関連項目

5-2-3、13-2-3、15-2-6、

 

サイバーレジリエンスの確保は、ITシステムとデータに特化した継続計画（IT-BCP）の能力と不可分です。IT-BCPは、サイバー攻撃を含むあらゆる事態を想定し、事業の早期再開を目指す組織的対策であり、ハンドブックにおいても組織的対策として重要項目とされています。

 

サイバーレジリエンス体制の構築は、経営層のリーダーシップのもとで推進されなければなりません。インシデント発生時の対応を担うセキュリティ担当者や組織（CSIRTなど）の役割と責任を明確にし、インシデント発生時には事前に策定した対応方針に従い、経営者が指揮を執ることが必要となります。特にリソースに制約がある中小企業においては、IT-BCPとインシデント対応計画（IRP）を統合し、リソースを効率的に活用できる体制を構築することが推奨されます。

 

中小企業におけるIT-BCPは、限られた人員・設備でも現実的に運用できるよう、「体制の明確化」「復旧優先順位の設定」「訓練と見直し」の3要素を中心に設計することが重要です。

 

IT-BCP体制例

区分	役割	主な任務	代行者
経営層	IT-BCP統括責任者	方針承認 全社対応指揮	副経営者 または管理部長
IT担当者	技術対応責任者	バックアップ 復旧対応 外部連携	外部IT支援企業
総務担当	連絡・記録管理	被害報告 連絡網の運用 記録保持	経営管理担当者
外部ベンダー	技術支援	復旧支援 クラウド再構築支援	代替委託先 または協力企業

 

 

復旧優先順位と目標設定例

業務システム	業務重要度	許容停止時間（RTO）	許容データ損失（RPO）	復旧責任者
会計・給与システム	高	12時間	1日	IT担当者
顧客・受発注管理	高	24時間	1日	IT担当者
社内文書共有	中	48時間	3日	外部ベンダー
広報・メール	低	72時間	7日	総務担当

 

IT-BCPの訓練および改善手順例

訓練実施にあたっては、国家サイバー統括室（NCO）の分野横断的演習報告や、日本シーサート協議会（NCA）の公開演習マニュアルなど、実務的な訓練資料を参照すると効果的です。詳細は「28-4.サイバーレジリエンス能力向上のための実践的な演習と訓練」を参照のこと。

 

IT-BCPは、BCPの下位概念ではなく、情報システムの継続を担保する独立した柱として位置づけられるべきです。中小企業では、経営層の指揮のもとでIT担当者と外部専門家が連携し、実現可能な範囲から体制・復旧目標・演習計画を文書化することが、サイバーレジリエンス強化の出発点となります。

 

詳細理解のため参考となる文献（参考文献）
NIST Cybersecurity Framework (CSF) 2.0（2024年版）	https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/begoj9000000d400.pdf
IPA「中小企業の情報セキュリティ対策ガイドライン（第3.1版）」	https://www.ipa.go.jp/security/guide/sme/about.html
中小企業庁「中小企業 BCP策定運用指針」	https://www.chusho.meti.go.jp/bcp/
国家サイバー統括室（NCO）「2023年度 分野横断的演習 実施報告」	https://www.cyber.go.jp/pdf/policy/infra/NISC_enshu_20240327.pdf
日本シーサート協議会「サイバー攻撃演習訓練実施マニュアル」	https://www.nca.gr.jp/activity/pub_doc/drill_manual.html
CSIRTスタータキット	https://www.nca.gr.jp/activity/pub_doc/csirtstarterkit.html
CSITRスタータキットver3.0	https://www.nca.gr.jp/activity/pub_doc/imgs_u/CSIRTstarterkit_v3.pdf