情報セキュリティ

  1. トップページ
  2. 情報セキュリティ
  3. セキュリティエコノミクス
  4. プラクティス・ナビ
  5. プラクティス8-2 組織内外の連絡先の定期メンテナンス

プラクティス8-2 組織内外の連絡先の定期メンテナンス

公開日:2026年4月28日

背景

プラクティス8-1に記載したU社では、自然災害を想定したBCPを策定しており、年に1回BCP訓練を実施しているが、サイバー攻撃を想定した訓練や疑似演習は実施していない。

情報システム部の部長は、サイバー攻撃によるインシデント発生時は通常のシステム障害と異なり、システム運用委託先に加えてセキュリティに関する専門ベンダとの連携が必要となると考え、BCP訓練のタイミングで組織内外の連絡先を全てメンテナンスすることとした。なお、災害発生時の連絡先はメーリングリストでまとめられているが、例年のBCP訓練では訓練シナリオに関係する連絡先のみをチェックしていた。また、連絡先にIT部門が含まれているかどうか確認したことがなかった。シナリオに関連する連絡先だけを確認していた。

U社の実践のステップ

情報システム部長が実践したステップは下記の3点である。

  1. 必要なIT部門が災害時の連絡先に含まれているか確認し、抜け漏れがあれば追加する
  2. BCP訓練対象でない連絡先について、訓練と同期して担当者の電話番号・メールアドレスに変更がないか、確認する
  3. 災害発生時に利用する、BCP向けに存在している全ての連絡先にテストメールを発信する

U社の実践内容

情報システム部長は、サイバー攻撃を想定した疑似演習において意図的に本番システムを攻撃させることは、実施のハードルが高いと考えた。そこで、自社だけで対応可能なインシデント発生時の連絡先の定期的なメンテナンスとメーリングリストへのテストメール発信を最低限実施するプロセスとした。

  • 図2-8.1 U社のBCP訓練の流れは以下のテキスト版をご確認ください。
    図2-8.1 U社のBCP訓練の流れ
図2-8.1 U社のBCP訓練の流れ(テキスト版)

BCP訓練のシナリオ検討

倉庫がある地区の被災など

  1. 特定シナリオに対する訓練の実施
  2. 振り返り

倉庫管理システムへのサイバー攻撃

  1. 対象外シナリオについては連絡先の確認を実施
  2. 連絡先の見直し
前のページへ 次のページへ

更新履歴

  • 2026年4月28日

    新規公開