予測しづらいトラブルが次々に起きる時代、企業にとって「どう守るか」だけでなく「どう止まらずに走り続けるか」が重要になっています。自然災害、サイバー攻撃、サプライチェーンの混乱、思わぬシステム障害…複雑に絡み合うリスクは、ひとつの問題が自社だけでなくサプライチェーン全体に影響を及ぼす時代です。
本コラムでは企業の事業継続への取り組みについて考えてみます。
山﨑 新太(やまさき あらた)
NECネクサソリューションズ株式会社
コンサルティング統括部
ガバナンス・テクノロジーグループ
2022年よりコンサルティング業務に従事。
情報セキュリティを中心とするITリスクマネジメントのコンサルティングを担当。
1. なぜ今、事業継続に情報セキュリティが重要なのか 従来の事業継続計画(BCP)は自然災害への備えが中心でした。しかし現在は、ランサムウェアなどのサイバー攻撃こそが事業停止の主要因となっています。そのため、情報セキュリティ事故を想定した事業継続計画(IT-BCP)の整備や、BCPにIT-BCPを適切に組み込むことが求められています。
さらに、BCPは“万一の備え”という位置付けに留まらなくなっています。復旧の速さやサービス継続の安定性は、顧客満足・入札要件・投資判断にも関わる競争力となりました。IT-BCPの整備やその実践により、「停止しにくい」「止まってもすぐ戻せる」「戻した後に強くなる」この3点を実現できる企業が市場で優位に立つ時代です。
2. 企業が直面する脅威と情報セキュリティ対策 企業を取り巻くリスクは多岐にわたります。ランサムウェアによる操業停止、従業員のミスや不正による情報漏えい、取引先を経由したサプライチェーン攻撃——いずれも発生すれば、企業活動に深刻な影響を与えます。ここでは企業が直面する3つの主要脅威と、それに対して取るべき対策例を以下に記載します。
ランサムウェアは今やIT部門だけの問題ではありません。被害が拡大すれば、生産ライン、顧客対応、請求・決済など、事業活動が停止し、事業継続そのものが脅かされます。
外部攻撃に注目が集まりがちですが、従業員による情報の流出・設定不備・誤操作・権限管理ミスなどの内部要因も重大な事故に繋がります。
自社が強固であっても、取引先・委託先の脆弱性が突破口になるケースが増えています。
サプライチェーン上の企業が停止することで、自社の事業にも影響が連鎖します。
3. 強靭な組織を作るための運用と文化づくり 事業継続を真に機能させるには、技術や仕組みだけでは不十分です。企業を強くするのは、運用の習慣化と、社員に根づく文化です。
多くの組織では、手順書の整備で満足してしまいがちです。しかし、手順書があっても動けない組織は少なくありません。重要なのは、手順書を実際に動かせるレベルまで鍛え上げていることです。
また、訓練の理想は「成功するための訓練」ではなく、隠れた弱点を発見するための訓練にすることです。訓練のたびに課題を明らかにし、その改善を積み重ねていくことで、初めて“本当に動ける”組織が形成されていきます。
事業継続の根幹を支えるのは、最終的には「人」です。技術だけでなく、業務の理解、組織の動かし方、コミュニケーション力が揃って初めて、インシデント対応は機能します。
例として:
これらの人材が連携し、相互補完することで、組織としてのレジリエンスが完成します。
また、内製化と外部委託のバランスも重要です。初動判断や事業優先度の決定は内製でなければ成立しません。一方で、専門的なマルウェア解析などは外部に委ねることで効率化できます。自社の強みと弱みを理解し、「どこに内製のコアを置くか」を考えることが大切です。
4. 最後に 事業継続とセキュリティは、いまや切り離せないテーマです。自然災害やサイバー攻撃、システム障害などの不測の事態は避けられません。重要なのは、トラブルを完全に防ぐことではなく、起きてもすぐに立ち直れる組織であることです。
そのためには、技術的な対策だけでなく、業務の優先度整理、復旧計画、バックアップや冗長化といった基盤整備が必要です。同時に、訓練を通じた運用力の向上、役割とプロセスを明確にするガバナンス、安全な行動を自然に選べる文化づくりといった“人と組織”の力も欠かせません。
2026年3月
