情報セキュリティを高めるために、今できること（システム障害による事業停止を想定した事業継続計画と訓練）

総合研究部 上席研究員　宮本知久

本コラムは、企業を取り巻く情報セキュリティ関連の事故情報・時事情報・考察などを執筆者独自の視点で選択し、時流に合わせたもしくは先取りした有益な情報提供を目指します。

はじめに

直近のニュースとして、2025年6月11日損害保険ジャパン株式会社が「当社システムに対する不正アクセスの発生及び情報流出の可能性について」を発表。同社は4月25日に不正アクセスの事実と、外部からのアクセスを遮断する応急対応について発表後、顧客情報の漏えい等の影響の有無を調査中としていた。

同社は調査の結果、6月11日の発表に契約者の個人情報が最大で約1750万件漏えいした可能性があるとしている。また報道によると、事態を重く見た金融庁が、同社に対して原因究明や再発防止策などの報告を求めている。

サイバー攻撃、不正アクセスの対象は業種や規模を問わず、すべての企業においての脅威である。サイバー攻撃、不正アクセスによる顧客をはじめとする個人への被害、インシデントを受けた企業の損失は甚大であり、実効性ある情報セキュリティ体制の構築が急務である。

１．最近の不正アクセス、システム障害事案

最近、報道、発表された代表的な不正アクセスまたは付随してシステム障害が起きている事案を紹介する。相当のセキュリティを講じている企業も被害にあっていることから、攻撃者の手法が技術的に巧妙になっていることは言うまでもない。

※各社の公式発表をもとに筆者が作成。

※各社の発表のリンクは最後尾に記載。

これら民間企業以外では、滋賀県立安土城考古博物館ホームページ・メールサーバーへの不正アクセスや、MathWorks Japanがランサムウェア攻撃でシステム障害を受け、サービスを利用していた中央大学での講義、研究等に支障が出るなど、行政機関、学校などでも被害が出ている。

２．インシデント対応体制強化 取り組みの方向

(1)インシデントの種類と「結果・被害・影響」を重視した検討

セキュリティインシデントは原因の種類ごとでシステム障害、サイバー攻撃、情報漏えいの3種類に大別できる。

インシデント対応において重要な点は、原因に加えて「結果・被害・影響」の3つを捉えて検討することだ。

サイバー攻撃のインシデントが起きたとして、結果・被害・影響を調べた結果、ノートパソコン1台のウイルス感染で、特段、重要情報が保管されていたわけでもなく情報漏えいや滅失が起きなかった事案では、被害が小さい分、組織として果たすべき対応も少なくて済む。（インシデントの発生を軽んじてよいという意味ではない）

一方で、たった1人の従業員の誤操作でマルウェアの侵入とその後の攻撃を許した結果、システム障害が生じ、多くの顧客へのサービス提供に支障が出る、顧客情報を破壊されるといった影響が出れば、企業を行う対応も多くならざるをえない。

このため、サイバーセキュリティ、またインシデント対応体制の検討にあたっては、インシデントの種類や原因に加えて、「結果・被害・影響」に着目すべきである。

(2)インシデントを想定した実効性ある事業継続計画（IT-BCP）の作成・整合

保有する情報やソフトウェア、サーバー、ネットワーク等が、サイバー攻撃、システム障害等に直面したとき、速やかに通常の状態でサービスの提供や業務ができるようにするためには、非常時における対応計画を立てておくことが極めて重要となる。

非常時において、

• 事業とサービスの提供をどのように継続するか
• 継続する場合にどの情報システムをどのように利用するか

等を、速やかに経営層および非常時における担当者が総合的に判断する必要がある。また判断と実行にあたっては、事前に、非常時の対応方針や手順などを策定しておくことが重要である。インシデント発生時における対応手順を踏まえ、自社の事業と想定される結果・被害・影響を分析し、体制強化策を検討することが必須である。

【インシデント発生時における基本的な対応手順】

（※）システムや装置が予期せぬエラーや故障を検知した際に、自動的に安全な状態へと移行する設計の考え方

なお、インシデント対応の方針や手順は、自社で策定される災害を含めたBCP（Business Continuity Plan：事業継続計画）との整合を踏まえたものとし、併せて対応の起点となる「非常時」の定義も明らかにすることが重要である。

また、起きたインシデントの収束だけをめざすのでなく、「収束のために行った応急的な対応で二次被害が及ばないか」「再攻撃を予防できるか」など、応急的対処を決定する判断にあたり、付帯的な影響の有無と程度を十分に予想、検証も不可欠であり「検知の段階では顧客に被害がなかったにも関わらず、対処の判断を誤ったことで顧客に被害が広がる」といった事態に発展しないよう、慎重を期す必要がある。

▼参考 金融分野におけるサイバーセキュリティに関するガイドライン 令和6年（2024年）10月4日 金融庁

▼参考 サイバー攻撃被害に係る情報の共有・公表ガイダンス 経済産業省 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会 令和5年（2023年）3月8日

(3)訓練の実施

平時からの基本的な取り組みは、インシデントが生じた際の具体的な手順等や連絡体制等の構築のほか、被害極小化や迅速な復旧のための対策等が挙げられる。インシデントの発生原因や「結果・被害・影響」を考慮して、平時からの備えを整理し、必要なコストを予算化し、経営層等の承認を取っておくことが基本である。

さて、訓練の種類を紹介する。目的と効果に応じ、組み合わせて実施することを推奨したい。

【代表的な訓練の方法】

▼参考 セキュリティインシデント対応机上演習教材 独立行政法人情報処理推進機構（IPA）2025年4月30日

▼参考 金融業界横断的なサイバーセキュリティ演習 金融庁

３．インシデント対応体制強化にあたっての3つのポイント
～コンサルティング実績からみる対応の注意点とポイント～

セキュリティインシデント対応の実務にあたっては、前掲の【インシデント発生時における基本的な対応例】の手順ごとにみても多くの注意点とポイントがあるが、紙面も限られるため、弊社のコンサルティングの実績から、3つを取り上げて紹介する。

(1)“バックアップを利用できるまでの期間”を見落とすな

多くの企業では、システム障害が起きたあと、バックアップを用いて代替システムを稼働させて事業継続させる計画を作っている。だが弊社の緊急事態対応の経験では、インシデントが起きた日にいきなりバックアップに接続して代替策を稼働させられる事案は少なく、各社、このような理由から、稼働させるまで1週間程度を要している。いうまでもなく、必要な安全性確認である。

インシデントが起きた日からすぐにバックアップを稼働させる想定を見直し、“相当の期間はシステムやネットワークが使えない（使えても慎重を期して使わない）”といった想定で計画を立て、訓練を実施しておくべきだ。

【訓練の例】

(2)複数のICTセキュリティ専門会社と支援関係を構築しておくべし

インシデントが起きた場合、被害範囲の特定と手口の調査（デジタルフォレンジック調査）システムとネットワークの脆弱性診断、システム等の復旧または再構築など、ICTセキュリティ専門会社と契約して支援を受け、同時並行的に対応を進めることになる。大規模で複雑なシステム、ネットワークであればあるほど、調査の範囲、対策の範囲は広くなり、比して期間もかかる。すべてをどこか1社に頼ることにしたとして、各社、人的、技術的リソースが限られることから、その会社のスケジュールに依拠することになる。

そこで、「複数のフォレンジック調査会社と契約し、調査範囲を分担して実施する」「システム再構築のセカンドオピニオンとして別会社にも評価を受ける」といった対応も視野に入れるべきといえる。さらに、顧問弁護士のように平時から助言や緊急対応支援を受けられる取引関係を構築しておくことをおすすめしたい。

(3)サードパーティのリスク管理にも取り組むべし

各業界でサードパーティ（※）への依存が増大するとともに、サードパーティでインシデントが起きたことで、利用者側の企業が多大な損失を受ける事例も発生している。
こうした状況を踏まえれば、企業からサードパーティ側に、サードパーティ側も企業に、適切なセキュリティ情報と対策を享受しあう関係が不可欠である。

（※）ある製品やサービスの開発・製造・運営元以外で、同製品に関連または対応するような製品を開発・製造・運営する企業の総称。

▼参考 金融分野におけるサイバーセキュリティに関するガイドライン 令和6年（2024年）10月4日 金融庁

今回ご紹介した不正アクセス、システム障害による事業停止のインシデント対応体制強化のポイントを、皆さまの会社での危機対応力強化、情報セキュリティにお役立てください。

なお、今回はシステム障害の対応を中心に書いていますが、個人情報の漏えい事案の対応については「不正アクセス等による情報漏えい事案対応のポイント」に掲載しているため、こちらもご参考になさってください。