関連項目

15-2-5、15-2-6

 

総合的な対応計画の策定にあたっては、インシデント対応計画（IRP）とITシステムに特化した継続計画（IT-BCP）を、リソース効率化の観点から一体として扱うことが重要です。サイバーレジリエンスは、このIRPとIT-BCPを連携させ、予防（Protect）から回復（Recover）までを包含するPDCAサイクルとして能力を高めていきます。

計画策定の基軸となるのは、ISO/IEC 27002の管理策、特に組織的対策と、NIST CSF 2.0のRespond (RS) およびRecover (RC) 機能が提供する体系的な基準です。

 

サイバーレジリエンス・ライフサイクルモデル（中小企業向け）例
フェーズ	NIST CSF機能対応 と主な目的	実施の要点（主な目的を含む）
Plan（計画）	Govern／Identify リスク認識と事前準備	経営層とIT担当者が共同でリスクアセスメントを実施し、重要業務・資産・システムを特定する、IRPとIT-BCPを一体化し、RTO（復旧時間目標）とRPO（復旧時点目標）を設定する
Do（実施・運用）	Protect／Respond 迅速な対応体制の構築	インシデント発生時に初動対応を確実に実行するため、手順書と連絡網を整備する、被害の封じ込め、影響分析、証拠保全を含む対応プロトコルを確立し、クラウド・リモート環境にも適用する
Check（評価・検証）	Recover 事業継続と復旧計画の実行	定期的なバックアップと冗長化を確保し、復旧手順に従ってサービスを再開する、関係者への報告や外部連携（取引先、顧客、IPA、NCOなど）を実施し、復旧後の確認テストを行う
Act（改善）	Govern／Recover 教訓の反映と継続的改善	対応後の評価会議を実施し、再発防止策を策定する、ISMSの「パフォーマンス評価」と連携し、ポリシーや手順書の更新、従業員訓練の見直しを定期的に実施する

 

 

サイバーレジリエンスを確立するためには、経営層の関与、計画の統合、そして改善の継続という3つの要素が重要です。

 

まず、経営層の関与と責任を明確にすることが必要です。サイバーレジリエンスは技術的課題にとどまらず、経営リスクとして捉えるべきものです。経営層がリスクを判断し、方針と体制を主導することで、NIST CSFの「Govern」機能に対応した経営レベルのセキュリティ統合が実現します。

次に、計画と対応を一体化することが効果的です。インシデント対応計画（IRP）とITシステムに特化した継続計画（IT-BCP）を統合し、「総合的対応計画」として策定します。これにより、限られた人員でも効率的かつ迅速に対応でき、緊急時の判断や行動の一貫性が確保されます。

最後に、改善の継続が欠かせません。対応や復旧の結果を定期的に評価し、教訓を手順書や訓練に反映します。PDCAサイクルを継続して運用することで、サイバーレジリエンスは一時的な対策ではなく、組織文化として定着します。

 

このように、経営層による判断、計画と対応の統合、継続的な改善という3つの要素を通じて、組織は新たな脅威や環境変化に柔軟に対応し、持続的な事業継続力を高めることができます。

図106. サイバーレジリエンスにおけるPDCAサイクル

 

詳細理解のため参考となる文献（参考文献）
NIST Cybersecurity Framework (CSF) 2.0（2024年版）	https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/begoj9000000d400.pdf
IPA「中小企業の情報セキュリティ対策ガイドライン（第3.1版）」	https://www.ipa.go.jp/security/guide/sme/about.html