ランサムウェアは、企業のデータやシステムを使えない状態にし、事業活動そのものを止めるリスクがあります。バックアップやEDRなどの技術対策は重要ですが、それだけで十分とはいえません。被害を受けた場合に、どの業務をどう再開するかを決めておくことがBCPの役割です。
IPAの情報セキュリティ白書2025では、2024年以降もランサムウェア攻撃、標的型攻撃、DDoS攻撃などが国内外で多数観測され、手口の巧妙化も確認されていると整理されています。サイバー攻撃は、自然災害と同じように事業継続を脅かすリスクとして扱う必要があります。
まず確認すべきは「止まる業務」
ランサムウェア被害では、会計、販売管理、在庫管理、勤怠、メール、ファイルサーバー、顧客管理など、複数の業務が同時に止まる可能性があります。すべてを同時に復旧しようとすると、判断が混乱します。
BCPでは、次のような観点で優先順位を整理します。
- 売上や顧客対応に直結する業務
- 法令や契約上の期限がある業務
- 従業員の安全や給与に関わる業務
- 他部門の復旧に必要な業務
代替運用を決めておく
システムが使えない間も、最低限の業務を続ける必要がある場合があります。たとえば、受注内容を一時的に表計算ソフトや紙で記録する、顧客連絡を別のメール環境や電話で行う、出荷判断を限定的なルールに切り替える、といった代替運用です。
ただし、代替運用は事前に決めていなければ機能しません。誰が判断するのか、どの情報を使うのか、後でどう本システムに戻すのかまで確認しておく必要があります。
復旧後の確認もBCPに含める
ランサムウェア被害では、復旧したように見えても、再感染やデータ欠損、取引先への影響確認が残ることがあります。復旧後に確認すべき項目もBCPに含めておくと、対応漏れを減らせます。
- バックアップから戻したデータの時点
- 失われた取引データの有無
- 顧客、取引先、関係機関への報告要否
- 再発防止策と教育の実施
TSUDULYでは、ランサムウェア対策を単なるセキュリティチェックではなく、業務復旧、訓練、見直しまで含めた事業継続のテーマとして扱います。
参考資料:IPA「情報セキュリティ白書2025」