サイバーセキュリティとBCP
～DX時代のリスク管理～

DXが広げた攻撃対象領域と、経営の「止めない責任」

DXは、業務の高度化とスピードをもたらす一方で、クラウドやモバイル端末、リモートアクセス、SaaS、社会インフラや生産ラインのシステムを的確に動かすための制御系OTを含む攻撃対象領域（アタックサーフェス）を拡大させました。

その結果、単なる情報漏えいにとどまらず、事業停止（可用性の毀損）やサプライチェーン全体への波及が経営課題の中心に浮上しています。

経済産業省の「サイバーセキュリティ経営ガイドライン Ver3.0」（以下、経産省ガイドライン）は、経営者が認識すべき3原則（図表1）と、CISO（Chief Information Security Officer：最高情報セキュリティ責任者）等の担当幹部へ指示すべき重要10項目（図表2）を示し、とりわけインシデント（システムやサービスの運用を妨げる予期せぬ出来事や問題）発生時の緊急対応（指示7）と事業継続・復旧体制（指示8）、サプライチェーン対策（指示9）、情報開示・コミュニケーション（指示10）を明確に位置づけています。

＜図表1＞経営者が認識すべき3原則

出所：経済産業省の「サイバーセキュリティ経営ガイドライン Ver3.0」

＜図表2＞サイバーセキュリティ経営の重要10項目

出所：経済産業省の「サイバーセキュリティ経営ガイドライン Ver3.0」

制御系OTを含むデジタル基盤の保護や、サプライチェーン全体での対策も強調されており、BCPやBCM（Business Continuity Management：事業継続マネジメント）の枠組みと親和的に設計されています。

一方、BCPやBCMの国家標準である内閣府「事業継続ガイドライン（令和5年3月改定）」（以下、内閣府ガイドライン）は、オールハザードの発想で、感染症・サイバー攻撃・サプライチェーン途絶を含む幅広い事象に対し、経営主導でBIA（Business Impact Analysis：事業影響度分析）→戦略→計画→訓練・見直しのサイクルを回すことを求めています。

特にテレワークの導入及びオンラインを活用した意思決定を行える仕組みの整備、情報セキュリティ強化などを明記し、IT-BCP（代替環境・データ復元・運用切替）の標準実装を推奨しています。

最新の脅威動向：高止まりするランサムウェアと増える探索・報告

警察庁サイバー警察局の「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、2025年上半期におけるランサムウェアの被害報告件数は116件と引き続き高水準で推移し、流出情報のリークサイト掲載も確認されています。

加えて、ぜい弱性探索行為などの不審アクセスは増加傾向で、フィッシング報告件数は約120万件（1,196,314件）に上るなど、脅威は量・質ともに悪化の傾向が続いています。

個人情報漏えいに関しては、個人情報保護委員会（PPC）の「令和6年度 年次報告」が漏えい等報告の処理件数の大幅増を示しており、2024年度の民間事業者等に関する処理は14,198件（前年度7,075件）と倍増しています（※大規模事案の一括報告を含む）。組織の法令対応・本人通知・再発防止を伴う一連のプロセス整備が急務です。

サイバー攻撃は増え、その被害は高止まりし、個人情報の漏えい報告は最多水準という三重の現実を前に、経営主導での“止めない仕組み”の構築が不可欠です。

経営の責任：セキュリティ×BCP/BCMの統合設計

経産省ガイドラインでは、セキュリティを将来の事業活動・成長に必須な「投資」と位置付けることが重要であるとしており、残留リスクの許容水準を経営者が定め、KPIやKRI（Key Risk Indicator：重要リスク指標）で監督することを求めています。

事業継続（可用性）までをリスク管理の射程に含め、復旧計画の整備（指示8）を重視する点は、BCMにおけるRTO（Recovery Time Objective：目標復旧時間 ※「いつまでに」復旧させるか）やRPO（Recovery Point Objective：目標復旧時点 ※過去の「どの時点まで」のデータを復旧させるか）と直結します。

また、前述のように内閣府「事業継続ガイドライン（令和5年3月改定）」ではIT-BCPの標準実装を推奨していることから、「セキュリティ・インシデント＝BCP発動事由」としてIT-BCPとサイバー演習をBCMサイクルに標準搭載し、委託先やクラウド、ITシステムの運用・監視・保守といった業務を代行するMSP（Managed Service Provider）などサプライチェーン全体に同水準の要求と監査を及ぼす設計が「DX時代の標準像」となります。

小売業における“止め方・戻し方”

1.想定される主な停止要因

小売業における事業継続リスクは、POS・決済障害、在庫・発注システム障害、EC／オムニチャネル連携の断絶、会員・決済情報の侵害に大別されます。これらは、売上機会損失と顧客不満に直結します。

2.止め方（封じ込め）

• POS・決済障害
  障害端末や店舗単位で影響範囲を切り分け、必要に応じて端末隔離を実施します。オフライン決済や現金・QR決済への限定切替により販売継続を図ります。
• 在庫・発注系障害
  誤った在庫情報の横展開を防ぐため、自動再計算や配信を停止し、暫定的に紙・簡易フォーマットでの発注運用へ移行します。
• オムニチャネル障害
  店舗受取や販促施策を一時停止し、在庫引当や注文情報を保全します。
• 情報漏えい疑義
  対象期間のデータ保全、アカウント強制リセット、外部連携スクリプトの停止を即時実施します。

3.戻し方（復旧）

復旧は、段階的に行います。決済承認率や処理時間が一定時間安定したことを確認後、通常運用に戻します。停止中に実施したオフライン取引や売上・在庫データは、復旧後に必ず対帳・補正を行うようにします。

BCPに落とし込む：RTO/RPOから逆算する“止めない仕組み”

BCPの中核はBIA

• 重要業務の特定：売上・法令・安全に直結する業務から優先。
• 復旧目標（RTO／RPO）の合意：経営・現場・ITで同じ数字に。
• 代替手段（ワークアラウンド）：復旧までの暫定手順をマニュアル化。

これらはサイバーセキュリティフレームワーク（CSF）におけるIdentify（特定）／Recover（復旧）と直結し、サイバー事案でも“地震や火災のBCP”と同じ帳票で運用できます。

経産省ガイドラインが求める「事業継続・復旧体制」の実装ポイント

• 体制：経営・法務・広報・CSIRT（Computer Security Incident Response Team：コンピュータセキュリティインシデント対応チーム）・主要ベンダーの緊急連絡網を作成し、代行者や夜間／休日担当まで記載。
• 訓練：サプライチェーンを含む実践的演習（委託先・重要ベンダーも巻き込み）で、連絡・判断・責任分界を検証。
• 復旧計画：IT（社内・クラウド）と制御系OT/工場の計画を一本化。

これらは、経産省ガイドラインの重要10項目のうち（指示7～9）に対応する実務での“肝”です。

具体的なBCPの章立てイメージ

• 目的・適用範囲（対象拠点／IT・OT／委託先）
• 体制・権限（指揮命令系統、代行規定、連絡先）
• シナリオ（ランサムウェア感染／DDoS／クラウド障害／内部不正／大規模停電）
• 初動（検知→封じ込め→通報→対外広報基準）
• 復旧（段階的復旧、RTO／RPO、復元テスト、代替業務）
• コミュニケーション（顧客・パートナー・規制当局・報道）
• 演習・教育（年次計画、是正措置、KPI）
• 付録（資産台帳・委託先一覧・契約条項テンプレ・通報様式）

“紙の計画”を“生きた計画”にするコツ

• 四半期レビュー＋年1回の総合演習：変更点（ベンダー入替、システム更改、拠点追加）を反映
• メトリクス運用：MFAのカバレッジ、復元時間、重大インシデントの平均検知（封じ込め時間）、委託先の遵守率
• “実践の知”を取り込む：IPAのプラクティス集で他社の実践手順や工夫を参考に、現実解へ寄せていく。

経産省ガイドラインと内閣府ガイドラインは、“経営主導のBCMの中にサイバーセキュリティを組み込む”点で整合しています。

未然（予防）・有事（対応）・回復（復旧）を事業継続の言葉で束ね、定量KPIでボードが監督する体制に変えることが、DX時代の「止めない経営」のポイントです。

そして、セキュリティを「コスト」ではなく「可用性への投資」と捉えることが重要です。

（文）田中イノベーション経営研究所
中小企業診断士 田中勇司
発行・編集文責：株式会社アール・アイ・シー
代表取締役　毛利英昭

※当記事は2026年1月時点のものです。
時間の経過などによって内容が異なる場合があります。あらかじめご了承ください。