サイバーセキュリティBCP:最短で作る8ステップ
サイバー攻撃(特にランサムウェア)による業務停止は、いまや「起きたら対応」では間に合わない経営課題です。
本記事は、病院・薬局などの医療機関、そして専任担当が限られる中小企業の経営者・情報システム担当・総務担当に向けて、サイバーセキュリティBCPを最短で形にするための考え方と8ステップを、ひな形・チェックリスト・訓練まで含めてわかりやすく整理します。
平時のセキュリティ運用と非常時の事業継続をつなげ、停止時間を最小化する実務のポイントを持ち帰れる内容にしています。
サイバーセキュリティBCPとは?災害BCPとの違いと必要性(医療機関・中小企業の経営視点)
サイバーセキュリティBCP(サイバーBCP)とは、サイバー攻撃や情報システム障害が起きても、重要業務を止めない/止まっても早期に復旧するための事業継続計画です。
地震や水害などの災害BCPと同じく「人命・顧客・収益を守る」計画ですが、サイバーは被害が見えにくく、感染拡大や情報漏えいの二次被害が起きやすい点が大きく異なります。
医療機関では診療継続と患者安全が最優先で、電子カルテ停止や検査システム停止が直ちに医療提供体制へ影響します。
中小企業でも、受発注・会計・生産・顧客対応が止まれば資金繰りや信用に直結し、復旧費用・調査費用・取引停止など経営インパクトが急拡大します。
サイバー攻撃で業務停止が起きる理由:被害状況・影響・拡大のメカニズム
業務停止の主因は「暗号化・破壊・認証不能・ネットワーク遮断」の4つに集約できます。
ランサムウェアは端末侵入後、権限昇格→横展開→バックアップ破壊→暗号化を短時間で進め、ファイルサーバや仮想基盤、電子カルテなど中枢に到達すると一気に全体停止が起きます。
さらに、復旧を急ぐほど証拠保全が不十分になり、再感染や漏えい範囲の特定遅れを招きます。
メール起点の侵入でも、ID/パスワードの使い回しや多要素認証未導入があると、クラウド(メール、ストレージ、グループウェア)まで連鎖的に乗っ取られ、社外連絡や請求業務まで止まることがあります。
- 侵入:フィッシング、脆弱性悪用、VPN/リモート接続の突破
- 拡大:権限昇格、横展開、管理者アカウント奪取
- 停止:暗号化、サーバ停止、ネットワーク遮断、認証基盤障害
- 二次被害:情報漏えい、取引先への攻撃連鎖、風評・信用毀損
情報セキュリティ運用と事業継続計画(BCP)の違い:平時/非常時のフェーズで整理
情報セキュリティ運用は、平時に「起こさない・起きても早く気づく」ための仕組みです。
一方BCPは、非常時に「止めない・止まっても戻す」ための意思決定と手順を定めます。
両者は別物ではなく、検知(ログ・監視)やバックアップ(復旧)など共通要素を、非常時の判断・連絡・代替運用に接続して初めて実効性が出ます。
例えば、EDRを入れていても、誰が隔離判断をし、診療や出荷をどう継続し、どの順で復旧するかが決まっていなければ、現場は止まります。
サイバーBCPは「技術」だけでなく「業務・人・外部連携」を含めて設計する点が要点です。
| 観点 | 情報セキュリティ運用(平時中心) | サイバーBCP(非常時中心) |
|---|---|---|
| 目的 | 予防・検知・被害最小化 | 重要業務の継続・早期復旧 |
| 主担当 | 情シス/セキュリティ担当 | 経営/危機管理/各部門長 |
| 成果物 | 規程、手順、監視、教育 | 連絡網、初動手順、代替運用、復旧手順 |
| 時間軸 | 日常運用の継続 | 発生直後〜数日〜数週間 |
厚生労働省のガイドラインが示す重要性:病院・薬局が押さえるべき観点
医療機関では、厚生労働省がサイバー攻撃を想定したBCP策定の確認表などを公表し、平時の備えから検知、初動、復旧までを一連で整備する重要性を示しています。
ポイントは「医療提供の継続」と「患者情報の保護」を両立させることです。
具体的には、電子カルテ停止時の紙運用、検査・画像・処方の代替手段、院内連絡の冗長化、外部ベンダーや警察・関係機関への連絡、そして復旧時の安全確認(再感染防止)までを計画に落とし込みます。
薬局でも、調剤・レセプト・在庫が止まると患者対応に直結するため、最低限の手作業フローと復旧優先順位を明確にすることが求められます。
最短で作る前に:サイバーBCPの対象範囲とベースを決定する(現状把握・リスク整理)
サイバーBCPを最短で作るコツは、最初に「全部を完璧にやろうとしない」ことです。
対象範囲を決め、重要業務と停止許容時間を置き、現状の対策レベルを棚卸しすると、必要な手順と優先順位が自然に見えてきます。
特に医療機関や中小企業では、限られた人員で回す前提で、連絡・判断・代替運用・復旧の最小セットを先に固めるのが現実的です。
この段階で「想定する攻撃シナリオ」と「復旧の前提(バックアップの有無、外部支援の契約)」を揃えると、後工程の8ステップが一気に進みます。
対象業務・システム・データの範囲を決める:停止許容時間とリソース確保
まずは重要業務(止められない業務)を特定し、停止許容時間(RTO)と許容損失(影響)を決めます。
医療なら外来・救急・入院・検査・処方、企業なら受発注・生産・出荷・請求などが典型です。
次に、その業務を支えるシステム(電子カルテ、AD、ファイルサーバ、クラウドメール、基幹システム)とデータ(患者情報、顧客情報、会計データ)を紐づけます。
ここで重要なのは、復旧に必要な人・権限・機器・ベンダー連絡先まで含めて「復旧可能性」を見積もることです。
停止許容時間が短いのに、バックアップが週1回しかない、復旧担当が不在、といった矛盾を早期に発見できます。
- 重要業務:患者対応/出荷/請求など「止まると致命的」なものから
- 重要システム:認証基盤、ネットワーク、サーバ、クラウドを含める
- 重要データ:個人情報・診療情報・会計/契約・設計図面など
- 復旧リソース:担当者、管理者権限、予備端末、ベンダー契約
脅威とリスク想定:ランサムウェア等の攻撃シナリオを具体的に作る方法
サイバーBCPは「何が起きたら、どこまで止まるか」を具体化すると一気に実務になります。
おすすめは、攻撃の入口(メール、VPN、脆弱性、委託先)と、到達点(電子カルテ、ファイルサーバ、クラウド、バックアップ)を線で結ぶシナリオ化です。
例えば「職員がフィッシングに入力→メール乗っ取り→社内へ不審メール拡散→端末感染→サーバ暗号化→診療停止」のように、時系列で書きます。
このとき、前提条件(多要素認証なし、端末管理不十分、バックアップがオンラインのみ等)も併記すると、対策とBCPの境界が明確になります。
医療機関では、委託ベンダーのリモート保守経路が入口になるケースもあるため、外部接続点を必ず含めます。
- 入口:メール/添付、VPN、公開サーバ、委託先リモート保守
- 横展開:AD/管理者ID、共有フォルダ、仮想基盤
- 到達点:電子カルテ、検査、会計、レセプト、在庫
- 結果:暗号化、漏えい脅迫、業務停止、対外対応の発生
現状のセキュリティ対策・バックアップ・検知体制(CSIRT含む)を棚卸し
次に、現状の「守り」と「戻し」を棚卸しします。
守りは多要素認証、パッチ運用、端末管理、権限管理、メール対策などです。
戻しはバックアップの方式(世代、保管場所、オフライン性)と復旧手順、復旧テストの有無が中心になります。
さらに、検知と初動の体制として、誰がアラートを受け、誰が隔離し、誰が経営判断に上げるか(簡易CSIRT)を確認します。
中小規模では専任CSIRTがなくても構いませんが、「役割」と「連絡順」を決めない限り、非常時は判断が止まります。
棚卸し結果は、そのままBCPの前提条件と改善計画になります。
| 棚卸し項目 | 確認ポイント | 不足時のリスク |
|---|---|---|
| バックアップ | 世代管理/オフライン/復旧手順/復旧テスト | 復旧不能・長期停止 |
| 認証 | MFA、特権ID管理、退職者ID削除 | 乗っ取り・横展開 |
| 検知 | ログ収集、監視、アラート受信者 | 発見遅れ・被害拡大 |
| 体制 | 責任者、連絡網、外部ベンダー窓口 | 初動遅延・意思決定停止 |
8ステップで策定:サイバーセキュリティBCP作成の全体像(手順と構成要素)
ここからが「最短で作る」本編です。
サイバーBCPは、方針→想定→体制→初動→業務継続→復旧→事後→改善の順に作ると、抜け漏れが減り、関係者の合意も取りやすくなります。
重要なのは、文章を立派にすることではなく、非常時に迷わず動ける粒度に落とすことです。
特に初動(隔離・報告・意思決定)と、代替運用(紙・手作業・迂回手段)と、復旧優先順位(どれから戻すか)は、現場で使える形にしておく必要があります。
以下の8ステップを、ひな形に埋める感覚で進めてください。
ステップ1:基本方針を定める(経営の決定・目的・優先順位)
最初に経営としての基本方針を明文化します。
「患者安全・診療継続を最優先」「重要顧客への供給を最優先」「身代金は支払わない方針(例外条件の有無)」など、判断が割れる論点を先に決めるのが目的です。
また、復旧の優先順位(例:認証基盤→ネットワーク→電子カルテ→検査→会計)を大枠で合意しておくと、非常時の混乱を抑えられます。
中小企業では、社長決裁が遅れると初動が止まるため、代行者・不在時の決裁ルールもセットで定めます。
このステップは短くてもよいので、必ず「誰が最終判断者か」を書き切ることが重要です。
- 最優先価値:人命/患者安全、顧客供給、法令順守、信用維持
- 意思決定:最終責任者、代行順位、緊急時の決裁方法
- 対外方針:公表、取引先連絡、身代金対応の基本姿勢
ステップ2:インシデント想定を確定(事象・状況・被害の前提条件)
次に、BCPで扱うインシデント想定を確定します。
おすすめは「最も起きやすい1つ」と「最も致命的な1つ」の2本立てです。
例として、起きやすいのはフィッシング起点のアカウント侵害、致命的なのはランサムウェアによるサーバ暗号化です。
想定には、発生日(平日昼/夜間)、検知のきっかけ(端末の警告、ファイルが開けない、ベンダー通報)、影響範囲(電子カルテ停止、レセプト停止、メール停止)を含めます。
前提条件を具体化すると、必要な連絡網や代替運用が自然に決まります。
逆に想定が曖昧だと、計画が抽象論になり、訓練もできません。
- 事象:暗号化、情報漏えい疑い、クラウド乗っ取り、DDoS等
- 状況:夜間/休日、担当不在、ベンダー到着までの時間
- 被害前提:停止システム、使える通信手段、バックアップの状態
ステップ3:体制整備(責任者・連絡網・外部支援・コンサルティング活用)
体制は「役職名」ではなく「役割」で定義すると運用しやすくなります。
最低限必要なのは、統括(意思決定)、技術(隔離・復旧)、業務(現場の代替運用)、総務/法務(対外連絡・契約・保険)、広報(公表・問い合わせ対応)です。
医療機関では、医療情報システム部門と診療部門の橋渡し役が重要で、現場判断だけでネットワークを落とすと医療安全に影響するため、遮断判断のルールを決めます。
また、外部支援(フォレンジック、SOC、弁護士、保険、ベンダー)を「連絡先」だけでなく「何を依頼するか」まで書きます。
社内で完結できない前提を置くほど、復旧は早くなります。
- 統括:経営/院長/事務長(最終判断)
- 技術:情シス/医療情報(隔離・復旧・ログ保全)
- 業務:各部門長(紙運用・代替手順の指揮)
- 外部:ベンダー、SOC、フォレンジック、弁護士、保険窓口
ステップ4:初動対応手順(検知→隔離→報告→意思決定)を作る
初動は「最初の30分〜数時間」で勝負が決まります。
手順は、検知した人が迷わないように、行動を時系列で短文化します。
基本は、①異常の記録(画面写真、時刻、端末名)②ネットワーク隔離(LAN抜線、Wi-Fi遮断、EDR隔離)③関係者へ報告(連絡網)④被害拡大防止の意思決定(ネットワーク遮断範囲、アカウント停止)です。
このとき、証拠保全(ログ、メモリ/ディスク、操作履歴)を意識し、むやみに再起動や削除をしないルールも必要です。
医療では、診療継続の観点から「どのシステムを止めるか」を統括が判断できるよう、遮断の選択肢を用意します。
- 検知:誰が受けるか(監視/現場通報)と一次切り分け
- 隔離:端末隔離、アカウント停止、共有フォルダ遮断
- 報告:統括→技術→業務→外部支援の順で連絡
- 意思決定:遮断範囲、業務継続モード移行、公表準備
ステップ5:業務継続の方法(代替手段・手作業運用・重要業務の維持)
サイバーBCPの肝は、システムが使えない前提で「業務をどう回すか」を決めることです。
医療機関なら、紙カルテ・紙オーダー・手書き処方・検査依頼の代替、患者呼び出しや会計の簡易運用など、最低限の診療を維持する手順が必要です。
企業なら、受注を電話・FAX・メール代替で受ける、出荷指示を紙で回す、請求を後追いで処理するなど、重要顧客とキャッシュフローを守る設計が中心になります。
代替運用は「誰が」「どの帳票で」「どこに保管し」「復旧後にどう戻すか」まで書かないと、復旧後にデータ不整合が起きます。
また、個人情報を紙で扱う際の保管・持ち出しルールも併記し、非常時でも漏えいを起こさない運用にします。
- 代替手段:紙帳票、スタンドアロン端末、別回線、手作業
- 優先業務:救急/入院/重要顧客出荷/入金に直結する業務
- 復旧後の戻し:紙→システム入力、突合、承認フロー
ステップ6:システム復旧手順(バックアップ、復旧優先度、復旧時間の目標)
復旧は「安全に戻す」ことが最優先です。
暗号化被害では、原因が残ったまま復旧すると再暗号化が起きるため、復旧前に侵入経路の封じ込め(アカウント無効化、脆弱性修正、端末隔離)を行います。
そのうえで、復旧優先度を決め、RTO(復旧目標時間)とRPO(許容データ損失)を現実的に設定します。
典型的な優先順は、認証基盤(AD等)→ネットワーク→バックアップ基盤→基幹サーバ→業務アプリです。
バックアップは「ある」だけでは不十分で、復旧手順書、復旧に必要な資格情報の保管、復旧テストの実施が揃って初めてBCPになります。
医療では、電子カルテ復旧までの暫定運用期間を想定し、紙運用の継続可能日数も見積もります。
| 項目 | 決めること | 例 |
|---|---|---|
| 復旧優先度 | どれから戻すか | AD→ネットワーク→電子カルテ |
| RTO | いつまでに戻すか | 重要業務は24時間以内 |
| RPO | どこまでのデータを守るか | 前日分まで/直近1時間など |
| 復旧テスト | 頻度と範囲 | 四半期に1回、重要サーバを実施 |
ステップ7:事後対応(原因調査・再発防止の対策・情報公開の方針)
事後対応は、復旧と並行して進みます。
原因調査(フォレンジック)により侵入経路、横展開範囲、漏えい有無を特定し、再発防止策(MFA、権限見直し、端末管理、ネットワーク分離、監視強化)を計画します。
また、医療機関や個人情報を扱う企業では、関係者への説明責任が発生するため、情報公開の方針と窓口(問い合わせ対応、取引先連絡、監督官庁への相談)を定めます。
公表は「早さ」だけでなく「正確さ」が重要で、未確定情報の断定は二次被害を招きます。
そのため、事実確認のプロセス、発表文の承認者、外部専門家(弁護士等)レビューの有無をBCPに組み込みます。
復旧費用・逸失利益・保険適用の整理も、経営判断として同時に行います。
- 原因調査:侵入経路、影響範囲、漏えい有無、時系列
- 再発防止:MFA、パッチ、権限、分離、教育、監視
- 対外対応:取引先/患者、監督官庁、警察、保険、広報
ステップ8:見直しと改善(定期的な評価・継続的運用・更新ルール)
サイバーBCPは作って終わりではなく、更新して初めて機能します。
攻撃手口は変化し、システム更改やクラウド移行、委託先変更、組織改編で前提がすぐ崩れるためです。
更新ルールとして、定期レビュー(例:半年〜年1回)と、トリガー更新(例:システム更改、重大インシデント、委託先変更、拠点追加)を定めます。
また、訓練結果の課題を反映する「改善サイクル」を回し、連絡網・手順・帳票・外部連絡先を最新化します。
中小企業では、完璧を目指すより、毎年1回でも確実に更新し、連絡網と初動手順だけは常に使える状態に保つことが現実的です。
- 定期レビュー:年1回、連絡網・手順・外部契約を更新
- トリガー更新:システム更改、委託先変更、組織変更、訓練後
- 記録:改定履歴、版管理、配布先、旧版回収
すぐ使える「ひな形/テンプレート」で作成を加速:確認表・資料の揃え方
最短で形にするには、ゼロから文章を作るより、ひな形に自社情報を埋める方が圧倒的に速いです。
特に、厚労省の確認表のように「平時→検知→初動→復旧」の観点が揃った資料は、抜け漏れ防止に役立ちます。
テンプレート活用のコツは、完成度よりも「現場が使える最小セット」を先に完成させ、訓練で不足を洗い出して追記することです。
必要資料(ネットワーク構成、資産台帳、バックアップ一覧、ベンダー契約、連絡先)を先に揃えると、記載が一気に進みます。
また、紙での配布・保管(停電やネット断を想定)も忘れずに設計します。
BCPテンプレートに入れるべき項目:計画の構成要素と記載例
テンプレートに入れるべき項目は、非常時に必要な情報を「探さずに見つけられる」構成にすることです。
具体的には、目的・適用範囲・体制・連絡網・初動手順・業務継続(代替運用)・復旧手順・対外対応・訓練・改定の10要素が基本になります。
記載例として、初動はチェックリスト形式、連絡網は役割別、復旧は優先順位とRTO/RPOを表で示すと実務で使えます。
医療機関では、紙運用の帳票(診療録、処方、検査依頼、同意書等)の保管場所と、非常時の配布手順まで書くと現場が動きます。
中小企業では、取引先連絡テンプレ(停止連絡、復旧見込み、代替手段)を添付しておくと、信用毀損を抑えられます。
- 基本情報:目的、適用範囲、用語、版管理
- 体制:役割、代行、連絡網、外部支援
- 手順:初動、業務継続、復旧、事後対応
- 添付:帳票、連絡文例、資産/バックアップ一覧
初動チェックリスト(確認表):院内・社内で迷わない実施手順
初動チェックリストは、現場が最初に開く「1枚」にします。
ポイントは、技術者でなくても実行できる行動(LANを抜く、電源は切らない、写真を撮る、連絡する)を先に並べることです。
次に、技術担当が行う隔離・アカウント停止・ログ保全、統括が行う業務継続モード移行判断、外部支援への連絡を続けます。
医療機関では、診療継続のために「止めてよいもの/止めてはいけないもの」を事前に定義し、遮断判断のエスカレーション先を明記します。
また、連絡手段がメールに依存していると詰むため、電話・SMS・紙の連絡網など代替連絡も併記します。
チェックリストは訓練で必ず改訂し、現場の言葉に合わせて短く保つのがコツです。
- 異常を記録:画面写真、時刻、端末名、操作内容
- 隔離:LAN抜線/Wi-Fi遮断/EDR隔離(再起動は原則しない)
- 報告:連絡網に沿って統括・技術・業務へ電話連絡
- 拡大防止:共有フォルダ遮断、特権ID停止、外部接続停止
- 業務継続:紙運用へ切替、重要業務の優先順位を宣言
厚生労働省の公開資料・ガイドラインの読み解き方(医療機関向け)
厚労省の資料は、医療機関が最低限整備すべき観点を「確認表」として整理している点が実務的です。
読み解きのコツは、項目をそのままチェックするのではなく、自院の運用に置き換えて「誰が」「いつ」「何をするか」に翻訳することです。
例えば「検知したら医療情報システム部門へ報告」と書かれていても、夜間当直で誰が受けるのか、連絡がつかない場合の代替は何か、まで決めて初めて機能します。
また、委託先が多い医療では、ベンダーの責任分界(どこまでが保守範囲か、緊急時の駆けつけSLA、ログ提供可否)を契約で確認し、BCPに反映することが重要です。
資料は「抜け漏れ防止の骨格」として使い、現場手順は自院仕様にカスタマイズして完成させます。
医療機関(病院・薬局)向け:サイバー攻撃を想定した事業継続計画の具体例とシナリオ
医療機関のサイバーBCPは、一般企業よりも「止められない業務」が多く、しかも停止の影響が患者安全に直結します。
そのため、復旧の速さだけでなく、停止中の安全な代替運用(紙運用、口頭指示、二重チェック)を具体化することが中心になります。
また、院内のITは部門横断で、電子カルテだけでなく検査、画像、薬剤、会計、予約、ナースコール、医療機器ネットワークなど多層です。
シナリオは「電子カルテ停止」「ネットワーク遮断」「メール停止」など、現場が想像しやすい形で作ると訓練に落とし込みやすくなります。
以下に病院・薬局の具体例を示します。
病院:電子カルテ停止・ネットワーク遮断時の業務継続(非常時の運用)
病院で最も影響が大きいのは電子カルテ停止です。
BCPでは、停止直後に「紙運用へ切替」を宣言し、診療録、オーダー、処方、検査依頼、同意書、会計の最低限フローを定めます。
重要なのは、紙運用での医療安全を担保するための二重チェック(薬剤、検査、患者取り違え防止)と、情報の集約場所(ナースステーション、医事課)を決めることです。
ネットワーク遮断が必要な場合、医療機器や部門システムへの影響が大きいため、遮断範囲(病棟単位、VLAN単位、インターネットのみ遮断等)を選べるようにしておきます。
復旧後は、紙記録の入力・突合・監査を行い、入力漏れが医療事故につながらないよう、戻し作業の責任者と期限を設定します。
- 切替:紙カルテ、紙オーダー、手書き処方、検査依頼票
- 安全:患者確認、薬剤ダブルチェック、検査指示の承認
- 連絡:院内放送/掲示/電話で周知(メール依存を避ける)
- 復旧後:紙→入力、突合、入力責任者、監査
薬局:調剤・レセプト・在庫システム停止を想定した対応と復旧
薬局では、調剤システムやレセコン、在庫管理が止まると、患者対応が滞留しやすくなります。
BCPでは、処方箋受付から薬歴、調剤、服薬指導、会計までを、どこまで手作業で回すかを決めます。
例えば、薬剤名・用量・日数の転記、疑義照会の記録、調剤監査のチェック欄など、紙の様式を用意しておくと混乱が減ります。
在庫が見えない場合は、代替として「高頻度薬の最低在庫リスト」「近隣店舗・卸への緊急連絡」「代替薬の判断フロー」を準備します。
復旧では、レセプトの締めに影響するため、復旧優先度をレセコン・調剤・在庫の順で定め、紙記録の入力期限と突合手順を明確にします。
- 手作業:処方内容転記、調剤記録、監査チェック、会計控え
- 在庫代替:最低在庫表、卸/近隣連絡、代替薬判断
- 復旧:レセコン優先、紙→入力、締め対応の期限設定
攻撃パターン別の事例(メール起点・端末感染など)と想定の作り分け
同じ「業務停止」でも、攻撃パターンにより初動と復旧の勘所が変わります。
メール起点のアカウント侵害は、まずパスワード変更・MFA強制・転送ルール確認・不審送信の停止が中心で、端末隔離よりもID管理が重要になります。
一方、端末感染からのランサムウェアは、ネットワーク隔離と横展開阻止が最優先で、共有フォルダ遮断や特権ID停止が効きます。
さらに、委託先リモート保守が入口の場合は、外部接続の遮断と契約上の責任分界確認が初動に入ります。
BCPでは、最低でも2〜3パターンを用意し、共通手順(連絡・意思決定)と分岐手順(ID侵害/暗号化/漏えい疑い)を分けて書くと運用しやすくなります。
| パターン | 初動の主眼 | 典型影響 |
|---|---|---|
| メール起点(フィッシング) | ID停止/MFA/転送ルール確認 | なりすまし送信、情報窃取 |
| 端末感染→横展開 | 隔離/共有遮断/特権ID停止 | サーバ暗号化、業務停止 |
| 委託先経路 | 外部接続遮断/契約・ログ確認 | 広範囲侵害、責任分界が争点 |
平時に効くセキュリティ対策:BCPと整合する検知・バックアップ・運用設計
サイバーBCPは非常時の計画ですが、平時の対策が弱いと「復旧できないBCP」になります。
特に、検知が遅いと被害が拡大し、バックアップが破壊されると復旧が長期化します。
そのため、BCPと整合する形で、検知(監視・ログ)、バックアップ(オフライン・世代)、体制(CSIRT/外部支援)を設計します。
ここでのポイントは、ツール導入よりも「誰がアラートを見て、どう判断し、どこへ連絡するか」を決めることです。
医療機関では、診療影響を踏まえた遮断判断が必要なため、技術と業務の接続(連絡・合意)が特に重要です。
検知強化(監視・ログ・アラート)とインシデント対応の接続
検知は、BCPのステップ4(初動)に直結します。
ログがあっても見ていなければ検知できないため、監視対象(認証、VPN、サーバ、EDR、クラウド)と、アラートの受信者、夜間休日の対応を決めます。
中小規模では24/365の内製は難しいため、SOCやMSPの活用、もしくは重要アラートだけでも外部通知される仕組みが現実的です。
また、検知後の一次切り分け(誤検知か、隔離が必要か)を判断する基準を簡単に文書化すると、現場が動けます。
医療では、誤遮断が医療安全に影響するため、遮断判断のエスカレーションと、最小遮断(端末単位→セグメント単位)の考え方を合わせて整備します。
- 監視対象:AD/VPN/クラウド/サーバ/EDR/メール
- 通知:誰に、何分以内に、どの手段で届くか
- 判断基準:隔離の条件、エスカレーション条件
バックアップ設計(世代管理・オフライン等)と復旧テストの必要
バックアップは「最後の砦」ですが、ランサムウェアはバックアップを狙います。
そのため、世代管理(複数世代)、保管分離(別アカウント/別ネットワーク)、オフライン/イミュータブル(改ざん困難)を組み合わせます。
さらに重要なのが復旧テストです。
テストをしていないバックアップは、非常時に復旧できない可能性が高く、RTO/RPOの前提が崩れます。
テストでは、復旧に必要な手順書、暗号鍵や資格情報の保管、復旧先のクリーン環境準備まで確認します。
医療機関では、電子カルテの復旧に時間がかかることが多いため、部門システムの優先順位と、紙運用の継続可能期間をセットで見直します。
- 3-2-1の考え方:複数コピー、異なる媒体、オフサイト/オフライン
- 保護:バックアップ用アカウント分離、権限最小化
- テスト:四半期〜半年に1回、重要システムは必ず実施
体制の実装:CSIRT/担当者/外部ベンダーの役割分担と連絡手順
体制は「名簿」ではなく「動ける設計」にします。
CSIRTを大規模に作れなくても、統括・技術・業務・対外の4役が揃えば最低限回ります。
外部ベンダーについては、緊急時の連絡先だけでなく、対応時間(夜間休日)、初動で依頼する作業(隔離支援、ログ取得、復旧支援)、費用の目安を事前に確認します。
また、委託先が複数ある場合、誰が全体調整をするかが曖昧だと復旧が遅れます。
そのため、一次窓口を一本化し、統括がベンダー調整を指揮する形にすると混乱が減ります。
連絡手順は、メール停止を前提に電話・SMS・チャット(別系統)など複線化し、紙でも保管します。
- 役割分担:統括/技術/業務/対外(最小構成)
- 外部支援:SLA、初動依頼内容、費用、ログ提供範囲
- 連絡:メール以外の手段を必ず用意し、紙で保管
訓練・演習で実効性を上げる:机上演習から復旧訓練までの実施手法
サイバーBCPは、訓練しないと実効性が出ません。
理由は、非常時は情報が不足し、判断が遅れ、普段使わない手順ほど忘れるからです。
机上演習(テーブルトップ)で意思決定と連絡を回し、次に部分的な技術訓練(隔離、ログ取得、バックアップ復旧)へ進めると、負荷を抑えつつ成熟度を上げられます。
医療機関では、診療現場を止めない配慮が必要なため、まずは紙運用の机上演習から始め、休日や夜間に限定して復旧訓練を行う方法が現実的です。
中小企業でも、年1回の机上演習だけで初動の質が大きく改善します。
演習シナリオの作り方:事象→判断→行動の流れをフェーズで設計
演習シナリオは、事象(何が起きた)→判断(何を決める)→行動(誰が何をする)をフェーズで区切ると作りやすいです。
フェーズ例は、検知(違和感)→拡大(複数端末)→停止(重要システム影響)→対外(問い合わせ)→復旧(戻し)です。
各フェーズで、参加者に「追加情報」を段階的に渡し、連絡網が回るか、遮断判断ができるか、紙運用へ切替できるかを確認します。
医療では、救急受入中に電子カルテが止まる、夜間に当直が検知する、など現実に近い条件を入れると効果が高いです。
演習の目的は正解探しではなく、迷うポイントを可視化して手順を改善することです。
- フェーズ設計:検知→拡大→停止→対外→復旧
- 状況付与:夜間/休日、担当不在、メール停止など
- 成果:判断の根拠、連絡の詰まり、手順の不足を記録
訓練で見るべきKPI:初動時間・報告経路・復旧時間・業務継続の達成度
訓練は「やったかどうか」ではなく、改善につながる指標で評価します。
代表的なKPIは、初動時間(検知から隔離まで)、報告経路(誰に何分で届いたか)、意思決定時間(遮断・業務継続モード移行)、復旧時間(重要システムの復旧)、業務継続の達成度(紙運用で何件処理できたか)です。
医療機関では、患者安全に関わる指標として、処方・検査の二重チェックが機能したか、記録の欠落がないかも確認します。
中小企業では、重要顧客への連絡が何分でできたか、代替受注が回ったか、請求・入金への影響を見える化すると経営が動きやすくなります。
数値化できない場合でも、タイムラインを残すだけで次回改善が容易になります。
- 初動:検知→隔離までの時間
- 連絡:統括到達時間、外部支援連絡の完了
- 復旧:RTO達成、復旧テストの成功率
- 業務:紙運用の処理件数、ミス/差戻し件数
演習後の改善サイクル:課題整理→対策→計画更新(継続的に回す)
演習後は、必ず振り返り(After Action Review)を行い、課題を「手順」「体制」「技術」「教育」に分類します。
例えば、連絡が回らないのは連絡先の古さ(手順)か、夜間当番不在(体制)か、メール依存(技術)か、周知不足(教育)かで対策が変わります。
課題は優先度を付け、次回演習までに実施する改善を決め、BCP本文とチェックリストを更新します。
このサイクルを回すことで、BCPは現場の実態に近づき、形骸化を防げます。
医療機関では、部門間の調整が必要な改善(帳票統一、紙運用の保管場所、遮断判断)を優先すると効果が出やすいです。
中小企業でも、連絡網更新とバックアップ復旧テストだけで成熟度が大きく上がります。
- 課題整理:タイムライン、詰まり、判断の迷いを記録
- 対策:担当・期限・費用を決めて実行
- 更新:BCP/チェックリスト/連絡網/帳票を改訂
よくある失敗と見直しポイント:形骸化を防ぐ運用・定期的レビューの観点
サイバーBCPが機能しない原因は、技術不足よりも「運用できない設計」にあることが多いです。
範囲を広げすぎて完成しない、手順が複雑で読まれない、連絡網が古い、外部支援が未契約で呼べない、バックアップが復旧できない、といった失敗が典型です。
形骸化を防ぐには、最小セット(初動・連絡・代替運用・復旧優先順位)を常に最新に保ち、訓練で使うことが最も効果的です。
また、攻撃手口やIT環境は変わるため、定期レビューとトリガー更新をルール化し、改定履歴を残します。
必要に応じて第三者支援を使い、短期間で実務レベルに引き上げるのも有効です。
計画が現場で使われない原因:手順の複雑化・範囲過大・リソース不足
現場で使われないBCPは、たいてい「長い」「難しい」「自分ごとでない」のいずれかです。
手順が詳細すぎて読む時間がない、対象範囲が広すぎて合意が取れない、担当者が兼務で回らない、外部連絡先が不明、などが起きます。
対策は、初動を1枚のチェックリストに落とし、役割ごとの行動を短文化し、対象範囲を重要業務に絞ることです。
また、夜間休日の対応が空白になりがちなので、当番制や外部委託で埋める設計が必要です。
医療機関では、診療部門と情シスの言葉が違うため、紙運用の具体手順を現場と一緒に作ると定着します。
中小企業では、社長・工場長など意思決定者が演習に参加するだけで実効性が上がります。
- 長文化:初動は1枚、本文は参照用に分離
- 範囲過大:重要業務から段階的に拡張
- リソース不足:外部支援・当番・代行ルールで補う
事後の更新ポイント:攻撃手口の変化・システム更改・体制変更の反映
更新が必要になる代表トリガーは、攻撃手口の変化、システム更改、クラウド利用拡大、委託先変更、組織変更です。
例えば、メールがクラウド化したのに連絡手順がオンプレ前提のまま、VPNを廃止したのに遮断手順が古いまま、などは非常時に致命傷になります。
また、人事異動で連絡網が古くなるのは最頻出の問題で、半年に1回の更新でも効果があります。
医療機関では、電子カルテ更新や部門システム追加のタイミングで、紙運用帳票や復旧優先順位を必ず見直します。
中小企業では、取引先や委託先が増えるほどサプライチェーンリスクが上がるため、対外連絡テンプレと連絡先の更新を重視します。
- 技術:クラウド移行、MFA導入、ネットワーク変更
- 業務:新サービス、拠点追加、重要顧客の変化
- 体制:異動、委託先変更、外部支援契約の更新
第三者支援の使いどころ:コンサルティングで策定・構築・改善を短縮する
第三者支援は「丸投げ」ではなく、短期間で実務レベルに到達するための加速装置として使うのが効果的です。
具体的な使いどころは、現状評価(棚卸しとギャップ分析)、BCPひな形の作成支援、訓練設計とファシリテーション、バックアップ/監視の設計、インシデント発生時のフォレンジックと復旧支援です。
医療機関では、医療情報システム特有の構成や委託関係が複雑なため、医療分野の実績がある支援先を選ぶと手戻りが減ります。
中小企業では、SOCやMSPなど運用支援を組み合わせると、夜間休日の検知・初動が現実的になります。
契約時は、対応範囲(SLA)、緊急時の連絡手段、ログ提供、費用体系を明確にし、BCPに反映させることが重要です。
- 策定支援:ひな形化、重要業務の整理、連絡網・手順の整備
- 技術支援:監視、バックアップ、復旧テスト、権限設計
- 非常時支援:フォレンジック、封じ込め、復旧、対外対応助言
![S&H]パートナーズ株式会社](https://www.sh-partners.co.jp/wp-content/uploads/2025/12/Blue-Flat-Illustrative-Finance-Company-Logo.png){kind=logo}