本記事は、「サイバー攻撃 bcp」で情報収集している中小企業の経営者・情報セキュリティ担当者に向けて、サイバー攻撃を前提に“止めない・止まっても戻す”ためのBCP(事業継続計画)の作り方を、最短1日で骨子まで落とし込む手順として整理したものです。
ランサムウェアやメール起点の侵害、VPN経由の不正アクセスなど、現実に起きやすい事象を前提に、発動基準・優先業務・復旧目標(RTO/RPO)・初動・復旧・連絡を、テンプレートやガイドラインを使いながら自社用に具体化します。
「セキュリティ対策はしているが、止まった後の段取りが曖昧」という状態を解消し、社内外の混乱と損失を最小化することがゴールです。
サイバー攻撃BCPとは?必要性・重要性と「災害BCP」との違いを解説
サイバー攻撃BCPは、サイバーインシデント(例:ランサムウェア感染、アカウント乗っ取り、基幹システム停止)が起きても、重要業務を継続し、許容時間内に復旧させるための計画です。
災害BCPが「拠点・人・物流」の被害を中心に想定するのに対し、サイバーは「データの改ざん・暗号化」「権限の奪取」「横展開」「バックアップ破壊」など、見えにくい被害が連鎖しやすい点が特徴です。
また、復旧は“機器を直す”だけでなく、“侵害を止め、原因を除去し、再侵入を防いだ状態で戻す”必要があります。
そのため、IT部門だけでなく、経営判断(公表、取引先連絡、業務停止の可否)を含めた全社計画として設計することが重要です。
サイバー攻撃を想定した事業継続計画(BCP)が必要な理由(経営・業務・データへの影響)
サイバー攻撃は、売上停止・追加コスト・信用毀損が同時に起きやすく、意思決定が遅れるほど損失が拡大します。
例えば受発注や請求が止まればキャッシュフローに直撃し、顧客対応が滞れば解約や違約金、取引停止に発展します。
さらに、個人情報や機密情報の漏えいが疑われる場合は、調査・通知・再発防止などの対応が必要になり、経営工数も大きく取られます。
BCPは「被害ゼロ」を目指す計画ではなく、「止まる前提で、止まった後に最短で戻す」ための経営の段取り表です。
中小企業ほど兼務が多く属人化しやすいため、平時に決めておく価値が高い領域です。
サイバーセキュリティとBCPの関係:セキュリティ対策だけでは継続できない
セキュリティ対策(EDR、メール対策、脆弱性対応、MFAなど)は「侵入を減らす」ための予防策です。
一方BCPは「侵入された後に、業務をどう回し、どう復旧するか」を決める回復策で、目的が異なります。
現実には、ゼロデイや委託先経由、設定不備などで侵害を完全に防ぐことは困難です。
そのため、BCPでは“遮断・隔離・停止”の判断基準、代替手段(手作業・別回線・別環境)、復旧の優先順位、外部支援の呼び出し条件を明文化します。
セキュリティが「守りの設計」なら、BCPは「事業を守る運用設計」であり、両輪で初めて継続性が担保されます。
対象となる事象(ランサムウェア、メール起点、システム停止など)とリスクの考え方
サイバー攻撃BCPで想定すべき事象は、発生頻度が高く、業務停止に直結しやすいものから優先します。
典型はランサムウェア(暗号化+情報窃取)、メール起点の侵害(フィッシング、添付ファイル、なりすまし)、VPN/リモートアクセスの突破、クラウドアカウントの乗っ取り、委託先経由の侵害です。
リスクは「起きやすさ×影響度」で見ますが、BCPでは特に“影響の連鎖”を重視します。
例えば、基幹停止→出荷停止→売上停止→顧客クレーム→取引停止、のように波及します。
よって、重要業務と重要データを先に特定し、そこが止まった場合の許容停止時間(RTO)と許容データ損失(RPO)を決めるのが実務的です。
最短1日で「骨子」を作成するための全体ステップ(ベース設計→決定→公開)
1日で完成させるコツは、完璧な文書を目指さず「意思決定が必要な項目を先に埋める」ことです。
流れは、①現状把握(重要業務・システム・連絡網・外部先)→②経営の決定(発動基準、優先順位、RTO/RPO、身代金方針など)→③骨子作成(体制・初動・復旧・運用)→④社内共有(版管理して公開)です。
骨子ができれば、詳細手順や手順書、訓練は後から拡張できます。
特に中小企業では、担当者が少ない前提で「誰が・いつ・何を決めるか」を短い文章で固定するだけでも、初動の混乱が大きく減ります。
事前準備:現状把握(状況・環境・リソース)と目的の明確化
最初に、現状を“棚卸し表”で把握します。
対象は、重要業務(受注、出荷、請求、サポート等)、それを支えるシステム(基幹、メール、ファイル、SaaS、ネットワーク)、重要データ(顧客、会計、設計、個人情報)です。
次に、社内リソース(IT担当、総務、広報、法務、経営)と、外部リソース(MSP、SIer、保守ベンダ、弁護士、保険、フォレンジック)を洗い出します。
目的は「何を守るBCPか」を一文で定義します。
例:受発注と請求を48時間以内に暫定復旧し、個人情報漏えい疑い時の連絡・調査を遅延なく実施する、などです。
経営の決定事項を先に固める(発動基準・優先業務・復旧目標)
サイバーBCPは、現場判断に任せるとブレやすい項目が多いため、経営が先に決めるべき事項があります。
代表は、BCP発動基準(例:ランサム画面表示、管理者権限の不正利用、基幹停止が30分超など)、優先業務(止めない順番)、復旧目標(RTO/RPO)です。
加えて、外部公表の判断ライン、取引先への一次連絡の方針、身代金要求への基本方針(支払可否は法務・警察相談を前提に、社内の意思決定手順を定義)も決めておくと初動が速くなります。
ここが曖昧だと、隔離・停止の判断が遅れ、被害拡大(横展開、バックアップ破壊)につながりやすい点に注意が必要です。
骨子のアウトライン:体制/対応/復旧/運用の4ブロックで構築する
骨子は4ブロックに分けると、短時間で漏れなく作れます。
①体制:指揮命令系統、役割分担、連絡先、外部支援の呼び出し条件。
②対応:検知〜初動(隔離、停止、証拠保全、社内連絡)、判断基準、禁止事項。
③復旧:バックアップからの復元、代替運用、復旧優先順位、復旧完了の定義。
④運用:訓練、見直し頻度、版管理、教育。
この枠に沿って、各項目を“箇条書きで埋める”だけでも実務で使えるBCPになります。
文章を整えるのは後回しで構いません。
サイバー攻撃BCPテンプレート/ひな形の選び方(自社に付与すべき要素)
テンプレートは、ゼロから作る時間を短縮できる一方、前提条件が合わないと「書類はあるが動けない」状態になりがちです。
選び方の要点は、①自社の業種・規模・IT構成に近いこと、②初動・復旧・連絡が具体的に書ける欄があること、③RTO/RPOや優先業務を決める設計になっていることです。
特に中小企業では、担当者が少ないため、役割を細かく分けすぎないテンプレートが向きます。
また、クラウド中心かオンプレ中心かで復旧手順が変わるため、システム構成に合わせて章立てを調整してください。
テンプレート・サンプルのメリット/限界:そのまま使うと失敗する観点
メリットは、必要項目の抜け漏れを防ぎ、短時間で骨子を作れる点です。
一方の限界は、連絡先・権限・復旧手順・外部委託範囲が自社と一致しないことです。
そのまま使うと失敗しやすいのは、①「誰が判断するか」が空欄、②バックアップの実態(世代、保管場所、復元手順)が未確認、③取引先・顧客への連絡基準が未定、④停止中の代替業務が未設計、の4点です。
テンプレートは“チェックリスト兼たたき台”として使い、必ず自社の固有情報(システム名、委託先、SaaS管理者、回線、端末管理)を埋めて初めて機能します。
自社・中小企業でも回る体制にする:担当者、外部支援、オフィス拠点の考慮
中小企業の現実解は「最小人数で回る指揮系統」と「外部支援の即時起動」です。
社内は、指揮(社長/役員)、統括(情報システム責任者)、業務(各部門長)、対外(総務/広報/営業)程度に絞り、兼務前提で代替者も決めます。
外部は、保守ベンダ、MSP、クラウドサポート、弁護士、保険窓口、必要に応じてフォレンジックを“連絡順”で並べます。
拠点面では、社内ネットワークが使えない前提で、連絡手段(携帯、個人メールの扱い、チャットの代替)と、紙で回せる最低限の帳票(受注、出荷、請求)を準備します。
「社内だけで復旧しきる」前提を捨てることが、結果的に復旧を早めます。
NECなど公開テンプレート活用時の注意点(対象範囲・機能・前提条件)
大手企業やベンダが公開するテンプレートは網羅性が高い反面、対象範囲が広く、前提が“専任部門あり”になっていることがあります。
活用時は、①自社の対象範囲(ITのみか、全社業務まで含むか)、②想定システム(オンプレ/クラウド/ハイブリッド)、③外部委託の境界(どこまでがベンダ責任か)を明確にしてから、章を削るのがコツです。
また、テンプレ内の用語(CSIRT、SOC、フォレンジック等)が自社で実行可能かを確認し、実行できない場合は外部委託として書き換えます。
公開資料は有用ですが、最終的に“自社の連絡先と手順に置換できたか”が品質の分かれ目です。
ガイドラインをベースに策定する:厚生労働省などの公開情報の読み解き方
ガイドラインは、監督官庁や業界団体が「最低限求める観点」を整理したもので、テンプレートよりも“要求事項の根拠”として使えます。
特に医療・薬局などは、厚生労働省がサイバー攻撃を想定したBCP策定の確認表や手引きを公表しており、診療継続と患者安全、個人情報保護の観点が強く反映されています。
医療以外の業種でも、ガイドラインの読み方(要求事項→自社の手順へ落とす)は共通です。
重要なのは、全文を読み込むことより、チェック項目を自社の“やることリスト”に変換し、担当と期限を割り当てることです。
「ガイドライン→自社計画」へ落とす手順(要求事項の棚卸しと検討ポイント)
手順はシンプルで、①要求事項を抜き出す、②自社の現状と差分を確認、③差分を埋める手段を決め、BCPに反映、の3段階です。
要求事項は「体制」「初動」「復旧」「連絡」「訓練」「見直し」に分類すると整理しやすくなります。
検討ポイントは、実行可能性です。
例えば「24時間監視」が要求されていても中小企業で内製が難しければ、MSP/SOCの活用や、検知後の連絡フローを現実的に設計します。
また、個人情報や機密情報が関わる場合は、法令・契約(委託契約、NDA、取引基本契約)の通知義務も確認し、BCPの対外連絡基準に組み込みます。
医療機関・病院の事業継続計画で重視される観点(診療停止・患者安全・個人情報)
医療では、サイバー攻撃が「生命・身体への影響」に直結し得るため、一般企業よりも厳格な優先順位付けが必要です。
具体的には、診療停止を最小化するための代替手段(紙カルテ運用、検査・処方の暫定フロー)、患者安全(誤投薬や取り違え防止の確認手順)、個人情報(診療情報)の保護と漏えい時の対応が中核になります。
また、復旧の“速さ”だけでなく、“正しさ”が重要です。
改ざんの可能性があるデータをそのまま戻すと医療事故につながるため、復旧後の整合性確認(データ検証、ログ確認、権限棚卸し)をBCPに含めます。
医療以外でも、品質・安全に直結する業務(製造、物流、インフラ)は同様の考え方が参考になります。
厚生労働省の資料を参照したサイバーセキュリティBCPサンプルの使い方
厚生労働省の確認表・手引きは、BCPの“完成形”というより、抜け漏れを防ぐ監査表として使うのが効果的です。
まず確認表を自社の章立て(体制/対応/復旧/運用)にマッピングし、該当する社内文書(手順書、連絡網、バックアップ手順、委託先契約)を紐づけます。
次に、未整備の項目は「BCPに追記する」か「別紙手順書として作る」かを決め、担当者と期限を設定します。
医療・薬局以外の企業でも、確認表の粒度は参考になり、特に“初動の連絡・判断・代替運用”の項目は汎用性が高いです。
重要なのは、資料名を引用することではなく、チェック項目が実装(運用)されている状態にすることです。
サイバー攻撃の脅威モデル:想定シナリオとインシデント対応の設計
BCPを実務で使える形にするには、抽象論ではなく「自社で起きるシナリオ」を置く必要があります。
脅威モデルは、入口(侵入経路)→展開(権限奪取・横展開)→影響(暗号化・窃取・停止)→検知(誰が気づく)→初動(何を止める)→復旧(どこから戻す)を一本のストーリーにします。
中小企業で多いのは、メール起点の認証情報窃取、VPN/リモートの突破、委託先アカウントの悪用です。
このシナリオに沿って、隔離・停止・連絡・証拠保全の手順を決めると、訓練もしやすくなります。
想定すべき攻撃の入口(脆弱性、メール、VPN、委託先)と防御の考え方
入口は大きく4つに整理できます。
①脆弱性:公開サーバやVPN装置、業務アプリの未更新。
②メール:フィッシング、なりすまし、添付ファイル。
③VPN/リモート:ID/パスワード漏えい、MFA未導入、設定不備。
④委託先:保守用アカウント、共有ID、サプライチェーン。
防御は「入口を減らす」だけでなく、「侵入後の横展開を止める」設計が重要です。
具体的には、権限最小化、管理者アカウント分離、ネットワーク分割、ログの保全、バックアップの隔離がBCPの復旧可能性を左右します。
BCP側では、どの入口でも共通する初動(隔離・停止・連絡)を標準化しておくと、想定外にも強くなります。
被害拡大を止める初動手順(隔離・停止・連絡)と情報セキュリティ判断
初動の目的は「原因究明」より先に「被害拡大の停止」です。
基本は、感染・侵害が疑われる端末やサーバをネットワークから隔離し、横展開を止めます。
次に、認証情報が盗まれた疑いがあれば、該当アカウントの無効化、パスワード変更、セッション切断、MFA強制を実施します。
ただし、闇雲な電源断は証拠(ログ、メモリ情報)を失う可能性があるため、外部支援(保守ベンダやフォレンジック)に相談する判断基準をBCPに書きます。
また、業務停止の判断(基幹を止めるか、ネットワークを落とすか)は経営判断になりやすいので、発動基準と決裁者を明確にしておくことが重要です。
インシデント時の社内外連携(警察・取引先・顧客)とコミュニケーション計画
サイバー攻撃時は、技術対応と同じくらいコミュニケーションが重要です。
社内では、事実(何が起きたか/不明か)、当面の指示(PCを触らない、パスワード変更手順等)、問い合わせ窓口を一本化します。
社外では、取引先・顧客への一次連絡の基準(業務影響が出た時点、漏えい疑いがある時点など)と、連絡手段・文面の雛形を用意します。
警察への相談は、脅迫や不正アクセス等の犯罪が疑われる場合に選択肢になりますが、まずは証拠保全と事実整理が前提です。
BCPには、連絡の順番と責任者、広報の承認フロー(勝手に発信しない)を明記し、風評被害と二次被害を抑えます。
復旧戦略を具体的に:バックアップ方法・システム復旧・業務継続の手順
復旧戦略は、BCPの中で最も“実装が必要”な領域です。
ランサムウェアではバックアップも破壊されることがあるため、バックアップの保管方式(オフライン/別アカウント/別ネットワーク)と、復元テストの有無が復旧可否を分けます。
また、復旧はITだけで完結せず、業務側の代替運用(手作業、紙、後追い入力)とセットで設計します。
中小企業では、全システムを同時に戻すのは難しいため、優先順位(売上に直結、法令対応、顧客影響)に沿って段階復旧にします。
復旧完了の定義(安全確認、再侵入対策、監視強化)まで書くと、再発を防ぎやすくなります。
バックアップの設計(世代管理、オフライン、検証)と復旧の優先順位
バックアップは「取っている」だけでは不十分で、「戻せる」ことが条件です。
世代管理(複数世代を保持)により、感染前の時点へ戻せる可能性が上がります。
また、攻撃者がバックアップ領域まで到達するケースがあるため、オフライン保管や、別アカウント・別テナント・別ネットワークへの隔離が重要です。
さらに、定期的な復元テスト(検証)をしないと、いざという時に手順不明・容量不足・権限不足で復旧が遅れます。
復旧優先順位は、①認証基盤(ID管理)②ネットワーク/通信③基幹(受発注・会計)④ファイル/メール⑤周辺、のように“依存関係”で決めると現実的です。
システム復旧の段取り(ネットワーク、サーバ、端末、クラウド)と担当分担
復旧は段取りが命で、担当分担が曖昧だと待ち時間が増えます。
ネットワークは、侵害範囲の切り分けと、復旧後の再侵入防止(不要ポート閉鎖、VPN設定見直し、管理者経路の制限)を優先します。
サーバは、クリーンな再構築(再インストール)か、バックアップ復元かを判断し、ログ保全と並行して進めます。
端末は、感染端末の再展開(初期化・再配布)を前提に、標準イメージや資産台帳があると復旧が速くなります。
クラウドは、アカウント乗っ取り対策(MFA、トークン無効化、権限棚卸し)と、設定変更の監査が重要です。
BCPには、社内担当とベンダ担当の境界(どこまで依頼するか)を明記します。
停止中の業務継続策(代替手段・手作業・データ再入力)を計画に明記する
ITが止まる前提で、業務をどう回すかをBCPに書くと、売上と信用の毀損を抑えられます。
例えば受注は電話・FAX・フォームの代替、出荷は紙のピッキングリスト、請求は締め日をずらす・暫定請求、サポートはFAQと折り返し運用などです。
重要なのは、停止中に発生した取引データを、復旧後にどう再入力し、整合性をどう取るか(突合ルール、責任者、証跡)まで決めることです。
また、個人情報を紙で扱う場合の保管・廃棄ルールも必要です。
代替運用は“できる/できない”が会社ごとに違うため、現場部門と一緒に最小限の手順に落とし込みます。
サイバー攻撃BCPの体制づくり:企画・運用・教育で回る仕組みへ
BCPは作って終わりではなく、運用して初めて効果が出ます。
特にサイバーは、システム更改、クラウド導入、委託先変更、従業員の入退社などで前提がすぐ変わります。
体制面では、意思決定者と実行者、連絡窓口を固定し、緊急時に“誰が指揮を執るか”を明確にします。
運用面では、年1回の見直しと、最低でも机上演習(テーブルトップ)を回すだけでも、初動の質が上がります。
教育は、全社員に高度な知識を求めるのではなく、「怪しいメールを開いたら何をするか」「感染疑い時にPCをどう扱うか」など行動に落とすのが現実的です。
BCP推進体制(責任者、意思決定、現場)と必要なリソース配分
推進体制は、責任者(最終責任は経営)、統括(情報システム/セキュリティ責任者)、現場(各部門長)で構成します。
緊急時は、指揮命令系統が二重になると混乱するため、決裁者と代行順位を明記します。
リソース配分としては、①外部支援の契約(保守、緊急対応窓口)②バックアップ/復元環境③端末再展開の仕組み④ログ保全、が費用対効果が高い傾向です。
中小企業では、全てを内製せず、必要なときに呼べる体制(連絡先、SLA、費用目安)をBCPに組み込むことが、実質的な継続力になります。
従業員教育と訓練:机上演習から実施する(シナリオ別)
訓練は、いきなり大規模にせず、机上演習から始めるのが最短です。
シナリオは、メール起点の認証情報漏えい、ランサムウェアでファイルサーバ暗号化、VPN突破で基幹停止、など現実的なものを選びます。
演習では「誰が最初に気づくか」「どこに連絡するか」「隔離・停止の判断は誰がするか」「顧客への一次連絡はいつか」を時系列で確認します。
結果として、連絡先が古い、権限が足りない、代替手段がない、などの課題が必ず出ます。
その課題をBCPに反映し、次回演習で改善を確認するサイクルにすると、少ない工数でも成熟します。
定期的な見直しと改善:監査・評価・課題管理で状況変化に追随する
見直しは、最低でも年1回、できれば「システム変更」「委託先変更」「重大インシデント発生」「組織変更」のタイミングで実施します。
監査・評価は難しく考えず、チェックリストで“実行可能か”を確認するだけでも有効です。
例えば、連絡網は最新か、バックアップは復元テスト済みか、外部支援の契約は有効か、代替運用の帳票は保管されているか、などです。
課題は、発見したらチケット化し、担当者・期限・完了条件を決めます。
BCP文書は版管理(改定履歴、配布先、保管場所)を徹底し、古い版が現場に残らないようにします。
使える「例」とチェックリスト:作成・運用で抜け漏れを防ぐ
最後に、最小構成の章立て例と、抜け漏れを防ぐチェックリストを提示します。
中小企業では、分厚い文書より「緊急時に開いて動ける」ことが重要です。
そのため、連絡先、初動手順、復旧優先順位、代替運用、外部支援の呼び出し条件を1つの文書にまとめ、詳細手順は別紙に分けるのがおすすめです。
また、公開前にセキュリティ対策(権限、ログ、バックアップ)との整合を確認しないと、計画倒れになります。
以下をたたき台に、自社の固有情報へ置換して完成させてください。
サイバー攻撃を想定した事業継続計画 例:最低限入れる章立て(体制・手順・連絡先)
- 目的・適用範囲(対象業務/対象システム/対象拠点)
- 発動基準・指揮命令系統(決裁者/代行順位)
- 連絡網(社内/委託先/保守ベンダ/保険/弁護士)
- 初動手順(隔離・停止・アカウント無効化・証拠保全・社内周知)
- 対外対応(取引先/顧客への一次連絡基準、広報承認フロー)
- 復旧方針(優先順位、RTO/RPO、バックアップからの復元手順)
- 停止中の代替運用(手作業、帳票、再入力・突合ルール)
- 訓練・見直し・版管理(改定履歴、保管場所、配布先)
計画のチェックリスト:対象業務・重要データ・復旧目標・外部支援の確認
| 観点 | 最低限の確認ポイント |
|---|---|
| 重要業務 | 優先業務トップ3が決まっている/停止中の代替手段がある |
| 重要データ | 顧客・会計・設計などの所在(サーバ/SaaS/端末)が分かる |
| 復旧目標 | RTO(いつまでに戻す)とRPO(どこまで戻す)が合意済み |
| バックアップ | 世代管理/隔離(オフライン等)/復元テスト実施が確認できる |
| 外部支援 | 緊急連絡先・契約範囲・費用発生条件・到着目安が明記されている |
| 対外連絡 | 取引先・顧客への一次連絡の基準と承認フローがある |
公開前の最終確認:セキュリティ対策との整合、実施可能性、文書管理(版管理)
公開前は、BCPが“現実に実行できるか”を最終確認します。
まず、セキュリティ対策との整合です。
例として、隔離したいのにネットワーク分割がない、ログを取っていない、管理者権限が共有、バックアップが同一ドメインで破壊され得る、などはBCPの前提を崩します。
次に、実施可能性です。
夜間休日に誰が動くか、外部支援は何時間で来るか、クラウドの管理者は誰か、権限は足りるかを確認します。
最後に文書管理(版管理)として、改定履歴、保管場所(紙/オフライン含む)、配布先、旧版の回収ルールを決めます。
ここまで整えると、最短1日で“骨子として使えるサイバー攻撃BCP”が完成します。
