情報セキュリティ / 事業継続
台風が来ると、なぜ情報セキュリティも危うくなるのか
2026年6月 | ビジネス向け
台風や大雨の季節になると、企業の準備は物理的な被害への対策に集中しがちです。しかし実際には、停電・通信障害・拠点の被災が引き金となり、情報システムの停止、情報漏えい、詐欺被害という"別の嵐"が同時に押し寄せます。防災対策と情報セキュリティを別々の担当部門の問題として切り分けている企業にとって、これは盲点になりやすい課題です。本記事では、①なぜ災害時に情報リスクが高まるのか、②現場で起きやすい具体的な問題、③企業として何を備えるべきか、の3点を整理します。
1災害時にセキュリティリスクが高まる理由
台風が上陸すると、まずオフィスや工場の停電、通信回線の断絶、物理的な拠点の被災が起こります。これは単なる「設備の問題」に止まらず、情報システムの根幹を一気に揺るがします。セキュリティの観点で言えば、「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」の三要素のうち、まず可用性が直撃を受ける状況です。
ポイント:可用性が崩れると、監視・ログ取得・バックアップ・認証基盤が停止し、機密性や完全性まで連鎖的に損なわれます。
停電でサーバーやネットワーク機器が止まれば、リアルタイムの監視も止まります。復旧を急ぐ局面では「今すぐ使える手段」が優先され、平時のルール──私物端末の持ち込み禁止、フリーメールの使用禁止、アカウント共有の禁止──が崩れやすくなります。
さらに攻撃者にとって、混乱時は好機です。IPAの『情報セキュリティ白書2025』が整理するように、近年のランサムウェア攻撃・標的型攻撃・DDoS攻撃は年々深刻化しており、災害による組織の隙を見計らったタイミングで攻撃が重なれば、復旧はさらに困難になります。「守る側の前提が崩れる」という本質的なリスクを、まず経営層も含めて共有することが出発点です。
2現場で起きやすい情報セキュリティ上の問題
実際の現場では、善意の「例外対応」が事故の入り口になることが少なくありません。起こりやすいリスクを「止まる」「漏れる」「だまされる」の3つに整理してみましょう。
🔴 止まる:停電でバックアップ用NASや監視ツールが止まり、攻撃に気づけない・データを取り戻せない状態に陥る。発電機を用意しても燃料切れで途中停止し、バックアップの世代が欠損するケースも多い。
🟡 漏れる:社員が自宅や避難先から私物スマホや個人メールで業務連絡を行い、顧客情報や取引先データが管理外に出る。避難所で作成した名簿を写真に撮って個人LINEで共有し、個人情報が意図せず拡散するケースも報告されている。
🟠 だまされる:「災害支援金の申請はこちら」「配送遅延のご確認」「安否確認にご協力ください」など、災害関連の文脈を巧みに使ったフィッシングメールや偽サイトが急増する。混乱の中では判断力が落ち、被害が成立しやすい状況になる。
また、復旧局面では外部のベンダーや委託先に高い権限を与える場面が増えます。緊急対応後に臨時アカウントを削除し忘れ、それが後日の侵入口になるという問題も現実に起きています。DDoS攻撃や通信の輻輳によって公式ウェブサイトや問い合わせ窓口が重くなると、利用者がSNSの未確認情報や偽サイトに流れてしまうという二次被害も見落とせません。
3企業は何を備えるべきか――防災とセキュリティを分けない
中小企業庁の『連携事業継続力強化計画 策定の手引き』では、事業継続計画(BCP)に自然災害だけでなく「感染症やサイバー攻撃への対策を追加」して策定するよう明示されています。防災は総務部、セキュリティは情報システム部、という縦割りの発想を根本から見直す必要があります。実務的に備えるべきポイントは以下のとおりです。
BCPにサイバーリスクを統合する。自然災害とサイバー攻撃が同時に発生する「複合危機」を前提にシナリオを作り、部門横断で対応訓練を実施する。年1回の防災訓練に「フィッシング想定」「クラウドへのアクセス不能想定」を加えるだけでも、体制の穴が見えてくる。
代替通信手段と認証のセットで準備する。モバイル回線や衛星通信を確保するだけでは不十分で、「誰が使うか」「どの端末を使うか」「認証方法はどうするか」を事前に登録・訓練しておく。通信手段だけ増やして統制が取れない状態は、むしろリスクを拡大させる。
バックアップは「戻せるか」で評価する。保存してある"ある"だけでは意味がなく、災害とランサムウェアが同時に発生しても復旧できる形──オフサイト保管、世代管理、復旧手順の確認──まで整えておく必要がある。
臨時アカウント・権限のルールを明文化する。発行条件、承認者、終了後の削除手順を事前に決め、復旧後に「臨時で使った端末・アカウント・共有先」を棚卸しするチェックリストを用意しておく。
サイバー保険を財務備えの一つとして検討する。IPAの『サイバー保険検討のススメ』が整理するように、システム停止による損失、フォレンジック費用、外部専門家費用、賠償などをカバーできる保険の活用は、財務レジリエンスを補完する現実的な選択肢になっている。万能策ではないが、リスクを抱えたまま無防備でいるよりは有効な手段だ。
重要な視点:完璧な対策を一度に揃えることより、「非常時に迷わず動けるルールと訓練」の最低限を整えることが先決です。情報システム部門だけでなく、総務・広報・現場・経営層が共通認識を持てる仕組みを作りましょう。
まとめ:災害に強い企業は、情報の扱い方まで"止まりにくく"設計されている
台風などの自然災害は、物理的な設備被害にとどまらず、情報システムの停止・情報漏えい・フィッシング詐欺・復旧妨害を連鎖的に引き起こします。総務省の『令和7年版 情報通信白書』が指摘するように、異常気象や災害の激甚化という大きな流れの中で、デジタル基盤の信頼性・レジリエンスはもはや経営課題そのものです。
防災対策と情報セキュリティを別々に管理する時代は終わりつつあります。次の台風が来る前に、「停電したら誰が何をどう連絡するか」「私物端末の扱いはどうするか」「臨時権限をどう戻すか」を確認するだけでも、大きな前進になります。
災害に強い企業とは、建物や設備だけでなく、情報の扱い方まで含めて"止まりにくく、戻しやすい"企業のことです。
参考情報源
IPA『情報セキュリティ白書2025』第3章 — ランサムウェア・DDoS・サプライチェーン攻撃等の脅威動向
中小企業庁『連携事業継続力強化計画 策定の手引き』 — 自然災害にサイバー攻撃等を加えたBCP策定方針
IPA『サイバー保険検討のススメ』 — サイバー保険の補償範囲と論点整理
総務省『令和7年版 情報通信白書』 — 災害激甚化とデジタル基盤の信頼性・レジリエンス
