(特別コラム) IT-BCP訓練の効果的な方法とサイバー攻撃対策

医療機関の情報システム部門の皆様からご相談をいただくことが多い「IT-BCP訓練」について、本コラムではその重要性と実践方法を整理しました。

資料イメージ

近年、ランサムウェアや取引先を起点とするサプライチェーン攻撃が増加し、想定外のITシステム停止が事業継続を脅かすケースが後を絶ちません。こうした攻撃は、もはや「発生しないこと」を前提にするのではなく、「いつか起こり得るもの」として備える必要があります。

このような「想定外」を「想定内」に変えるために重要なのが、BCP(事業継続計画)に基づく実践的な訓練です。特に、ITシステムの停止やサイバーインシデントに焦点を当てたIT-BCP訓練は、初動対応の迅速化や判断の属人化防止、部門間連携の強化といった点で大きな効果を発揮します。

本記事では、ランサムウェア被害などを想定したIT-BCP訓練について、効果的な進め方や実施時のポイントを紹介します。

資料イメージ

IT-BCPとは?重要性と基本概念

IT-BCP(Information Technology Business Continuity Plan)とは、サイバー攻撃や自然災害、ITシステム障害、IT運用を担う人員不足などが発生した際に、組織のITシステムへの影響を最小限に抑え、万が一ITシステムが停止した場合でも早期に復旧できるよう備えるための計画です。
簡単に言えば、IT障害が発生した場合でも、重要な事業を止めず、または影響を最小限に抑えて継続するための準備をまとめたものです。

現在、多くの組織はクラウドサービスやネットワーク基盤、各種IT機器など、ITインフラに大きく依存しています。そのため、ひとたびITシステムが停止すると、事業に深刻な影響が生じる可能性があります。

こうしたリスクに備えるため、BCPの中でもIT領域に特化した「IT-BCP」は、組織の事業継続を支える極めて重要な取り組みとなっています。

資料イメージ
資料イメージ

IT-BCPで特に守るべきものは次の3つ

事業を支えるITシステムと業務データ

組織のITシステムや個人情報、管理データなど、日々の事業を支える重要な資産については、適切に保護するとともに、障害発生時に早期復旧できる体制を整えることが重要です。あわせて、データのバックアップや、復旧時に優先すべき業務の特定も欠かせません。

ITシステムを成り立たせるIT基盤(ネットワーク・各種IT機器・インフラ)

ネットワークに接続された各種IT機器は、サイバー攻撃や障害の影響を受けやすい領域です。そのため、個々の機器だけでなく、ネットワークやサーバ、クラウド環境を含めたIT基盤全体としてのセキュリティ対策や耐障害性の強化が不可欠となります。

ITシステムを動かし続ける人と運用体制

どれほど技術面を強化しても、緊急時に実際に対応するのは「人」です。誰がどのように行動するのか、連絡体制や初動対応の手順を事前に明確にしておくことで、被害や混乱を最小限に抑えることができます。

IT-BCP訓練は、これら3つの要素が非常時にも機能するかを実際に確認し、課題を洗い出すために実施します。

IT-BCP訓練の効果的な進め方 【4ステップ】

IT-BCP訓練は、いきなり大規模な実動訓練を行う必要はありません。
特に医療機関では診療への影響を考慮し、まずは机上演習から段階的に取り組むことが現実的です。

ステップ1:シナリオ策定

まず、どのような緊急事態を想定するかを明確にします。
代表的なケースとしては、ランサムウェアによるITシステム停止、クラウドサービスの障害、VPN脆弱性を悪用した不正アクセス、災害や大規模障害、サイバー攻撃に起因するITシステムの混乱などが挙げられます。
自組織の業務に大きく影響を及ぼすリスクを具体的にシナリオ化することが、実効性の高い訓練の第一歩となります。

ステップ2:役割分担の明確化

次に、緊急時に「誰が何をするのか」を整理します。経営層、CSIRT(サイバーセキュリティインシデント対応チーム)、情報システム部門、現場など、それぞれの責任範囲や対応手順を明確化し、連絡体制も整えておくことが重要です。役割が曖昧なままでは、初動が遅れ、被害拡大につながる恐れがあります。

ステップ3:演習・訓練実施

机上演習は、緊急時の判断や連携を確認するための重要な訓練です。実際のITシステムを止めることなく、役割分担や初動対応の課題を洗い出せるため、IT-BCP訓練の第一歩として欠かせません。
一方、実動訓練は、実際のITシステムや手順を用いて復旧対応を検証する訓練です。計画書どおりに対応できるかを確認し、実務上の課題を洗い出すことで、IT-BCPの実効性を大きく高めます。
机上演習だけでなく、可能であれば実動訓練も実施し、「計画書に書いてあるが、誰も実行できない」状態から、「実際に動ける」状態へと高めることが重要です。

ステップ4:評価と改善

訓練後は必ず振り返りを行い、対応にかかった時間や手順の妥当性、情報共有のスムーズさなどを評価します。そこで見つかった課題を改善し、次回の訓練へ反映させることで、IT-BCP全体の精度が着実に向上します。
この「評価と改善のサイクル」こそが、強いIT-BCP体制をつくる鍵です。

資料イメージ
資料イメージ

サイバー攻撃対策の動向と IT-BCPの重要性

近年、医療機関を標的としたランサムウェア攻撃が増加しており、電子カルテや検査システム、院内ネットワークが停止することで、診療の継続そのものが困難になる事例が発生しています。医療現場では多くの業務がITシステムに依存しているため、サイバー攻撃は患者の安全や医療提供体制に直接的な影響を及ぼす重大なリスクとなっています。

こうした背景から、サイバー攻撃対策においては「侵入を防ぐ」だけでなく、「侵入を前提に、いかに診療を止めないか」というIT-BCPの視点が重要視されています。完全な防御が難しい現代においては、被害を最小限に抑え、攻撃を受けても診療機能を維持・回復できるレジリエンス(回復力)のある体制を整えることが不可欠です。

具体的には、ネットワーク分離や多層防御による影響範囲の限定に加え、医療機器を含む各種IT機器をネットワーク全体で可視化・制御する取り組みが進んでいます。さらに、サイバー攻撃を想定した机上演習や実動訓練を定期的に実施し、対応力を検証・改善することで、実効性の高いIT-BCPの構築が求められています。

次に、こうしたIT-BCPの考え方を医療現場でどのように訓練に落とし込んでいるのか、具体的な事例を紹介します。

医療機関での事例

ここでは、実際に医療機関がIT-BCP訓練にどのように取り組んでいるのか、具体的な事例を紹介します。

■ 前橋赤十字病院の取り組み

群馬県の基幹災害拠点病院の一つである前橋赤十字病院は、高度救命救急センターやドクターヘリの基地病院として、地域の高度急性期医療・救急医療を担っています。そのため、サイバー攻撃によるITシステム停止は、医療提供体制全体に大きな影響を及ぼすリスクを伴います。

同院では、ランサムウェア対策を含むサイバーセキュリティ強化に継続的に取り組むとともに、万が一のITシステム障害時にも事業中断を最小限に抑え、早期復旧を図ることを目的としてIT-BCPの強化に取り組んでいます。

2025年6月には、医療機関で実際にリスクが高いとされる「VPNの脆弱性を突いたリモートメンテナンス回線からの侵入」を脅威シナリオとして設定し、東芝の CYTHEMIS™ を活用したIT-BCP訓練を実施しました。模擬的に構築した病院ネットワーク環境において、実際のサイバー攻撃を想定したシミュレーション(ペネトレーションテスト)を行い、侵入時の影響や対応を検証しました。

その結果、脆弱性を残した環境では短時間で不正侵入が可能となる一方、同ソリューションを適用した環境では、想定した脅威シナリオに対する防御効果が確認されました。

訓練を通じて、CSIRTメンバーはサイバー攻撃の脅威を具体的に体感し、インシデント発生時の初動対応や連携の重要性について実践的な理解を深めることができました。同院では、今回のIT‑BCP訓練で得られた知見を今後の運用改善に生かし、医療現場の安全性と信頼性を支える体制強化を進めています。

IT-BCPに関してよくある質問(FAQ)

IT-BCPにおいて、サイバー攻撃対策で重要なポイントは?

現場機器を含むエンドポイント対策とネットワーク防御を組み合わせた「多層防御」が重要です。認証強化、アクセス制御、通信の可視化、ログ監視・検知を段階的に実装することで、侵入の抑止と早期検知を実現できます。
単一のセキュリティ対策に依存せず、侵入を前提とした設計とすることで、被害の局所化と迅速な復旧が可能となり、IT-BCPの実効性が高まります。

IT-BCPを継続的に改善するにはどうすればよいですか?

IT-BCPは一度策定して終わりではなく、実際のインシデントを想定した訓練を定期的に実施し、運用面から検証することが重要です。訓練結果をもとに、ログの確認や対応手順の妥当性、復旧時間を評価し、抽出した課題をIT-BCPへ反映することで、障害対応力と事業継続性を段階的に向上させることができます。

資料イメージ

まとめ

IT-BCPは、一度策定して終わりではなく、訓練を通じて磨き続けていく取り組みです。特にサイバー攻撃のように発生タイミングや影響範囲を完全に予測できない事象に対しては、計画だけでなく、実際に動けるかどうかを確認することが重要です。

医療機関では、ITシステム停止が診療の継続や患者の安全に直結するため、「想定外」を前提とした備えが求められます。IT-BCP訓練は、ITシステムや技術だけでなく、人や組織が非常時にどのように連携し、判断できるかを確認する貴重な機会です。

まずは小さな訓練から始め、評価と改善を繰り返すことで、医療現場を支える実効性の高いIT-BCP体制を組織として着実に構築していくことが重要です。

資料ダウンロードフォーム

この度は、(特別コラム)IT-BCP訓練の効果的な方法とサイバー攻撃対策をご覧いただき、誠にありがとうございます。
下記フォームに必要情報をご入力いただくことで、本コラム記事および関連製品資料をダウンロードいただけます。

  • 暗号・署名WEBサービス AKTEGRISTM (アクテグリス)
  • 指紋認証ICカード BISCADETM (ビスケード)
  • IoTセキュリティソリューション CYTHEMISTM (サイテミス)
  • セキュリティのABCサービス 技術資料
  • セキュリティソリューションの実用性評価 技術報告資料
  • (特別コラム)IT-BCP訓練の効果的な方法とサイバー攻撃対策

IT-BCP対策・セキュリティ強化のご検討に、ぜひお役立てください。

東芝
太郎
株式会社 東芝
ご不明点やご相談事項がございましたら、ご利用目的やご検討状況などを含めてご記載いただけますと、よりスムーズにご案内が可能です。
こちらをご確認ください。
下記「資料ダウンロードフォームに入力いただく前のご注意」をお読みいただき、同意していただける場合は、「同意する」のチェックボックスをクリックしてください。

Contact

お問い合わせ

カード・セキュリティシステムに関するお問い合わせ