ある日、突然会社のネットワークがサイバー攻撃によって麻痺し、業務がストップしてしまったらどうなるでしょうか?それは決して他人事ではありません。帝国データバンクの調査によれば、事業継続を困難にするリスクとして「情報セキュリティ上のリスク」を挙げた企業は46.1%にも上り、これは「自然災害」(70.8%)に次いで2番目に高い割合でした。一方で事業継続計画(BCP)を策定していない企業も依然4割以上にのぼります。本記事では、なぜ情報セキュリティリスクがこれほど重要視されているのか、そしてBCP未策定の企業において情シス(情報システム部門)が果たすべき役割について解説します。
①情報セキュリティリスクが事業継続上の第2位(46.1%)に浮上し、自然災害に次ぐ経営リスクとしてサイバー攻撃や情報漏えいへの備えが必須である。
②BCP策定率は全体で20.4%、中小企業では17.1%にとどまり、約4割の企業が人材・予算不足や認識ギャップで対策を後回しにしている現状が浮き彫りに。
③情シスは定期バックアップ・復旧訓練によるITインフラ防衛と、経営層へのリスク共有によるBCP機運醸成の両面で主導役を担い、事業継続体制構築を推進すべし。
月曜日の朝にお送りする「情シス『目』ニュース」では、日々発信されるさまざまなトピックスを情シス・エンジニアの方々向けに「再解釈」した情報を掲載中。AI、働き方、経済など幅広いニュースをピックアップし、業務に役立つほか、つい同僚に話したくなる面白い話題まで身近で自分事化しやすくお届けします。
情報セキュリティリスク(サイバー攻撃等)は、自然災害に次ぐ事業継続上の脅威として浮上しています。その背景には企業のリスク認識の変化と、実際に中小企業で増大するサイバー攻撃の脅威があります。
帝国データバンクの2025年の調査では、企業が事業継続を困難にするリスクとして真っ先に挙げたのは「自然災害」(70.8%)でしたが、次いで「情報セキュリティ上のリスク」が46.1%と第2位につけています。これはサイバー攻撃や情報漏えいなどIT関連のリスクを指し、3位の「感染症」(40.6%)を上回る結果です。さらに「インフラの寸断」「設備の故障」(各39.0%)など経済活動の基盤に関わるリスクも上位に挙がっており、情報セキュリティリスクが自然災害に次ぐ主要な経営リスクとして認識されていることが分かります。もはやサイバーリスクは単なる技術的な問題ではなく、企業の存続を左右しかねない経営課題となっているのです。
情報セキュリティリスクが重要視される背景には、近年のサイバー攻撃増加という現実があります。特に中小企業に対するサイバー攻撃の脅威は高まっており、例えば警察庁の報告によれば2024年の中小企業におけるランサムウェア被害件数は前年より37%増加しました。この調査では、被害による事業への影響が長期化・高額化していることも指摘されており、セキュリティ対策が手薄な中小企業の被害増加が顕著だとされています。攻撃の手口は年々巧妙化・多様化しており、「自社は狙われないだろう」と考えるのは危険です。実際、帝国データバンクの報告でも「企業はサイバー攻撃を他人事と捉えず、BCPの一環として対策を整備していくことが重要」であると強調されています。情報セキュリティリスクへの備えは、いまや企業規模を問わず避けて通れない課題と言えるでしょう。
BCP(事業継続計画)の重要性が叫ばれていますが、実際には策定に至っていない企業も少なくありません。その背景にはリソース不足などの課題があり、そうした企業で情シスが担う役割はますます大きくなっています。
帝国データバンクの調査によれば、BCPを「策定している」企業は全体の20.4%に過ぎず、特に「大企業」では38.7%に対し「中小企業」はわずか17.1%と規模による開きが見られます。さらに、約4割の企業はBCP自体を全く策定していないのが現状です。多くの企業がBCPの必要性を感じながらも後回しにしているのが実情と言えます。 では、なぜこれほど多くの企業でBCP策定が進まないのでしょうか。
その理由として多く挙げられているのが、「スキル・ノウハウがない」(知見不足)や「人材や時間を確保できない」といったリソース面の課題です。特に中小企業では、これに加えて「必要性を感じない」(優先度が低い)や「費用を確保できない」(予算不足)といった声も目立っています。要するに、BCPを策定する上での人手・知識・時間の不足に加え、経営層の認識や財政面でのハードルが、中小企業における大きなボトルネックとなっているのです。
では、BCPをまだ策定していない企業において、情シスはどのような役割を果たすべきでしょうか。まず第一に、情シスは自社のIT資産を守る最後の砦として、事業継続に不可欠なIT施策を率先して実施する必要があります。帝国データバンクの調査でも、事業中断リスクへの備えとして「情報システムのバックアップ」を実施・検討している企業は59.9%にも上り、従業員の安否確認(68.3%)に次いで高い割合となっています。このことは、データのバックアップやシステム復旧体制の整備がBCP策定の有無に関わらず重要であることを示しています。情シスは日常業務の中で、定期的なデータバックアップの運用、災害やサイバー攻撃発生時のシステム復旧手順の策定、そして必要に応じたサーバやネットワークの冗長化など、ITインフラ面から事業を止めない工夫を積み重ねていくことが求められます。 また、情シスは社内でBCP策定の機運を高める推進役としての役割も担います。
前述のように経営層が「まだうちにはBCPは必要ない」と考えている場合でも、情シス主導でサイバー攻撃発生時の影響シミュレーションや、重要データの復旧訓練を実施することで、経営陣や他部門に危機感を共有させることができます。言わば、BCP未策定企業における情シスはミニBCPの司令塔として、まずはIT分野から現実的な備えを進めていくのです。その積み重ねが、いざという時に事業を守る大きな力になるでしょう。
情報セキュリティリスクの脅威は年々高まっており、BCP未策定であっても対応策を講じることは待ったなしの課題です。情シスが中心となってできることから始め、小さくても着実に事業継続への備えを進めることが求められています。
改めて、情報セキュリティリスクは決して他人事ではありません。 帝国データバンクの調査結果が示す通り、このリスクは自然災害に次ぐ規模で企業活動に影響を及ぼし得る重大な要因です。サイバー攻撃の手口は進化を続け、いつどの企業が標的になるか分からない時代だからこそ、経営陣も含めた全社的な視点でセキュリティ対策を位置づける必要があります。事業継続は企業価値の維持に不可欠であり、緊急事態への準備は常に求められるものです。情シスはその最前線で、日頃から地道な対策を積み上げることで企業のレジリエンス(回復力)を高める役割を担っています。たとえBCPが未策定でも、情シス主導でできることから一つずつ対策を講じていけば、いざという時に事業を止めない強靭な体制づくりにつながります。情報システム部門が中心となって「守り」を固めつつ、経営層や各部署を巻き込んで「攻め」のBCP策定へと舵を切る——そのような主体的な取り組みこそが、今後の中小企業の明暗を分ける鍵を握ると言えるでしょう。
(TEXT:犬を飼ってるゴリラ、編集:藤冨)
月曜日の朝にお送りする「情シス『目』ニュース」では、日々発信されるさまざまなトピックスを情シス・エンジニアの方々向けに「再解釈」した情報を掲載中。AI、働き方、経済など幅広いニュースをピックアップし、業務に役立つほか、つい同僚に話したくなる面白い話題まで身近で自分事化しやすくお届けします。
本特集はこちら
30秒で理解!フォローして『1日1記事』インプットしよう!
