「BCP（事業継続計画）」

サイバーセキュリティの基本を理解するためには、いくつか重要なセキュリティ用語を知っておくことが必要です。

これらの言葉や概念を正確に理解することで、企業が直面するリスクを最小限に抑え、適切な対策を講じることができます。

本記事では、中小企業が特に知っておくべきセキュリティ用語について解説しています。

今回取り上げるテーマは、「BCP（事業継続計画）」です。

緊急事態への対応としてBCPはご存知だと思いますが、サイバーセキュリティとは関係がないとお考えではないでしょうか。

実は、サイバー攻撃リスクへの対策にも深く関わる重要な考え方です。

皆さんのビジネスを守るため、ぜひ一緒に深掘りしていきましょう。

BCPとは

BCP、正式名称「Business Continuity Plan（事業継続計画）」とは、自然災害、大規模火災、テロ攻撃などの予測不可能な緊急事態が発生したときでも、会社の重要な事業を滞りなく継続させるため、あるいは可能な限り速やかに復旧させるための対策や手段などをまとめた計画のことです。

緊急事態が発生しても、事業資産の損害を最小限にとどめるため、平常時から準備を行い、危機発生時にどのように行動すべきかを定めたものです。

この概念は、1970年代にアメリカやイギリスで提唱され始めました。

そして、2001年9月のアメリカ同時多発テロがきっかけとなり、BCPの重要性が世界的に認識されるようになったのです。

企業はBCPを事前に準備しておくことで、不測の緊急事態が起きた際に、迅速かつ適切な対応が可能になります。

当初は、自然災害やテロ、感染症によるパンデミック等を想定した事業継続の計画を意味していましたが、最近では、サイバー攻撃（サイバーテロ）等のサイバーセキュリティリスクに対応する事業継続計画(以下、サイバーセキュリティ対応のBCPと記載)が必要となっています。

サイバーセキュリティとBCP

情報化が進む現在、多くの企業で、電子メールやビジネスチャット（LINE WorksやChatworkなど）でコミュニケーションを取り、ファイルサーバーやクラウドサービス（Google DriveやOneDriveなど）でデータを管理しています。

普段の業務を振り返って見てください。

皆さんの会社でも、業務効率化とデータ管理を目的に、これらの仕組みを活用している場合が多いと思います。

でも、もしそれらが突然使えなくなったとしたら、事業を継続することができるでしょうか？例えば、データファイルにアクセスできなくなったり、取引先との連絡が一切取れなくなるような状況を想像してみてください。事業継続は非常に困難になるはずです。

従来のBCPは、地震や台風などの自然災害やテロ行為、あるいはパンデミックのような事業継続が困難な緊急事態を想定して策定されることが一般的でした。

一方、サイバーセキュリティ対応のBCPは、近年企業にとって大きな脅威となっているサイバー攻撃により、事業継続が困難になる事態を想定して策定されます。

これらの脅威の中で最もわかりやすい例は、ランサムウェアに感染することです。 

以前、「マルウェア・ランサムウェア」の記事でも解説したとおり、ランサムウェアは、ファイルの暗号化により、データの喪失やPC等が起動しなくなるという状況を引き起こします。

その結果、業務を停止せざるを得ない状況になることも少なくありません。

下記は「令和6年上半期における脅威の情勢等について」(警察庁発表)に掲載されているランサムウェア被害の「復旧等に要した期間」のグラフです。

このグラフによると、ランサムウェア被害を受けた企業のうち、1週間以内に復旧できた企業は19件（29％）に過ぎません。復旧までの間、業務が完全に停止した企業も少なくなかったと推測されます。 

このようなサイバー攻撃リスクに備えるために、サイバーセキュリティ対応を定めたBCPが必要となるのです。

サイバーセキュリティ対応のBCPを策定する際のポイント

サイバーセキュリティ対応のBCPの基本的な策定方法は、通常のものと同じです。

ランサムウェア感染等のサイバー攻撃被害を受けた状況を想定し、その状況が発生した時の計画を作っていきます。

なお、作成する際、以下の３つのポイントに注意してください。

（１）オフラインバックアップの確保

ランサムウェア攻撃では、オンラインのバックアップも暗号化され、利用できなくなる可能性があります。

そのため、必ず定期的に重要なデータをオフライン環境（外付けHDDなど）に保存するようにしましょう。

参考記事：「3-2-1ルール」【3分でわかる！用語解説】

（２）守るべき情報資産の最適化

管理するシステムやデータ量は必要最低限に絞りましょう。保護すべきデータを厳選し、最適化することで、守りやすく、復旧しやすくなり、リスク軽減にもつながります。

例えば、小容量データ（4GB以下）であれば、DVDへのバックアップも可能です。この機会に情報資産を整理し、不要なデータの削除を検討しましょう。

（３）作成したBCPの実現性の確認と見直し

どれだけ優れたBCPを作成しても、実際に行動できなければ意味がありません。

実現性を確保するために定期的な訓練やシミュレーションを行い、計画に無理がないことを確認しましょう。また、訓練の結果を基に問題があれば改善することも大切です。

最後に

BCPは企業を守るためのものですが、それだけではありません。BCPの存在により、取引先や顧客を守り、ひいては社会全体への影響を最小限に抑えることにもつながります。

しかし、日本国内の中小企業におけるBCP策定率は、まだ15％程度にとどまっており、多くの企業が未対策となっているのが現状です。

皆さんの会社、お客様を守るためにも、ぜひBCPの策定を考えてみてください。

中小企業サイバーセキュリティ特別支援事業の紹介

今年度、東京都ではインシデント対応に特化した中小企業向けの支援を行っています。

この事業では、基本的なセキュリティ対策を実施済みの企業を対象に、インシデント対応体制の強化を目的として、IT-BCPの策定またはCSIRTの構築を支援します。

今後、本事業参加企業の取組内容をホームページ上で公開する予定です。

皆様と同業種、同規模、同じお悩みを抱えた企業の取組事例は、参考になるのではないかと思います。

2月下旬公開予定ですので、事業内容とともにぜひご覧ください。

事業URL：令和6年度 中小企業サイバーセキュリティ特別支援事業

参考文献

１．中小企業BCP策定運用指針　（中小企業庁）
　https://www.chusho.meti.go.jp/bcp/index.html

２．サイバー空間をめぐる脅威の情勢等　（警察庁Webサイト） 
　https://www.npa.go.jp/publications/statistics/cybersecurity/index.html

３．プロが教える！中小企業のためのBCP対策（BCPP） 
　https://www.bcp-perfect.com/