目次
昨今、大きな注目を集めている高度なランサムウェア攻撃により、サイバー レジリエンスの優先度がますます高まっています。また、サイバー攻撃の高度化に伴い、EUは2024年、サイバーレジリエンス法を発効しました。日本では2025年7月にサイバーセキュリティ基本法が一部改正され、事業者に対してセキュリティの確保に必要な対策を講じるよう規定しました。
サイバー レジリエンスとは
サイバー レジリエンスとは、デジタル システムに重大な障害が発生した場合においても、有効なオペレーションを維持する組織の能力を指します。組織のサイバー レジリエンスは、ITセキュリティ インシデントの特定、対応、および復旧に要する時間によって測定されます。
サイバー レジリエンス戦略は、リスクの理解にも重点を置いています。組織は、以下のような破壊的な事象に起因して発生する可能性のある重大なサイバー インシデントに備える必要があります。
- 情報漏洩につながるサイバー攻撃
- 悪意のある内部関係者によって意図的に引き起こされる損害
- データ センターへの電力供給を中断させる異常気象
- 意図しない人的ミス
- 自然災害
- 政治的対立
- 公衆衛生上の緊急事態
- ランサムウェア攻撃
- システム障害
組織は、サイバー インシデントの発生中および発生後に事業継続を確保できる場合、サイバー レジリエンスを備えていると見なされます。サイバー レジリエンスの目的は、ITシステムにどのような障害が発生しても、組織が製品およびサービスを提供できる状態を維持することです。
サイバー レジリエンスを構築する4つの基盤
サイバー レジリエンスは、サイバー インシデントが発生することを前提としています。サイバー レジリエンスを備えた組織は、インシデントに備える必要があるという認識のもとでオペレーションを行っており、インシデントが発生した場合にも、重要なオペレーションを維持する必要があります。
サイバー レジリエンスの文化を十分に根付かせるには、サイバー レジリエンスの基盤となる4つの柱、「予測」「抵抗」「回復」「進化」を理解することが重要です。
オペレーション | 概要 |
|---|---|
1. 予測 | 攻撃者・攻撃手法・脆弱性を予見し、備える段階 |
2. 抵抗 | 混乱や攻撃の影響を最小化するためのシステム構築 |
3. 回復 | インシデント後に業務・サービスを迅速に復旧 |
4. 進化 | 学習と改善によりレサイバージリエンスを継続的に向上 |
1. サイバー脅威の理解と備えに向けた「予測」
サイバー脅威を予測するには、組織を標的にする可能性が最も高い攻撃者の種類、悪用され得る攻撃ベクトルの種類、そして使用される戦術、技術、手順を理解することが必要です。これには、攻撃者が脅威を形成しサイバー攻撃を仕掛ける際に使用する行動、手法、または活動パターンが含まれます。これらには、APT攻撃、サービス拒否(DoS)攻撃、フィッシングおよびスピア フィッシング攻撃、ランサムウェア攻撃などがあります。
サイバー犯罪者以外のサイバー脅威についても考慮する必要があります。これには、自然災害、停電など構造上の障害、およびシステムへの負荷が含まれます。
問題を引き起こす可能性が最も高い存在を予測するだけでなく、予測には脆弱性の評価も含める必要があります。これには、ネットワークやエンドポイントからクラウド サービスおよびストレージに至るまで、すべての領域を対象とする必要があります。
予測は、ITおよびセキュリティ チームの範囲にとどまらないことに留意することが重要です。組織の中で最も重要な領域を検討する際は、経営層を巻き込む必要があります。
さらに、部門責任者は意見を述べ、自部門のシステムに関する知見を提供することが望まれます。ビジネス リーダーは重要なオペレーションをサポートするために必要な業務プロセスを検討し、ITセキュリティ チームはキル チェーンおよびレガシー システムにおけるギャップの特定を開始します。
2. 混乱を最小限に抑える堅牢なシステムの構築による「抵抗」
「抵抗」の柱は、混乱による影響を抑えることに重点を置いています。サイバー犯罪者が攻撃ベクトルを悪用することに成功した場合、ユーザーがシステムに影響を及ぼすミスをした場合、またはその他の予期しない混乱が発生した場合でも、サイバー レジリエンスのベスト プラクティスは、組織が通常のオペレーションを迅速に再開できる状態へと導きます。
混乱に対して効果的に抵抗するためには、「予測」の柱に基づいて標準のオペレーション手順を策定する必要があります。ITおよびセキュリティ チームやオペレーション チームは、組織に対して最も発生する可能性の高い攻撃を網羅したプレイブックを用意する必要があります。さらに、インシデント 管理計画など、従来型のセキュリティ事象への対応手法を整備しておく必要があります。
「抵抗」のもう1つの要素は、攻撃者の注意を重要な資産およびリソースから逸らすことです。これは通常、攻撃を意図的に誘い込むハニー ポットを使用して実施されます。ハニー ポットは、高い価値があるように見せかけた「おとり」として作成されます。これにより、攻撃者による優先リソースへアクセスを防ぐだけでなく、ITおよびセキュリティ チームが攻撃者の戦術や、標的としている対象の種類を把握することも可能になります。
3. サイバー インシデントからの迅速な「回復」
サイバー レジリエンスの領域において、重要なデータの復元には、災害復旧計画で十分であると見なされることがよくあります。しかし、それだけでは十分ではありません。サイバー レジリエンスは、単にデータを回復することにとどまらず、そのデータを利用するすべてのサービスおよびワークフローを含みます。
サイバー インシデントから迅速に回復するには、すべてのアプリケーション、プラットフォーム、およびネットワークを復旧させる必要があります。これは、アカウント アクセス、データベース サービス、ならびにクラウド システムへのアクセスを迅速に提供するとともに、これらをインシデントから保護し続けることを意味します。また、チームがアプリケーションまたは一連のアプリケーションの完全な複製にリダイレクトできるようにする仕組みを整備し、それらを元のシステムから分離することで、残存物(例:マルウェアやランサムウェア)が影響を与えないようにする必要があります。
これは、アプリケーションおよび関連サービスの複製をサイバーVault内に保管することで実現できます。これらは別のネットワーク上に保持し、可能であれば1か所または複数の別拠点に配置することが望まれます。サイバーVaultへの保管対象となる主要なアプリケーション サービスには、Active Directory、認証、DNS、ファイアウォール、キー管理システム、公開鍵基盤(PKI)、およびVPNが含まれます。
4. サイバー事象からの学習と適応による「進化」
サイバー レジリエンスは継続的な取り組みです。計画を整備した後も、関連性と最適化を維持するため、定期的にレビューを行い、進化させていく必要があります。これには、システムの機能およびアーキテクチャの評価が含まれます。場合によっては、レガシー システムをクラウド サービスへ移行する、または重要システムをオンプレミスへ移行する必要があります。
レビューは少なくとも年に一度は実施する必要があります。さらに、サイバー インシデントが発生した場合は、インシデントの事後レビューで得られた教訓を基に、サイバー レジリエンス戦略および計画を評価し、更新する必要があります。
サイバー レジリエンスとサイバー セキュリティの役割を比較
組織は、サイバー セキュリティとサイバー レジリエンスの両方に戦略およびプログラムを備える必要があります。サイバー レジリエンスとサイバー セキュリティは相互に補完し合い、組織全体のセキュリティ体制を強化するとともに、事業継続を確保し、規制および標準へのコンプライアンスを促進します。両者の目的や機能、役割の違いについて簡潔に整理しましょう。
観点 | サイバーセキュリティ | サイバーレジリエンス |
|---|---|---|
目的 | 攻撃・リスクを防御・軽減すること | 混乱・インシデント発生後に影響を抑え、早期に復旧すること |
中心的な機能 | 攻撃から守る、防ぐ、防御を強化する | 予期せぬ事象からの耐性・回復力を高め、通常業務を継続できる状態を維持 |
役割 | 情報漏洩やサービス妨害などの影響を軽減 | 被害・混乱の最小化、オペレーション・評判の迅速な回復 |
サイバー レジリエンスはデータ侵害の防止と悪意のある活動によるリスクの低減に寄与します。一方、サイバー セキュリティは、これらの攻撃や、デジタル システムのオペレーションを妨げるその他の事象による影響を軽減する役割を担います。
以下に、サイバー レジリエンスとサイバー セキュリティの戦略およびプログラムを統合する際のベスト プラクティスの例を示します。
バックアップおよび復旧
サイバー セキュリティの重要な要素は、データの保護です。これは、暗号化などのデータ保護ツールにとどまらず、情報の機密性、完全性、および可用性を保証するデータ バックアップおよび復旧システムを含みます。これらは、データを迅速に復元できるようにすることで、サイバー レジリエンスにおいても重要な役割を果たします。
シミュレーション テスト
シミュレーション テストを実施することで、サイバー セキュリティおよびサイバー レジリエンスのシステムやプロセスにおける不備を特定できます。シミュレーション テストは、現実世界のシナリオを使用して、システムが想定どおりに動作することを確認します。また、最適化の機会を明らかにすることも可能です。さらに、シミュレーション テストはシステムの評価に加え、スタッフが自らのロール(役割)をより深く理解する助けとなり、必要に応じて迅速に対応できるよう準備を整えます。
リーダー層の関与
サイバー セキュリティおよびサイバー レジリエンスは、いずれも優先順位をリーダー層によって決定すべき取り組みです。経営幹部および取締役会などのリーダー層を巻き込むには、サイバー レジリエンスおよびサイバー セキュリティに関して実施している取り組みを認識してもらう必要があります。これにより、これらの取り組みが組織にとって重要であるというメッセージを発信できるようになるだけでなく、これらの取り組みへの継続的な資金提供についての理解と支持を得て維持することにもつながります。
継続的な改善
サイバー レジリエンスおよびサイバー セキュリティは、定期的に見直す必要があります。これにより、要件や優先順位の変化がこれらの取り組みに反映されます。これらのレビューは、十分に機能していない領域を明らかにし、改善につなげる役割も果たします。
サイバー レジリエンスと企業レジリエンスの関係
サイバー レジリエンスと企業レジリエンスは、密接に関係しています。サイバー レジリエンスおよび企業レジリエンスはいずれも、いかなるインシデントが発生した場合でも、データへの継続的なアクセスを確保できることを基盤としています。適切に運用されている企業と同様に、優れたサイバー レジリエンス プログラムは、企業データの保護とセキュリティに対してデータ中心のアプローチを採用します。
サイバー レジリエンスにおける重要な目的は、インシデントの緩和および解決が進められている間も、必要に応じてデータを利用可能かつ復旧可能な状態に保つことです。サイバー レジリエンス プログラムには、企業がサイバー攻撃を特定、対応、復旧できるようにするためのポリシー、手法、およびソリューションを含める必要があります。その中核において、サイバー レジリエンスのフレームワークは、企業データおよびシステムの可用性を可能な限り高水準で維持する、エンド ツー エンドのセキュリティ アプローチを推進します。
サイバー レジリエンスが重要である理由
サイバー レジリエンスが重要である理由は、テクノロジーがほぼすべての企業のオペレーションの基盤となっているためです。ダウンタイムは、組織に深刻な悪影響を及ぼす可能性があります。サイバー レジリエンス計画は、あれば望ましい取り組みではなく、不可欠なプログラムになっています。
サイバー セキュリティプログラムは、幅広いサイバー リスクへの対処方法を計画するのに役立ちます。サイバー レジリエンスは、インシデントへの備え、対応力、および迅速な回復を通じて、サイバー インシデント発生時に効果的かつ迅速に行動できる状態を確保することを目的としています。企業は、ワークフローやプロセスへの混乱を最小限に抑えながら、オペレーションを継続できます。
サイバー レジリエンスの必要性については、米空軍電子システム センター元司令官テッド・F・ボールズ中将が、次のように要約しています。
「あなたは攻撃を受けます。あなたのコンピューターも攻撃を受けます。問題は、その攻撃にどう立ち向かうかです。どのようにしてオペレーションを維持するのかが問われます。」
企業がサイバー レジリエンスを導入すべき主な理由は以下のとおりです。
- コンプライアンス規制への準拠
- 顧客信頼の継続的な確保
- 事業継続性の維持
- データ保護要件への対応
- クレデンシャルや個人を特定できる情報(PII)などの機密情報の保護
サイバー レジリエンスが企業レジリエンスを実現する仕組み
サイバー レジリエンスは、システムのダウンタイムを最小限に抑え、事業継続性を最大化することで、企業レジリエンスを実現します。企業レジリエンスはシステムの稼働に依存しているため、サイバー レジリエンスは重要な役割を果たします。
多くの場合、サイバー レジリエンス計画は、災害復旧計画に紐づく企業レジリエンス計画を補完します。サイバー レジリエンス計画は、災害発生後に通常のオペレーションを迅速に再開するためのフレームワークおよびプロセスを提供します。
DXフェーズに依存しないサイバー レジリエンスの価値
サイバー レジリエンスは、DXの初期段階にある企業においても不可欠です。テクノロジーが広く浸透したことにより、新たな脆弱性の出現、攻撃対象領域の拡大、およびシステムの継続的な稼働への強い依存といったリスクが増大しています。サイバー レジリエンスは、企業がDXの利点を活かしつつ、多様なリスクを大幅に軽減することを可能にします。
サイバー レジリエンスを支える3つの重要な要素
堅牢なサイバー レジリエンスのフレームワークおよび戦略には、以下の機能が含まれます。
保護
保護は、あらゆるサイバー レジリエンス戦略の基盤となる要素です。サイバー レジリエンス プログラムを確立する最初のステップは、すべてのシステム、アプリケーション、およびデータを不正アクセスから保護するために必要な適切かつ有効なセキュリティ対策を整備することです。
保護およびサイバー レジリエンスの強化に活用できる多くの保護対策の中には、すべてのシステムにわたってサイバー リスクを特定、評価、および管理することが含まれます。これは、リスクをもたらす可能性のある第三者および第四者にも適用されます。
検知
検知も、サイバー レジリエンスにおける重要な要素です。サイバー脅威の早期検知は、被害が発生する前に脅威を阻止する最良の機会をもたらします。継続的な監視および攻撃対象領域の管理は、悪意のある脅威や意図しない脅威を特定し、サイバー インシデントの発生を防止するとともに、オペレーションを中断なく継続できるようにします。
復旧力
インシデントから適時に復旧できる能力は、サイバー レジリエンスにおいて最も重要な機能の1つです。多くの組織は、いずれかの時点で重大なインシデントを経験します。復旧計画を準備しておくことが、サイバー レジリエンスの確立につながります。
これには、詳細なインシデント対応計画を策定・実装し、その内容を十分に検証することが必要です。また、インフラの冗長化とデータ バックアップも、事業継続には欠かせない要素です。
サイバー レジリエンスに必要なその他の要素
適応力
脅威のエコシステムが急速に変化している状況において、企業はサイバー レジリエンス計画に適応力を組み込む必要があります。適応力は、新たな脅威に対応して防御策を事前に変更または追加する場合や、攻撃に迅速に対応するために方針を転換する場合など、サイバー レジリエンスにおいて重要な役割を果たします。さらに、過去の事象や脅威関連データから学習して計画を調整することも、適応力の重要な要素です。
サイバー レジリエンス実現に向けたソリューション、プログラム、プロセス
サイバー レジリエンス戦略を効果的に実行するには、以下のような複数のソリューション、プログラム、プロセスを整備する必要があります。
- データの自動バックアップ:マルウェアやランサム ウェアなどの侵害、または人的ミス、ネットワーク障害、自然災害などの混乱を招く事象からの復旧を迅速化します
- 脅威の検知と遮断:脅威がシステムやネットワークに侵入する前に検知・遮断します
- サイバー レジリエンスの強化:システム、構成管理、脆弱性管理、攻撃対象領域管理の改善と最適化を徹底します
- セキュリティの強化:攻撃者によるシステムやネットワークへのアクセスを困難にする対策を実施します
- エンドポイントの保護:最新の脅威からエンドポイントを保護します
- 攻撃からの復旧:攻撃からは適時に復旧し、ダウン タイムおよびオペレーションへの影響を最小限に抑えます
- 攻撃への迅速な対応:詳細なサイバー レジリエンス計画を整備し、攻撃に迅速に対応します
- トレーニング:セキュリティの重要性をユーザーに再認識させるとともに、脅威、その見分け方、および対応方法について教育します
サイバー レジリエンス強化する14個の具体策
サイバー レジリエンスは、以下のようなセキュリティ対策を実装し、継続的に評価することで強化できます。
- 例外的なアクセスの許可(最小権限の原則を適用)
- 状況に応じたルールに基づくロール(役割)ベースのアクセス ポリシーの適用
- 重要なリソースを保護した複数インスタンスの作成
- 脆弱性低減に向けたコンポーネントとベンダーの多様化
- サイバー攻撃ベクトルとその回避方法に関するユーザー教育
- 攻撃者による侵害の悪用を制限する多層防御戦略の採用
- パッチの迅速な適用
- 脅威および異常な動作に関する継続的なシステム監視
- ソフトウェア最新版への定期的な更新
- すべてのシステムに対する多要素認証(MFA)の適用
- 機密性の高いリソースおよびデータの分離に向けたネットワークのセグメンテーション
- ユーザー機能とシステム管理機能の分離(物理的、論理的、または両方)
- 新たな外部脅威および共通脆弱性識別子(CVE)に関する最新情報の把握
- 暗号化による機密データの保護
サイバー レジリエンスの有効性測定
サイバー レジリエンスの有効性は、脅威または攻撃の検知、緩和、解決に要した時間間隔で最終的に評価されます。サイバー レジリエンスの有効性を正確に測定するには、まず以下を含む複数の主要指標に関連するデータを把握し、収集することが必要です。
指標カテゴリ | 概要 |
|---|---|
技術指標 | 技術的な侵害・障害への検知、対応、復旧能力を評価 |
人的指標 | 従業員のセキュリティ行動や教育・訓練による対応能力を測定 |
モデルベース指標 | 各種フレームワークを用いて組織のレジリエンス成熟度を体系的に評価 |
組織指標 | 組織のガバナンス、ポリシー、リスク管理体制の強さを提示 |
脅威インテリジェンス指標 | 脅威を検知・分析し、対応するまでの精度と迅速性を測定 |
技術指標
サイバー レジリエンスの定量測定は、パフォーマンスの評価および潜在的なリスクや脆弱性の特定を通じて収集できます。測定対象となる技術システムには、以下のようなものがあります。
- データ保護
データ侵害の件数、侵害されたレコード数、インシデントの検知および解決までに要した時間 - 災害復旧
目標復旧時間、実施した災害復旧テスト、災害復旧を要したインシデントの件数 - ネットワーク セキュリティ
成功した攻撃および試行された攻撃の件数、特定された脆弱性の数、特定された脆弱性の深刻度、およびインシデントの検知および対応までに要した時間 - システム可用性
システムの稼働時間および停止時間、平均故障間隔(MTBF)、およびシステム障害の発生件数
人的指標
サイバー レジリエンスは、サイバー セキュリティに関連する人間の行動および意思決定に関するデータを記録・評価することで測定できます。これらのサイバー レジリエンス指標は、従業員およびエンド ユーザーのロール(役割)に焦点を当てており、主に以下の項目を対象とします。
- インシデント対応
組織がサイバー セキュリティ インシデントに対応し、侵害の影響を最小限に抑える能力を測定します - フィッシング対策
フィッシング詐欺の危険性と回避方法について、従業員に教育するためのプログラムの整備状況および実施頻度を測定します - ユーザー向け研修
従業員およびエンド ユーザー向けサイバー セキュリティ トレーニングに対する組織の投資状況を評価します
モデルベース指標
モデルベース指標は、組織全体のサイバー レジリエンスを測定する際に使用されます。技術指標、組織指標、人的指標を組み合わせることで、組織のサイバー セキュリティ体制およびサイバー レジリエンスの包括的な把握を可能にします。モデル ベース指標の例は以下のとおりです。
- サイバー セキュリティ成熟度モデル(CMMC)
- 総合評価スコア
- NISTサイバーセキュリティフレームワーク
組織指標
組織指標は、組織の内部構造やガバナンスなど、サイバー レジリエンスに寄与する特性やプロセスを指します。主な項目は次のとおりです。
- データ プライバシー
機密情報の保護およびデータ プライバシー規制への準拠に関する組織の能力 - ポリシーおよび手順
組織がサイバー セキュリティに関するポリシーおよび手順を文書化し、実装している程度 - リスク管理
サイバー セキュリティ リスクの特定、優先順位付け、および管理に関する組織の能力
脅威インテリジェンス指標
脅威インテリジェンスの監視および測定は、システム、ネットワーク、データを保護する上で不可欠です。組織がサイバー レジリエンスを測定する際に使用する主要な指標には、以下のようなものがあります。
- インシデントあたりのコスト
組織が経験した各インシデントに要するコスト - 誤検知率
組織の脅威インテリジェンス システムが生成する誤検知の件数 - 脅威検知率
検知・阻止された脅威の割合 - 検知までの時間
組織が脅威を検知するまでに要する時間 - 対応時間
脅威の検知後、組織が脅威の対応に要する時間
サイバー レジリエンス実現に向けた7つのステップ
1.重要な資産と脆弱性を特定する。
- オペレーションにおけるシステムの重要度および侵害された場合の影響を評価します。
- リスク スコアリングを使用して階層化されたリスク プロファイル マップを作成し、対応の優先順位付けを支援します。
- 既知のリスクと潜在リスクを特定します。
- リスク スコアに基づいて、攻撃を受ける可能性が最も高く、かつ組織への影響が最も大きいシステムから優先的にリスク軽減策を実施します。
2.効果的なサイバー セキュリティ対策で保護する。
- すべてのシステムおよびユーザーを対象としたサイバー セキュリティ ポリシーを策定・適用します。
- デジタル資産の保護を目的として、技術的なセキュリティ ソリューションを活用します。さまざまなサイバー セキュリティ ソリューションを検討できますが、主なものとしては、エンドポイント保護ツール、ファイアウォール、暗号化、データ損失防止(DLP)、ネットワーク アクセス制御、多要素認証(MFA)があります。
- これらのソリューションは、セキュリティ意識向上トレーニングおよびソフトウェア更新とセキュリティ パッチを適時に適用するプロセスと組み合わせて運用する必要があります。
3.サイバー脅威を迅速に検知する。
- 攻撃や不正行為、またはその前兆となり得る不審なアクティビティを適時に検知するため、継続的な監視に対応するシステムを実装する必要があります。
- 被害の拡大や影響を最小限に抑えるため、自動化されたインシデント対応システムを導入する必要があります。
4.インシデントには連携のとれたアプローチを用いて対応する。
- インシデント対応を有効に行うには、組織横断的な知見を取り入れた計画を策定し、発生の可能性が高いシナリオの特性を反映したシミュレーションで十分に検証しておくことが重要です。
- 計画およびテストには、悪意のあるインシデント、事故、災害を対象に含める必要があります。これらはいずれもサイバー レジリエンスに影響を与えます。
- インシデント対応計画には、システムとプロセスだけでなく、ロール(役割)と責任を詳細に定義する必要があります。
5.侵害発生後に重要な機能とサービスを復旧する。
- インシデント発生後は、事前に行っておくシステムの特定および優先順位付けが極めて重要な役割を果たします。ステップ1で確立した指針に加え、情報漏洩やその他のセキュリティ インシデント発生後にシステムを連携して復旧できるよう、チームの教育およびプロセスの整備を行う必要があります。
6.サイバー レジリエンス計画の見直しと更新を行う。
- 各ステップの有効性および効率性を測定するためのレビュー手順を整備します。
- レビューから得られた知見は、関係者および経営層に報告するとともに、各ステップおよびプロセスに反映させる必要があります。
7.サイバー レジリエンスの文化を醸成する。
- サイバー レジリエンスの文化は、経営層が優先度の高い課題として位置付け、その重要性を社内に浸透させることから始まります。
- 組織文化に定着させるための具体的な組み込みとして、実践的なトレーニング プログラムの策定が挙げられます。これらは、組織に適した現実世界のシナリオに重点を置く必要があります。
- トレーニングは、サイバー レジリエンスの強化に直結する具体的な手法を従業員に提供するため、対象グループやロール(役割)に応じてカスタマイズする必要があります。
- サイバー レジリエンスをサポートする従業員の取り組みは、適切に評価・表彰する必要があります。
サイバー レジリエンスをサポートする経営層の役割
サイバー意識の高い文化を推進する
経営層は、自ら直接、または組織内の関係者を通じて、サイバー レジリエンスおよびサイバー セキュリティの重要性に関する定期的かつ意義のあるコミュニケーションを確保する必要があります。これには、悪意のあるものおよび過失によるものの両方のサイバー脅威やインシデントについて、タウンホール ミーティングやその他のオープンな議論の場を設けることが含まれます。さらに、経営幹部および管理職は、ベスト プラクティスやポリシーを順守することで模範を示し、サイバー レジリエンスに対するコミットメントを体現することが求められます。
外部との情報共有を促進する
ITおよびセキュリティ チームに対して、他の組織、業界団体、政府機関との情報共有ネットワークへの参加を許可します。
継続的な改善を奨励する
脆弱性の特定および防御強化を目的として、定期的なセキュリティ監査およびリスク評価をサポートします。また、インシデントからの教訓を学習し、それをポリシーや手順に反映させるための仕組みを構築できるよう、ITおよびセキュリティ チームに予算を提供します。
サイバー レジリエンスに関するポリシーと手順を適用する
ITおよびセキュリティ チームには、サイバー レジリエンスの取り組みをサポートする包括的なポリシーを策定・維持・徹底するために必要なリソースを提供します。これらのポリシーは、オペレーションのあらゆる側面を対象とし、すべての部門の代表者からの意見を反映させる必要があります。ポリシーは、変化する脅威および規制要件に対応できるよう、定期的に見直しおよび更新することが推奨されます。
サイバー意識向上とトレーニングに投資する
サイバー レジリエンスおよびサイバー セキュリティは、すべての従業員が常に意識しておくべき事項です。前述のコミュニケーションに加え、従業員には成功事例やインシデントに関する情報を継続的に共有し、そこから得られた教訓を明確に伝えることが望まれます。
トレーニングや教育資料を活用して、サイバー レジリエンスおよびサイバー セキュリティのベスト プラクティスを共有し、定着を図ることが望まれます。また、ITおよびセキュリティ チームには、最新の動向を把握し、組織内で適切に実装できるよう、ベスト プラクティス、プロセス、およびツールに関する高度なトレーニングへのアクセスを提供することが推奨されます。
明確なビジョンと戦略を策定する
経営層や取締役会を含むリーダー層の参画は、サイバー レジリエンスにおいて極めて重要です。リーダー層は、プログラムの戦略目標を定め、それが組織全体の目標とどのように整合するかを示すことで、サイバー レジリエンスのビジョンおよび戦略を策定します。
サイバー レジリエンスの利点
規模に関係なく、すべての企業はサイバー レジリエンスの優先度を高めることで利点を得ることができます。サイバー レジリエンスの代表的な利点には、以下の5つがあります。
- コンプライアンスの向上
- 生産性の向上
- 予期しない混乱による財務的影響の最小化
- 評判および顧客信頼の保護
- 全体的なサイバー セキュリティの強化
まとめ
サイバー インシデントがもたらした広範な影響により、経営幹部、取締役、規制当局、および政府指導者の注目が集まりました。その結果、彼らは、自らの組織がサイバー レジリエンスを備えるよう、ITおよびセキュリティ チームに働きかけるようになりました。サイバー レジリエンスの導入や強化に向けた取り組みは、セキュリティの向上とシステム稼働率の改善につながります。堅牢なサイバー レジリエンス プログラムを導入している企業では、オペレーション全体の改善が見られています。
サイバー レジリエンスに関するよくある質問
サイバー セキュリティとサイバー レジリエンスの違いは何ですか?
| サイバー セキュリティ | サイバー レジリエンス |
|---|---|---|
定義 | サイバー犯罪からシステム、ネットワーク、および機密データを保護するために設計された情報技術、プロセス、および対策で構成 | サイバー セキュリティ、データ セキュリティ、ITインフラ、ビジネス機能、事業継続および災害復旧(BCDR)を網羅 |
目的 | サイバー攻撃リスクの低減と、システム、ネットワーク、テクノロジーの意図的な悪用から組織を保護 | 攻撃者が革新的なツール、ゼロデイ脅威、および突然の攻撃において優位に立つ可能性があることへの企業の認識度を示す |
対象領域 | 業務上重要なデータ、システム、アプリケーションを保護する方法を扱う | サイバー インシデントなどの事象が発生した場合でも、業務オペレーションの中断を最小限に抑えて業務を遂行するための戦略を提供する |
アプローチ | データおよびネットワークへの不正アクセスの防止および抑止を目的として、複数のツール、技術およびプロセスを組み合わせて用いる防御戦略 | 事前準備、防止、対応、およびインシデント発生前のプロセスとオペレーションへの円滑な復旧を支援 |
特長 | 脅威を遠ざけ、災害の発生そのものを未然に防止することを目的とする | 攻撃発生時における迅速な復旧および事業継続を重視 |
防御対象 | ランサムウェア、マルウェア、その他のサイバー犯罪者による脅威からの攻撃を防御および回避 | 侵害発生後における被害の緩和およびミッションクリティカルなシステムを迅速に復旧 |
サイバー セキュリティとサイバー レジリエンスには多くの違いがありますが、両者は組み合わせることで最も高い効果を発揮します。多くのサイバー レジリエンスの手法は、サイバー セキュリティ対策を前提に、それを活用または強化します。
サイバー セキュリティとサイバー レジリエンスを組み合わせることで、組織の重要なシステムとデータを内部および外部の脅威から保護するとともに、予期しない事象が発生した際の混乱や被害を最小限に抑えることが可能になります。
サイバー リスクとは何ですか?
サイバー リスクとは、情報システムの問題に起因する財務上の損失、業務の中断、または組織の信用失墜が生じる可能性を指します。サイバー リスクには外部起因と内部起因の2種類があります。これらは、サイバー犯罪、サイバー テロ、企業スパイ活動、サード パーティの脆弱性、悪意のある内部関係者、単純な人的ミスなど、さまざまな形で発生します。
サイバー レジリエンスはITガバナンスにどのように組み込むことができますか?
サイバー レジリエンスをITガバナンスに組み込むには、サイバー セキュリティ対策を組織全体のIT戦略および管理フレームワークに統合することが必要です。これには、サイバー リスクの管理に必要な堅牢なポリシー、手順、および制御の確立が含まれます。
