企業の事業継続を支えるサイバーレジリエンス

反発力や弾力性、回復力などを意味する「Resilience」(レジリエンス)。レジリエンスは、企業活動の文脈において「レジリエンス経営」という言葉で使用され始めている。レジリエンス経営とは、将来の予測が困難なVUCA時代に、想定外のストレスに打ち勝って組織を成長させる経営の考え方だ。パンデミックや戦争、自然災害、品質問題などの予測困難な事象は、出勤停止やサイバー攻撃の激化、サプライチェーンの混乱、生産停止など、あらゆる面でビジネスに影響を与えている。今回は、この中でも対応が後回しにされがちな激化するサイバー攻撃に焦点を当て、対策を説明していく。

リスクと共存する時代のセキュリティ

 新型コロナウイルス感染症が流行して2年以上が経過したが、いまだに感染を抑え込むことはできず、世間ではPCR検査やワクチン接種、病床確保などの医療体制を強化し、本格的にWithコロナを推進していく方向で対策が進んでいる。

 これを踏まえ、サイバー攻撃についても同様に検討していく必要がある。ランサムウェアやメールの添付ファイルといった対象を媒介する高度なマルウェア「Emotet」などの被害が後を絶たない中、求められているのが、企業の継続性、レジリエンスを高めるためのセキュリティだ。

 従来、企業では、ファイアウォールを中心とした社内・社外を分離する境界防御型のセキュリティが主流であった。その後、クラウド利用やテレワークの拡大といった業務環境の変化に伴い、守るべき資産が社内外に存在するようになったことで、ゼロトラストセキュリティのニーズが高まってきた。検知・防御を中心としたこれらの対策も重要ではあるが、今後はゼロトラストセキュリティの考え方に加え、Withコロナの考え方同様、サイバー攻撃のリスク抑え込みが困難であることを前提とした「Withリスク」の対策を考えていかなければならない。これを、「サイバーレジリエンス」という。

サイバーレジリエンスの導入効果

 次項の図1は、企業がランサムウェアに感染し事業を停止した場合とサイバーレジリエンスに取り組み事業を継続できた場合を比較した際のギャップを示している。

 サイバーレジリエンスに取り組んでいない場合、ランサムウェアが侵入し被害が発生すると、データが使用不能になり、事業の停止を余儀なくされる(図1内、従来対策時の事業稼働率の線を参照)。また、被害の拡大を止めることができず、データやシステム復旧など、完全に回復するまで多くの時間を要する。

 一方、サイバーレジリエンスに取り組んでいる場合は、事業の継続性が高まる。インシデントへの抵抗力と回復力を高め、ビジネスインパクトを低減することで、縮退運転を行いながらも事業を継続させることができるのだ(図1内、サイバーレジリエンス導入時の事業稼働率の線を参照)。

企業が具備すべき能力

 2021年5月、米国の石油パイプライン企業がランサムウェアに感染し、約5日間の操業停止に陥った。その後、米国国立標準技術研究所(NIST)から発行されたドキュメント「SP800-160 Vol.2 Rev.1 Developing Cyber-Resilient Systems: A Systems Security Engineering Approach」に、企業がサイバーレジリエンスを具現化するためにシステムに具備すべき4つの能力が示された。以下に、各能力の意味と例を説明する。

①予測力……サイバー攻撃に対する準備と態勢の維持。
例:セキュリティ診断、ポスチャマネジメント

②抵抗力……被害を局所化し事業機能を維持。
例:マイクロセグメンテーション、特権ID管理

③回復力……被害からの迅速な回復。
例:バックアップ保護、回復ポイント早期特定

④適応力……再発防止と組織改善。
例:サイバー攻撃対応訓練、セキュリティ教育

 基本的には、この4つの能力を高めることでサイバーレジリエンスを具現化していくことができる。

 各能力を高めるためには、まず、現状を知る必要がある。企業のサイバーレジリエンスに対する弱点を洗い出し、それをプロセス、人・組織、ツール・システムの観点で分析し見直していく。そうすることでバランスよくサイバーレジリエンスを強化し、事業継続性を高めることができる。

レジリエンス経営強化に向けて

 図2にある通り、レジリエンス経営に向けた企業課題は多く、これらの課題解決のためにDXに取り組む企業は多いだろう。しかし、DXに寄与するクラウドなどの環境はサイバー攻撃リスクが高い。そこで前述した4つの能力の現状を把握し、見直しを行い、ゼロトラストセキュリティに事業継続の考え方を加える。そうすることでレジリエンス経営に役立てられるのだ。

 昨今のサイバー攻撃の脅威から企業を守るためにも、ぜひ、サイバーレジリエンスの強化を検討されたい。次回は、実際に発生したランサムウェアの被害事例から、サイバーレジリエンス強化に必要な取り組みを具体的に提示していく。

反発力や弾力性、回復力などを意味する「Resilience」(レジリエンス)。レジリエンスは、企業活動の文脈において「レジリエンス経営」という言葉で使用され始めている。レジリエンス経営とは、将来の予測が困難なVUCA時代に、想定外のストレスに打ち勝って組織を成長させる経営の考え方だ。パンデミックや戦争、自然災害、品質問題などの予測困難な事象は、出勤停止やサイバー攻撃の激化、サプライチェーンの混乱、生産停止など、あらゆる面でビジネスに影響を与えている。今回は、この中でも対応が後回しにされがちな激化するサイバー攻撃に焦点を当て、対策を説明していく。

早稲田大学グローバルエデュケーションセンター
非常勤講師

日立ソリューションズ
セキュリティソリューション事業部
企画本部
セキュリティマーケティング推進部 部長
Security CoEセンタ長
セキュリティエバンジェリスト
扇 健一 氏