近年、アサヒビールやアスクルなどの大手企業でも、サイバー攻撃によるシステム停止や業務遅延が報じられています。サイバー攻撃の影響は、単なるITトラブルにとどまらず、受発注・出荷・請求・顧客対応といった企業活動全体に波及し、サプライチェーンにも深刻な影響を与えます。
そのため多くの企業では「攻撃を防ぐ」ための技術的対策――ファイアウォール、ウイルス対策、アクセス制限――に注力しています。しかし、実際には100%の防御は不可能です。重要なのは、攻撃を受けた“後”にどう動くかです。
攻撃「前」の対策だけでは足りない
サイバー攻撃によってシステムが停止すれば、PC・ネットワーク・クラウドなど、日常的に使っている仕組みが一時的に使えなくなります。メールも基幹システムも止まり、紙一枚出せない状況になることもあります。
その時に問われるのは「どの業務を、どの順番で、どうやって回すか」です。つまり、システムが止まっても動ける“アナログの力”です。
IT機器を使わずに業務を回す訓練を
BCP(事業継続計画)の観点からも、サイバー攻撃後に最低限の業務を維持できる体制づくりが欠かせません。具体的には、以下のような訓練が有効です。
- 紙の帳票で受発注や出荷記録を取る練習
- 電話やFAXを用いた連絡・確認の手順を整理
- 「誰が・何を・どの順番で行うか」を決めてマニュアル化
- 復旧後にデータをシステムへ再入力するチェック体制を整備
これらは、一見すると時代に逆行しているように見えますが、非常時の「最後の砦」として実効性があります。システムが使えない状態でも業務を止めないためには、こうした“手作業モード”を定期的に訓練しておくことが欠かせません。
ベテランの知恵を若手へ継承する
システムがなかった時代を知るベテラン社員は、手作業による処理や判断の勘所を身につけています。たとえば「どの伝票を優先すべきか」「どの部門に先に確認すべきか」といった、システム以前の判断力です。
こうした知恵を形式知化し、訓練を通じて若手へ伝えていくことが重要です。単なるマニュアルではなく、現場でのロールプレイやシミュレーションを通じて体得させることで、組織全体の対応力が高まります。
まとめ:技術と人の両輪で「止まっても動ける」組織へ
サイバー攻撃は技術だけの問題ではありません。ITシステムを守る防御力と同じくらい、被害を受けても事業を継続できる「人と組織の力」が重要です。手作業訓練、連絡体制、判断力の継承――これらの地道な準備が、実際の危機時に企業を救います。
「攻撃されないため」から「攻撃されても続けられるため」へ。
発想の転換こそ、真のサイバーレジリエンスへの第一歩です。
竹上経営コンサルティングオフィス
中小企業診断士 竹上 将人
事業継続・BCP支援/リスクマネジメントコンサルティング
