OFFICE

事業継続力強化計画書におけるサイバー攻撃対策:中小企業が今すぐ始められる実践的アプローチ

BLOG

現代のビジネス環境において、サイバー攻撃は自然災害と同様に事業継続を脅かす重大なリスクとなっています。ランサムウェア、データ漏洩、サプライチェーン攻撃など、その手口は日々巧妙化し、企業規模を問わず深刻な被害をもたらしています。中小企業庁が推進する「事業継続力強化計画書」の策定において、サイバー攻撃対策を適切に組み込むことは、企業の持続的発展と競争力維持のために不可欠な取り組みとなっています。

サイバー攻撃が事業継続に与える深刻な影響

サイバー攻撃による被害は、単なるシステム障害にとどまらず、企業の事業活動全体に長期的な影響を及ぼします。ランサムウェア攻撃によってシステムが暗号化された場合、復旧まで数週間から数ヶ月を要するケースも珍しくありません。この間、受発注システムの停止により売上機会を失い、製造ラインが停止すれば出荷遅延が発生し、顧客との信頼関係にも深刻な影響を与えます。

近年では、サプライチェーン攻撃も急増しており、直接攻撃を受けていない企業であっても、取引先のセキュリティ侵害により間接的な被害を受けるケースが報告されています。また、BEC(ビジネスメール詐欺)による不正送金や、クラウドサービスの設定ミスによる情報漏洩など、攻撃手法の多様化により、従来の対策だけでは対応が困難な状況となっています。

事業継続の観点からサイバーリスクを捉える

事業継続力強化計画書にサイバー攻撃対策を組み込む際は、まず自社の重要業務とITシステムの関係性を明確に把握することが重要です。業務影響度分析(BIA)を実施し、受発注、製造、出荷、請求・支払、顧客サポートなど、停止すると売上や信用に直結する業務を特定します。

各重要業務について、RTO(Recovery Time Objective:復旧目標時間)とRPO(Recovery Point Objective:復旧目標時点)を設定します。例えば、受発注システムは24時間以内の復旧(RTO)を目標とし、過去4時間分のデータ損失(RPO)までは許容できるといった具体的な基準を定めます。これらの指標は、対策の優先順位決定や投資判断の重要な基準となります。

4つのフェーズによる包括的対策の構築

サイバー攻撃対策は、予防、検知、対応、復旧の4つのフェーズで体系的に構築することが効果的です。

予防対策:攻撃を未然に防ぐ基盤づくり

予防対策では、多層防御の考え方に基づいた包括的なセキュリティ対策を実装します。最も基本的で効果的な対策として、全てのクラウドサービスとリモートアクセスにおける多要素認証(MFA)の必須化があります。特に、メール、ID基盤、会計システム、ファイル共有サービスでは、MFA適用率100%を目標とします。

アクセス権限管理では、最小権限の原則に従い、従業員が業務に必要最小限のシステムやデータにのみアクセスできるよう設定します。管理者権限は日常業務用IDと分離し、共有IDの使用は廃止します。また、退職者のアカウントは即日無効化できる体制を整備します。

脆弱性管理とパッチ適用については、明確な運用ルールを策定します。重大なセキュリティパッチは48時間以内、その他のパッチは14日以内の適用を原則とし、週次でパッチ適用状況を確認する体制を構築します。

検知対策:早期発見による被害拡大防止

攻撃を完全に防ぐことは困難であるため、早期検知が被害拡大を防ぐ鍵となります。EDR(Endpoint Detection and Response)や高機能なアンチウイルスソフトを全端末に導入し、検知アラートの一次対応手順を整備します。

システムやネットワーク機器のログを継続的に監視し、認証ログ、管理操作ログ、重要データへのアクセスログを保全します。時刻同期のためのNTP設定も忘れずに実施し、インシデント発生時の正確な時系列把握を可能にします。

対応対策:インシデント発生時の迅速な初動

サイバー攻撃発生時の対応計画は、事業継続力強化計画書の重要な構成要素です。インシデント対応体制では、責任者(CIO/情報セキュリティ統括)、現場対応(IT/情報システム部門)、業務継続(各部門)、広報・法務、経営陣の役割と責任を明確に定義します。

初動判断基準として、感染疑いを発見した際のネットワーク遮断や証拠保全の手順を具体的に定めます。外部連絡先として、JPCERT/CC、IPA安心相談窓口、警察のサイバー犯罪相談窓口、主要ベンダーのサポート窓口、サイバー保険の連絡先を事前にリストアップしておきます。

復旧対策:事業の早期正常化

復旧対策の核となるのは、適切なバックアップ戦略です。3-2-1ルール(3つのコピーを作成し、2つの異なる媒体に保存し、1つはオフラインまたは不可変な形式で保管)に従ったバックアップ体制を構築します。毎週抜き取りでリストア演習を実施し、実際に正常復旧できることを確認します。

重要システムごとに復旧手順書(Runbook)を作成し、年1回以上の実機でのリストア訓練を実施します。Active DirectoryやID基盤の最悪時の再構築手順と、代替ID(ブレークグラスアカウント)を用意し、オフライン保管します。

計画書への具体的な記載方法

事業継続力強化計画書には、以下の要素を具体的に記載します:

想定シナリオと対応方針:
「ランサムウェア攻撃により社内共有サーバとActive Directoryが暗号化された場合、該当セグメントのネットワークを即時遮断し、バックアップから段階的に復旧する。身代金は支払わない方針とする。」

復旧手順と優先順位:
「1. ID基盤復旧 → 2. ネットワークセグメント再構築 → 3. 受発注システム → 4. ファイルサーバ → 5. その他業務システムの順序で復旧を実施する。」

代替手段:
「受発注はテンプレート帳票による手動対応、臨時メールは別テナントのクラウドサービスを使用、緊急時の決裁は紙ベースの稟議で対応する。」

段階的実装のためのクイックチェックリスト

中小企業が今すぐ着手できる優先度の高い対策として、以下のチェックリストを活用できます:

  • メールと主要SaaSのMFAを全ユーザーで有効化済み
  • バックアップのオフライン/不可変コピーが存在し、復元テスト済み
  • リモートデスクトップの直接公開を廃止し、VPN+MFAに統一済み
  • IT資産台帳が最新で、退職者アカウントの即日無効化体制が整備済み
  • 重大パッチ適用の運用ルールと週次確認体制が確立済み
  • フィッシング訓練を直近3ヶ月以内に実施済み
  • インシデント連絡先を計画書に明記済み
  • 机上演習を直近6ヶ月以内に実施し、改善点を反映済み

継続的改善とKPI管理

サイバー攻撃の手法は日々進化しているため、一度策定した対策も定期的な見直しと改善が必要です。以下のKPIを設定し、継続的にモニタリングします:

  • MFA適用率(目標:100%)
  • EDRカバー率(目標:100%)
  • 重大パッチ適用リードタイム中央値(目標:≤7日)
  • バックアップ復元成功率(目標:≥99%)
  • フィッシング訓練の失敗率(目標:≤5%)
  • 重要資産の棚卸し完了率(目標:100%)

四半期ごとに机上演習(ランサムウェア、BEC、情報漏洩シナリオ)を実施し、年1回は夜間・休日の想定で訓練を行います。監査ログや演習結果を踏まえ、計画書を年1回以上改訂し、新規システム導入時は都度見直しを実施します。

実践的な次のステップ

事業継続力強化計画書におけるサイバー攻撃対策は、単なる技術的な課題ではなく、企業の持続的発展を支える経営戦略の重要な要素として位置づけるべきです。まずは上記のクイックチェックリストから着手し、段階的に対策を拡充していくことで、確実にサイバーレジリエンスを向上させることができます。

参考となる公的リソースとして、IPA「中小企業の情報セキュリティ対策ガイドライン」、経産省「サイバーセキュリティ経営ガイドライン」、JPCERT/CC「インシデント対応ハンドブック」などを活用し、最新の脅威情報と対策手法を継続的に収集することが重要です。

サイバー攻撃対策は「ゼロにする」ことではなく、「止まっても素早く再開する」ための設計と運用です。実効性のある対策を計画書に盛り込み、PDCAサイクルで継続的に改善していくことで、不確実性の高い現代の事業環境において競争優位を維持する基盤を構築できるでしょう。