サイバーレジリエンスとは？最新のセキュリティ事情を徹底解説！ |【案件ナビNEWS】

企業のセキュリティ対策は強化されていますが、それでもサイバー攻撃を完全に防ぐことはできません。攻撃する側が新しい攻撃手法を生み出すため、どうしてもカバーできない部分があるのです。このような状況は永遠に続くと考え、いたちごっこから抜け出すことはできません。

そのような状況を鑑み、現在は「完全に防ぐ」のではなく「サイバー攻撃を受けた際にどうするか」を検討しておくことが求められています。これを検討した結果として、具体的に取り組む内容などが「サイバーレジリエンス」です。今回は概要から検討の流れなどを解説します。

この記事の目次

サイバーレジリエンスとはなにか
なぜサイバーレジリエンスが必要なのか
サイバーレジリエンスの導入に向けた5つのポイントや流れ
まとめ

サイバーレジリエンスとはなにか

サイバーレジリエンスとはどのような考え方であるのか理解を深めましょう。

サイバーレジリエンスの概要

レジリエンス(Resilience)とは、回復力や弾性という意味を持った英単語です。これがIT業界で転じて、サイバーレジリエンスとは「企業がITの分野でトラブルから回復したり回避したりする力」という意味合いで利用されます。レジリエンスは、IT業界に限らずビジネス用語ですが、サイバーレジリエンスと表現する場合はサイバー攻撃などIT分野に限った内容を指すのです。

ただ「IT」と表現してもその対象は様々であり、企業によって保有する資産や環境は大きく異なります。そのため、あくまでもサイバーレジリエンスは大きな概念であり、具体的にやるべきことはそれぞれの組織が検討しなければなりません。「サイバーレジリエンス＝特定の対策」という訳ではないのです。そのため、サイバーレジリエンスを今回初めて耳にしたとしても、実は日頃の取り組みがサイバーレジリエンスに該当することも考えられます。

解釈によって定義は異なる

サイバーレジリエンスは大きな概念であるため、その時々によって対策が異なります。実際、業界団体の定義を参照しても、記載内容が微妙に異なるため注意しなければなりません。

例えば、「JISQ22300:2013社会セキュリティ－用語」では「複雑かつ変化する環境下での組織の適応できる能力。注記レジリエンスは、中断・阻害を引き起こすリスクを運用管理する組織の力である。」と示されています。回復力ではなく、ビジネスを中断させたり阻害したりする行為に適用できる能力だとされているのです。

また、NIST(National Institute of Standardsand Technology：米国国立標準技術研究所)の発表を参考にしてみると「設計、設計、開発、実装、保守によって、システムへのサイバー攻撃や侵害、悪条件や負荷に対応できるリソース」と定められています。こちらについても、サイバー攻撃や処理の増加による負荷について触れられていますが、組織の力ではなくリソース全体を指しているのです。

ここで紹介した内容は一例ですが、サイバーレジリエンスの解釈は状況によって異なります。あくまでも概念だと捉え、その詳細については、自分たちでブレイクダウンする必要があると理解してください。

参考：Developing Cyber-Resilient Systems; A Systems Security Engineering Approach

なぜサイバーレジリエンスが必要なのか

いきなりサイバーレジリエンスが必要だと伝えられても、その理由が理解できない人も多いでしょう。納得感を高めるために、サイバーレジリエンスが必要とされる背景について解説します。

サイバー攻撃の増加や複雑化

近年はサイバー攻撃が増加したり複雑化したりしています。このような状況はこの先も続くと考えられ、組織として計画的に対策しなければならない状況です。一昔前は、トラブルが発生したタイミングで暫定的な対策を採用することがありましたが、現在は計画的かつ継続的に対策しなければなりません。

ただ、サイバー攻撃は多種多様であるため、完璧な対策を続けることは実質的に不可能です。そのため、組織として攻撃された場合に備えたり、攻撃されても業務を続けたりすることが求められます。この時に必要とされる考え方がサイバーレジリエンスなのです。

今までのセキュリティ対策は「攻撃を完璧に防ぐ」ということに着眼していました。しかし現在、攻撃はゼロにならないという前提に立ち、被害を最小限に抑えるためのサイバーレジリエンスが求められているのです。

デジタルトランスフォーメーションの普及

日本では急速にデジタルトランスフォーメーション（DX）が進んでいます。国を挙げて推進しているということもあり、多くの企業や組織でシステムの導入やオンライン化が当たり前になってきました。その結果、外部からサイバー攻撃を受ける機会も増えてしまい、サイバーレジリエンスのような考え方が必要になっています。

DXが広まる前は、システムがオンラインではなくオフラインで稼働してることも多くありました。つまり、保存されているデータが外部に公開されることはなく、最小限のセキュリティ対策や運用で問題なかったのです。トラブルが発生しても、社内の業務が一時的に滞るだけであり、クライアントに迷惑がかかるようなこともほとんどありませんでした。

しかし、DXによってクラウドサービスなどが活用されるようになった結果、システムは多くのリスクを抱えるようになっています。また、管理するシステムの数も増えていることが多いため、個々のセキュリティを強化するだけではなく、組織としての対応方針などが求められるようになりました。

社会的な信用力の担保

社会的な信用力を担保するという観点でも、サイバーレジリエンスが重要なキーワードになっています。例えば、外部からの攻撃によって個人情報が漏洩してしまうと、社会的信用力が大きく下がってしまうのです。現在は、情報漏洩に対して非常に敏感な時代であるため、社会的信用力を維持するためにも情報が漏れてしまう事態は絶対に避けなければなりません。

また、何かしらの理由でシステムが停止してしまうと、利用者に対して大きな迷惑をかける可能性があります。このようなシステム停止も現在では厳しく評価され、社会的な信用力を下げる要因となりかねません。特にお金を受け取ってシステムを提供している場合は、安定したサービスの提供が求められます。

サイバー攻撃は企業や組織にとって痛手ですが、極論、利用者にとっては関係のない話です。社会的な信用力を維持するためには、サイバーレジリエンスのような考え方を持ち、周囲への影響を最小限に抑えることが求められます。

データ復旧コストの回避

システムにトラブルが発生した場合は、保存されているデータなどを復旧しなければなりません。例えば、攻撃によってデータベースが破壊されたならば、バックアップからデータを復元する作業が必要です。また、プログラムが改ざんされてしまったならば、修正版をリリースする必要があるでしょう。

これらの中でも、特に大きな負担となりやすいものがデータの復旧コストです。バックアップからのリカバリーはもちろん、攻撃によってデータが暗号化されるなどした場合は、復旧させるために莫大なコストが必要となります。いうまでもなく、このような事態は回避しなければなりません。

サイバーレジリエンスを採用したからといって、データ復旧コストが絶対にゼロになるとは言い切れないでしょう。ただ、事前に様々な対策を打っておくことで、コストを最小限に抑えることは可能です。サイバーレジリエンスの運用にはコストが必要ですが、事前に支払っておくことで、より大きな負担を抑えられます。

サイバーレジリエンスの導入に向けた5つのポイントや流れ

これからサイバーレジリエンスを導入したいと考えているならば、以下のポイントを踏まえた流れとしてみましょう。

対象の洗い出し

最初に、サイバーレジリエンスの対象となるシステムや資産などを洗い出さなければなりません。一般的には、インターネットに接続されているシステムが該当しますが、サーバーなどのインフラを保有している場合は、これらも対象としなければなりません。ソフトウェアとハードウェアの両面から評価するようにしましょう。

なお、対象の洗い出しは抜け漏れなく進めることが重要です。何かしら、対象から漏れているものがあると、その部分がセキュリティホールになってしまいかねません。例えば、ソフトウェアだけを調査しハードウェアの調査が抜けていると、ハードウェアに対する攻撃に対応できなくなってしまいます。

リスク評価

対象となったものについて、どのようなリスクが生じるか評価が必要です。例えば「社内での業務が一時的に滞る」というものから「記者会見を開くような社会的な問題に発展する」というものまであるでしょう。リスクは一律ではないため、新しく評価してそれに沿ったサイバーレジリエンスが求められます。

基本的には、リスクが高いものを中心にサイバーレジリエンスの進め方を考えなければなりません。例えば「流出すると社会的な問題が生じるデータの保護から着手する」などです。最終的には、対象となるもの全てについて適切な対処が必要ですが、並行して対応できる内容には限りがあります。そのため、リスクを評価して着手の順番を決定しましょう。

なお、リスク評価は「どの程度の対策を必要とするか」という部分にもつながります。例えば、影響が社内の一部に限られるならば、重厚な対策とする必要はないでしょう。運用回避することも視野に入れるべきです。逆に、一般の利用者などに多大なる影響を与えるならば、可能な限り重厚な対策が必要だと考えられます。

予防策の検討

サイバーセキュリティを高め、サイバー攻撃に備えるような体制を整えなければなりません。ソフトウェアやハードウェアに対策するだけではなく、個人的にもトラブルを防ぐような予防措置が求められます。

まず、サイバー攻撃に備えるためには、ファイアウォールやアンチウイルス、SDPなどのツールを導入することが考えられます。サイバー攻撃が多様化している現状を踏まえると、専門的なツールを組み合わせて、総合的な対策を取らなければなりません。幅広い攻撃に備えられるような仕組みを検討しましょう。

また、予防策という観点では、組織内でトラブルを発生させないような仕組み作りが必要です。例えば、サーバへセキュリティパッチを適用するルールを定めたり、重要なデータへアクセスする権限を管理したりします。外部からではなく内部からトラブルが起きることもあるため、そのような事態も想定した予防策が必要です。

検出や対応の決定

外部からのサイバー攻撃や内部の不正を、どのように検知して通知するのか、そしてどのように対応するかのフローが必要です。検知するだけでは意味がないため、サイバーレジリエンスを参照して行動までできるように準備しておきます。

検知については、上記で触れたツールを利用するケースが大半でしょう。セキュリティを高めるだけではなく、外部からの攻撃などがあった場合は、それを検知して通知してくれる仕組みが備わっているはずです。適切な設定を済ませておき、検知したという通知をトリガーにサイバーレジリエンスに沿って行動します。

行動の具体例としては「システムの停止」「ネットワークからの隔離」などが考えられます。その後、ログを分析して具体的な影響範囲を分析したり、状況を継続的に監視したりしなければなりません。具体的に何をするのかサイバーレジリエンスに記載しておき、有事の際は速やかにスケジュールを立てられるような内容にしておきましょう。

まとめ

サイバー攻撃など、システムのトラブルに組織として備えるサイバーレジリエンスについて解説しました。セキュリティ対策はもちろん、検知した場合の対応などについても定義しておくことが求められます。今までのセキュリティ対策より、大きな概念であると考えましょう。

また、根本的に「サイバー攻撃はゼロにできない」という考え方があります。今までは完全に防ぐことを目的としていましたが、サイバーレジリエンスではトラブルは発生する前提です。防ぐことを前提とすると、有事の際に行動が遅れてしまいますが、サイバーレジリエンスのような考え方を持てば、有事の際もスムーズに行動できます。