サイバーリスクに備える：中小企業向けIT-BCP策定の具体的手順

2024年8月16日 13:39

ニコニコ動画を提供しているドワンゴ社をはじめとするKADOKAWAグループへのサイバー攻撃の影響は多岐にわたり、サイバー攻撃の被害を被ると影響が大きく長引くことを再認識させられます。

総務省の情報通信白書（R5年版）によると、インターネットの利用率が個人で84．9％、テレワークを導入している企業は51．7％と個人も会社もネットに接続している時代になっています。
システムは安定稼働しているのが標準となっており、停止時には最優先での復旧活動がなされますので、こうしたサイバー攻撃への対応は企業活動を維持する上での優先度の高い事項と言えるでしょう。

IPA（情報処理推進機構）によると、ウィルス等の検出は減少傾向にあるとは言え、582,622件と東京都に所在する民間企業数以上のウィルス等の検出が報告されており、サイバーインシデントの脅威はまだまだ高い状況にあります。

出所：IPAコンピュータウイルス・不正アクセスの届出状況（2023年）
https://www.ipa.go.jp/security/todokede/crack-virus/ug65p9000000nnpa-att/2023-report.pdf

こうしたサイバー攻撃のリスクが高い中で、企業が災害やサイバーインシデントに直面した際に、ITサービスを迅速に復旧し、事業を継続するための計画であるIT-BCP（IT-Business Continuity Plan）の策定は非常に重要です。ここでは、中小企業向けのIT-BCP策定方法について詳しく解説します。

IT-BCPのお役立ち事例

IPA（情報処理推進機構）が発行している「サイバーセキュリティ経営ガイドライン」には実践のためのベストプラクティス集として、実践例などを紹介しています。
その中からランサムウェア対策を講じたBCP策定事例として、海外からの商品買い付けを行う小売業の事例をご紹介します。

【企業概要】

・実店舗5店とオンラインショップを運営
・海外からの商品買い付けを電子メ－ルを介して行うこともよくある。
・ペーパレス化した結果、クラウド上のデータが失われた場合の被害は深刻。

【対策】

社長に対し、最新のマルウェア対策を実施していても、標的型攻撃等の手法により感染してしまうことが避けられず、ひとたび感染すると事業停止などの深刻な影響があることを他社事例を交えて説明し、次表の対策実施について、予算措置を含めて同意を得ることができた。

対策①

通常のバックアップとは別に、週次で重要データを要員の手作業で保存し、通常時は電源を落としておくオンプレミスのストレージを確保

対策②

ランサムウェア感染が疑われる挙動の検知の仕組みを導入するとともに、ファイルにアクセスできないなど、兆候と思われる挙動があれば ITシステム部に連絡して欲しい旨を従業員に通知

対策③

海外との電子メールを扱う担当者（高リスク層）とそれ以外の従業員に分けて、それぞれの業務内容に応じて日頃意識すべき事項についての教育を実施

このように自社のセキュリティ上の脅威を正しく認識し、適切な対応を平時から講じて、従業員教育を行うことは、サイバーインシデントの影響を最小限に抑えることにつながります。

IT-BCP策定方法

IT-BCPのガイドラインは複数公表されています。
大企業から中小企業までのサイバーセキュリティ対策推進として「サイバーセキュリティ経営ガイドラインVer.3.0」(2023年10月31日公表)があります。今回は中小企業のレベルに合わせて段階的にステップアップできるIPAの「中小企業の情報セキュリティ対策ガイドライン」をご紹介します。
IT-BCP（IT-Business Continuity Plan）は、企業が災害やインシデント発生時においても事業を継続できるよう、特にITシステムの復旧と維持に焦点を当てた計画です。このガイドラインは、中小企業向けに情報セキュリティ対策と事業継続を支援するための具体的な手順と方法そしてひな形を提供しています。

IT-BCP策定の進め方

実践編は、情報セキュリティ対策を実践する責任者や担当者向けに、具体的な進め方をステップアップ方式で説明しています。組織の状況に応じた対策を段階的に実施できるように、各種の付録が用意されています。

1. できるところから始める

以下の情報セキュリティ5か条を参考に基本的な情報セキュリティ対策を行います。
IPAから情報セキュリティ5箇条のチラシもご用意していますので、ご参考にしてください。

OSやソフトウェアの最新化：セキュリティ問題を修正するために常に最新の状態に保つ。
ウイルス対策ソフトの導入：IDやパスワードの盗難、遠隔操作などを防ぐために導入し、定義ファイルを最新に保つ。
パスワードの強化：推測されにくい強力なパスワードを使用し、使い回さない。
共有設定の見直し：無関係な人がアクセスできないように設定を確認。

脅威や攻撃の手口の把握：巧妙な攻撃手口を知り、対策を講じる。

2. 組織的な取り組みを開始する

基本方針の作成と周知

経営者が定めた情報セキュリティ基本方針を文書化し、従業員や関係者に周知します。情報セキュリティ方針のサンプルを参考に、事業の特徴や顧客の期待に応じた方針を作成します。

実施状況の把握

「5分でできる！情報セキュリティ自社診断」で現状を把握し、対策を決定します。従業員の意見を取り入れ、実施すべき対策を具体的に決定し、周知します。

3. 本格的に取り組む

管理体制の構築と予算の確保

情報セキュリティ管理体制を構築し、対策の予算を確保します。必要な対策を検討し、規程を作成します。

出所：IPA中小企業の情報セキュリティ対策ガイドライン

情報セキュリティ規程の作成

情報セキュリティ規程を作成し、組織内でのセキュリティ対策のルールを明文化します。これには、情報の取り扱いやアクセス権限、データの保存・廃棄方法などが含まれます。
基本方針には、決まった書き方はありませんので、「情報セキュリティ基本方針（サンプル）」などを参考に作成します。

①対応すべきリスクの特定
経営者が懸念する情報セキュリティの重大事故などを念頭に、何が起こらないようにするべきかを考えます。「５分でできる！情報セキュリティ自社診断」を利用すると自社のセキュリティ対策状況を把握できます。
②対策の決定
全てのリスクに対応しようとすると、費用が多額になったり、仕事が非効率になったりすることがあります。そこで、いつ事故が起きてもおかしくない、あるいは事故が起きると大きな被害になるなど、リスクが大きなものを優先して対策を実施し、事故が起きる可能性が小さいか、発生しても被害が軽微であるなど、リスクが小さなものについては、現状のままにするなど、合理的に対応します。
③規程の作成
情報セキュリティ規程を作成し、組織内でのセキュリティ対策のルールを明文化します。これには、情報の取り扱いやアクセス権限、データの保存・廃棄方法などが含まれます。
Word版で「情報セキュリティ関連規程（サンプル）」が提供されていますので、サンプル文書を元に自社にあった内容にカスタマイズすると効率的に策定ができます。

出所：IPA中小企業の情報セキュリティ対策ガイドライン

委託時の対策

外部に業務を委託する場合、委託先でも同等のセキュリティ対策が行われるように契約書に明記し、合意します

点検と改善

実施した対策の状況を点検し、必要に応じて見直しを行います。業務や顧客の期待の変化を踏まえ、方針や対策の追加や改善を指示します。

4. より強固にするための方策

情報収集と共有
情報セキュリティに関する最新動向を常に把握し、担当者と共有します。公的機関の情報や知り合いとの情報交換を活用し、最新の対策を検討します。
クラウドサービスの情報セキュリティ
クラウドサービスを安全に利用するためのガイドラインに従い、対策を実施します。テレワークの導入に伴うセキュリティ対策も含まれます。
セキュリティインシデント対応
緊急時の対応体制を整備し、被害の拡大を防ぐための手順を作成します。模擬訓練を行い、経営者の対応も事前に想定しておきます。

まとめ

IT-BCPの策定は、企業が災害やサイバーインシデントに迅速に対応し、事業を継続するために不可欠です。段階的に取り組み、自社に適した対策を実施することで、リスクを最小限に抑えることができます。
自社のサイバーセキュリティ対策強化にご活用下さい。

執筆者：永見拓也
BCPコンサルタント・公益社団法人日本証券アナリスト協会検定会員リスクコンサル会社にて製造業、運送業のBCP/BCM策定コンサルティング業務に従事。
現在、大手損害保険会社にて事業継続力強化計画やBCP策定支援等のリスクマネジメント推進業務を担当。

BCPの策定・もしもの備え、できていますか？

CloudBCPはBCPを最短5分で策定できるWebサービスです。トレーニングを始めとする管理運用機能や、安否確認機能などもアプリの中で使え、BCP活動を完結することができます。

▽現在のBCPで大丈夫？簡単無料診断▽

https://www.cloud-bcp.com/

最初のBCPをとにかく簡単に作り、その後の訓練を通して見直していく事が、実践的に使えるBCP活動に不可欠です。無料デモを行っておりますので、お気軽にご連絡ください。

・本記事はCloudBCPブログの転載です。

https://www.cloud-bcp.com/posts/9PgSv_EJ