受付時間 9:00〜17:00(平日のみ)
文字サイズ
文字サイズ
Recover (RC) 機能は、インシデントの影響を受けた資産と業務を復旧させ、通常運用に迅速に回復する能力を支援します。このRC機能の確立が、サイバーレジリエンス戦略の成功を決定づけます。
| 関連項目 |
| 6-3-2、18-2-11、18-2-12、18-3-1 |
RC.RP(復旧計画の実行)の基準として、復旧の迅速性を測る指標であるRTO(目標復旧時間)とRPO(目標復旧時点)を事業継続計画(BCP)の一環として明確に設定しなければなりません。これらの指標は、経営層がビジネス要件とリスク許容度に基づいて決定する戦略的判断となります。
復旧計画の物理的・技術的な基盤は、確実なバックアップと冗長化の確保です。特にバックアップは、ランサムウェア対策として不可欠であり、復旧の成否を決定づけます。また、CSF 2.0では、システムを最初からインシデントに耐え、迅速に復旧できるよう設計する技術インフラのレジリエンスの重要性が強調されています。これは、企画・設計段階からセキュリティを考慮するSecurity by Designの考え方を復旧プロセスに統合することを意味します。
中小企業がRC.RP(復旧計画)を効果的に運用するためには、「目標設定」「優先順位付け」「バックアップ」「検証」の4つの視点で計画を整理することが重要です。
各業務システムについて、停止しても許容できる時間(RTO)と、失っても許容できるデータの範囲(RPO)を明確にします。これらの数値は、業務影響度分析(BIA)の結果をもとに設定し、経営層が承認します。
全システムを同時に復旧することは困難であるため、重要度に応じて復旧順序を定めます。また、各システムの復旧責任者を指定し、代替手段(クラウド利用、紙記録運用等)をあらかじめ定義しておくことが望ましいです。
バックアップは「3-2-1ルール」(3世代・2媒体・1つをオフライン保管)を基本とし、定期的にリストアテスト(復旧試験)を実施します。クラウド環境を利用する場合は、事業者側のバックアップ保持期間と復旧支援範囲を確認し、契約書に明記することが必要です。
復旧手順やシステム切替手順の有効性を年1回以上検証し、演習結果を反映して計画を更新します。この活動をISMSのPDCAサイクルに組み込み、継続的にIT-BCPの改善を行うことで、復旧能力の成熟度を高めます。
このように、RC.RPの運用は単なるバックアップ体制の整備にとどまらず、経営判断と技術的手段を統合したサイバーレジリエンス戦略の中核を成します。中小企業においても、実現可能な範囲からRTO・RPOを文書化し、手順の実効性を検証する取り組みが求められます。
| 詳細理解のため参考となる文献(参考文献) | |
| NIST Cybersecurity Framework (CSF) 2.0(2024年版) | https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/begoj9000000d400.pdf |
| 経済産業省「サイバーセキュリティ経営ガイドライン Ver.3.0」 | https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf |
| IPA「中小企業のためのセキュリティインシデント対応の手引き」 | https://www.ipa.go.jp/security/sme/ps6vr7000001buco-att/ps6vr7000001bucx.pdf |
| IPA「情報セキュリティ10大脅威 2025」 | https://www.ipa.go.jp/security/10threats/ |
| 関連項目 |
| 0-1-1、5-2-3 |
復旧プロセスにおいては、内部(従業員、経営層)と外部(顧客、規制当局、警察/ IPA/NCO)のステークホルダーとの間で情報を調整し、透明性をもって伝達するための明確なプロトコルが必要です。RC.CO(復旧のためのコミュニケーション)は、インシデント発生時の公表手順を確立し、適切なタイミングと内容での情報開示を支援することで、企業の信頼の維持に貢献します。インシデント発生時には、被害状況、初動対応、復旧の進捗状況を関係者全員に適切なタイミングと内容で通知することが求められます。
| CSF2.0
機能 |
カテゴリ
(RC/RS) |
機能の目的
(サイバーレジリエンス能力) |
対応基準
(ハンドブック対応) |
参照基準 |
| Respond (RS) | インシデント管理 (RS.IM) | 封じ込め、インシデントの管理と追跡 | 初動対応の実施、ネットワーク遮断措置 | 15-2-5. 情報セキュリティインシデント対応
5-2-3. 事案発生→課題の抽出… |
| インシデント分析 (RS.AN) | 原因究明と影響範囲の特定、証拠保全 | 証拠保全手順の確立、フォレンジック対応 | 5-2-3. 事案発生→課題の抽出… | |
| インシデント軽減 (RS.MI) | 被害拡大防止と根絶策の実行 | 特権ID管理、多要素認証、ジャンプサーバー利用 | 5-3-3. 具体的な対応策 | |
| Recover (RC) | 復旧計画の実行 (RC.RP) | 事業継続計画に基づくサービスの復元 | RTO/RPOの策定、定期的なバックアップと冗長化 | 15-2-6. 事業継続計画策定
18-2-11. バックアップ |
| 復旧のためのコミュニケーション (RC.CO) | 復旧状況の調整と外部ステークホルダーへの説明責任 | 関係者への適切な通知と公表手順の確立 | 5-2-3. 事案発生→課題の抽出… | |
| 改善 (RC.IM) | 復旧計画とプロセスへの教訓の反映 | 事後評価に基づく再発防止策の実施、ポリシー改訂 | 5-2-4. インシデントから得た気づきと取組
13-2-8. ISMS:10.改善 |
RC.CO(復旧のためのコミュニケーション)は、復旧活動時の信頼維持と情報調整を目的とする機能であり、中小企業においては、特に「責任体制の明確化」「外部調整」「訓練と改善」の3つの要素を中心に整備することが有効です。
重大なインシデントが発生した際には、技術対応、広報、顧客対応の責任者を事前に定め、それぞれの代行体制と緊急連絡先を「インシデント対応連絡リスト」にまとめておくことが重要です。また、通信障害や停電などに備えて、オフラインでも参照可能な紙媒体の一覧を保管しておくことが望まれます。
クラウドサービスや外部委託先を利用する場合は、障害発生時の連絡体制を契約書やSLAに明記し、平常時から担当窓口を共有しておきます。復旧過程での顧客・取引先への報告は、事実確認を優先し、推測情報を含まない正確な内容で実施します。
復旧時の情報伝達手順について、年1回以上、連絡・報告・公表を想定した訓練を行い、演習記録を残して次回の手順書に反映します。この活動を通じて、関係者の役割理解と実行精度を高めることができます。
このようなRC.COの取り組みは、単なる広報対応ではなく、経営上の透明性とステークホルダー信頼の確保に直結します。中小企業では、限られた人員の中で、IT担当者が技術対応と情報発信を兼務する場合が多いため、あらかじめ手順と責任範囲を文書化しておくことが、サイバーレジリエンス強化の鍵となります。
| 詳細理解のため参考となる文献(参考文献) | |
| NIST Cybersecurity Framework (CSF) 2.0(2024年版) | https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/begoj9000000d400.pdf |
| 経済産業省「サイバーセキュリティ経営ガイドライン Ver.3.0」 | https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf |
| IPA「中小企業のためのセキュリティインシデント対応の手引き」 | https://www.ipa.go.jp/security/sme/ps6vr7000001buco-att/ps6vr7000001bucx.pdf |
| IPA「情報セキュリティ10大脅威 2025」 | https://www.ipa.go.jp/security/10threats/ |