BCPにサイバー攻撃を入れていますか？

自然災害に対するBCP（事業継続計画）を策定している企業は多いですが、サイバー攻撃を想定に含めている企業はまだ少ないのが現状です。しかしランサムウェア1件で復旧費用は1,000万円を超え、業務停止が数ヶ月に及ぶこともあります。BCPにサイバー攻撃を組み込む必要性と具体的な方法を解説します。

なぜBCPにサイバー攻撃が必要なのか

BCP（事業継続計画）は、地震や台風などの自然災害を想定して策定されることが一般的です。しかし、デジタル化が進んだ現在の企業活動において、サイバー攻撃によるシステム停止は自然災害と同等かそれ以上のリスクとなっています。

自然災害の場合、建物や設備が被害を受けても代替の拠点で業務を再開できることがあります。一方、サイバー攻撃でシステムが停止した場合、ITに依存する業務の多くが止まる可能性があります。場所を変えても、システムが復旧しなければ業務は再開できません。

実際に、ランサムウェアに感染した中小企業では情報にアクセスできなくなり、売上が大幅に下がったり営業そのものができなくなったりする事態に陥っています。ランサムウェアの具体的な被害額については中小企業のランサムウェア被害額の実態を解説で詳しく紹介しています。

サイバー攻撃を想定外にする危険性

多くの企業がBCPを策定していますが、その中にサイバー攻撃を明確に組み込んでいるケースはまだ少数です。「うちは小さい企業だから狙われない」「セキュリティソフトを入れているから大丈夫」という認識が根強く残っています。

しかし実態としては、サイバー攻撃は企業規模に関係なく無差別に行われる傾向があります。セキュリティが弱いところを狙って攻撃する手口が増えており、セキュリティ投資が限られる中小企業もリスクが高い状況にあります。

実際の事例では、社内にIT部門があり、セキュリティ対策もしっかり行っていた中小企業がランサムウェアに感染しました。セキュリティ対策をしていても完全に防ぐことはできないのが現実です。

サイバー攻撃は自然災害とは被害の性質が異なるため、既存のBCPをそのまま適用することはできません。フォレンジック調査や証拠保全、保険会社への連絡など、サイバー攻撃特有の対応手順を追加する必要があります。復旧にかかる期間の実態についてはサイバー攻撃からの復旧期間は？実態を解説をご覧ください。

サイバー保険をBCPの柱に位置づける

BCPにサイバー攻撃を組み込む際、サイバー保険はその中核的な要素として活用できます。サイバー保険が提供するのは保険金の支払いだけではなく、事業継続を支える複数の機能を持っています。

サイバー保険がBCPに果たす役割は以下の通りです。

• 金銭面の補償（事故対応費用、逸失利益、損害賠償金）
• 事故発生時の専門家サポート（付帯サービス）
• 平常時のリスクモニタリング（付帯サービス）

特に重要なのが付帯サービスです。サイバー攻撃を受けた際にどこに連絡して何をすべきかがわからない企業がほとんどですが、保険会社の付帯サービスを通じて専門業者の紹介やコンサルティングを受けることができます。

サイバーBCPに必要な4つの要素

BCPにサイバー攻撃を組み込む際に必要な要素を整理します。

1つ目はインシデント対応マニュアルの整備です。サイバー攻撃を発見した際の初動手順、連絡先リスト、システム切り離しの判断基準、社外への通知手順を文書化しておきます。全社員がこのマニュアルを認識している状態が理想です。

2つ目はバックアップ体制の構築です。攻撃を受けたネットワークとは別の場所にバックアップを保存しておくことで、データの復旧が可能になります。クラウド上にバックアップを保管することが推奨されています。

3つ目はサイバー保険への加入です。保険金による費用カバーに加え、付帯サービスを通じた専門家支援が事業継続を支えます。保険の付帯サービスの詳細はサイバー保険のインシデント対応サービスを徹底解説で紹介しています。

4つ目は従業員教育の継続です。フィッシング詐欺のメールを開かないといった基本的な知識を定期的に共有することが、サイバー攻撃の予防につながります。

自然災害BCPとサイバーBCPの違い

既存の自然災害BCPにサイバー攻撃対策を追加する際、両者の違いを理解しておく必要があります。

項目	自然災害BCP	サイバーBCP
被害対象	建物・設備	データ・システム
代替手段	別拠点で業務再開	システム復旧が必須
調査期間	被害状況の目視確認	フォレンジック調査に数ヶ月

サイバー攻撃の場合、被害を受けたサーバーは証拠保全のためにそのまま保管する必要があります。自然災害であれば被害箇所を修復すれば再開できますが、サイバー攻撃では攻撃を受けたシステムとは別に新しいシステムを構築しなければならないケースが多いのです。

復旧が早い企業と遅い企業の具体的な違いについては復旧が早い企業と遅い企業の違いとは？で詳しく解説しています。この違いを踏まえて、サイバーBCPでは以下の項目を追加で定めておく必要があります。

• フォレンジック調査に対応する体制と費用の確保
• 証拠保全の手順
• 新しいシステム構築の手順と予算
• 保険会社への連絡手順

実際にBCPが機能した事例

売上50億円規模の中小企業がランサムウェアに感染した事例では、サイバー保険に加入していたことが復旧の大きな助けになりました。

この企業はたまたま親会社の方針でサイバー保険に加入していましたが、事故発生後に保険の付帯サービスを活用して初動対応を進めることができました。保険会社が専門業者を紹介し、フォレンジック調査から復旧まで一貫してサポートを受けています。

最終的に約1,200万円の保険金が認定されましたが、もし保険に加入していなければこの費用は全額自己負担になっていました。中小企業にとって1,200万円の突発的な出費は経営に大きな打撃を与えます。業務停止中の逸失利益を保険でカバーする方法については業務停止の損失もカバー？サイバー保険の利益補償で解説しています。

サイバーBCPの実行力を高める保険活用

BCPは策定するだけでは意味がありません。実際にサイバー攻撃が発生した際に、計画通りに対応できる実行力が必要です。

サイバー保険の付帯サービスは、BCPの実行力を高める重要な要素です。事故発生時には保険会社の専門チームがサポートしてくれるため、社内にサイバーセキュリティの専門家がいなくても適切な対応ができます。

また平常時のサイバーリスクモニタリングサービスを活用することで、自社のセキュリティ状態を継続的に把握できます。リスクが高まっている箇所を事前に特定し、対策を講じることで、BCP発動の可能性そのものを低減できます。

保険の専門家と定期的に相談し、BCPの内容と保険の補償内容が整合しているかを確認することも大切です。事業の成長や環境の変化に合わせて、BCPとサイバー保険の両方を見直していくことが、実効性のある事業継続計画につながります。