BCPの作り方:最短1日で骨子を完成
PAGE TOP