今やサイバー攻撃は、攻撃される可能性があるかどうかではなく、いつ攻撃されるかが問題となっています。攻撃者は、行政・公共機関も民間組織も区別せずに攻撃を仕掛けています。あらゆる組織に価値あるデータが存在するため、すべての組織が標的になり得るのです。
この新しい脅威状況においては、デジタルレジリエンス、すなわち攻撃に対する防御力、耐性、回復力を備えていることが組織運営上欠かせません。米国のあらゆる組織が攻撃者の標的になっている今、国家のインフラの中核にサイバーレジリエンスを組み込むことで、官民両部門を保護し、未来の安全性を高めることが重要です。
レジリエンスの高い国家を構築するための第一歩は、サイバーセキュリティに対して官民両部門の多くの組織が持つ根強い誤解を認識することです。
1. 攻撃は千差万別
多くのIT部門は、単一のセキュリティソリューションでITインフラ全体に対応しようとしています。このアプローチは攻撃者の思うつぼであり、システム全体にわたるラテラルムーブメントを許してしまいます。やすやすと攻撃されることがないように、重要な資産はITインフラ内で優先的に保護する必要があります。
2. 不正な振る舞いへの偏重
リーダーの多くは、攻撃者による不正な振る舞いや行動の検出に目を向けがちですが、許可された振る舞いの精査にも重点を置く必要があります。各組織は、IT環境へのアクセスを何に対して許可しているのかを批判的に評価し、判断次第で全体的なセキュリティ態勢が弱体化する可能性があることを理解しなければなりません。「デフォルトで拒否」というアプローチがゼロトラストです。ゼロトラストはモデルであって、製品ではありません。その仕組みはメインフレームシステムのセキュリティモデルと似ており、明示的に許可されたもの以外は一切許可されません。このアプローチでは、不正な振る舞いの特定が容易であり、環境を効果的に保護するためにはセキュリティポリシーの遵守が非常に重要になります。
3. 侵入されたら負けではない
攻撃者が環境内に侵入した時点で負けと考えがちですが、実のところ、攻撃者の目的達成を妨げることができれば、こちらの勝ちです。これが、多層型サイバーセキュリティが重要である理由です。多層型サイバーセキュリティでは、攻撃者が複数の障壁をくぐり抜ける必要があるからです。成熟した組織では、セキュリティデータを階層ごとに分類して取り込むことを始めています。たとえば、コンプライアンスに不可欠なデータもあれば、組織運営にとって重要な価値を持つデータもあります。セキュリティインシデントが検出された際、それを遡るとシステムパフォーマンスの異常が原因だったというケースは珍しくありません。何が重要かを理解し、そのデータを統合型プラットフォームに集約することが、こうした問題を迅速かつ効果的に特定するための鍵となります。
4. データ(プラットフォーム)に対する信頼
セキュリティは異常を管理する能力にかかっています。正常な状態からの微妙な逸脱に気づくことで、多くの場合、問題が大きくなる前にそれを特定して解決することができます。すべての異常がセキュリティインシデントになるとは限りませんが、セキュリティインシデントはすべて異常として現れます。異常はデータの至る所で見つかります。通常と異なるトラフィックパターン、リソース使用率の予期せぬ急上昇、ユーザーによる普段と違った振る舞いなど、現れ方は様々です。また、すべての異常が脅威の兆候であるわけではありません。正常なシステムアップデートや一時的な輻輳が原因で生じた無害なものもあります。これに対し、セキュリティインシデント(ランサムウェア攻撃やデータ漏えいなど)は、必ず異常がきっかけで始まります。課題となるのは、悪性と良性をどう見分けるかです。両者を見分けるにはデータ活用が不可欠であり、データの忠実性に対する信頼の確保が極めて重要です。
官民両部門は、サイバーセキュリティの取り組みを左右する共通の課題を抱えています。有能なサイバーセキュリティ人材が慢性的に不足しており、サイバー脅威に効果的かつ大規模に対応できる人材を獲得して維持するのが難しくなっているのです。加えて、AI、中でも生成AIの普及により、特にソフトウェア開発の分野では、諸刃の剣と言える状況が生まれています。つまり、AIは数々の利点をもたらす一方で、攻撃者の目的達成を容易にする側面もあり、このテクノロジーの効果的な活用をめぐる競争が始まっています。この点については、Splunkのセキュリティの現状レポートでも指摘しています。
さらに、SECの規制をはじめとする連邦政府の指令により、株式公開企業のサイバーセキュリティに対する取り組みは複雑さを増しています。こうした規制により機密情報を保護するための厳格な対策が求められるため、ただでさえ困難な状況がなお一層複雑化するのです。
問題は、行政・公共機関と民間組織が連携して国家のサイバーレジリエンスを強化するための基準が定まっていないという点です。Splunkの2025年の予測でも指摘したように、政府は重大な事象について再定義する必要があります。その際、それが単にサイバー防御の問題ではなく、レジリエンスというより広範囲に及ぶ問題であることを理解しなければなりません。重大度は、原因が何であれインシデントの発生時に迅速かつ効果的に回復できるかという観点で判断すべきです。実際にはこれが業務の中断や、ミッションクリティカルなオペレーションを維持する能力に影響することを認識したうえで、官民両部門が協力して取り組んでいく必要があります。
小規模な取り組みで官民連携がうまくいっている例があります。たとえば、LSUの学生主体のSOC (セキュリティオペレーションセンター)は有望なモデルといえます。次のステップは、こうした協力関係を大学や草の根のレベルから大手の企業や組織のレベルに引き上げることです。
より大規模な官民連携の成功例としては、有名な脆弱性「Log4Shell」に対する協力事業があります。これは世界経済フォーラムでも紹介されました。
各組織内でプロアクティブな取り組みを実施することが、レジリエンスの高い国家の構築をリードすることにつながります。たとえば、パスワードマネージャーを使用する、多要素認証を実施する、ソフトウェアを定期的に更新する、バックアップをテスト(および保護)するといったシンプルな行動が、レジリエンスの高い文化を醸成するうえでの基礎となります。Splunkを活用すると、IT環境をリアルタイムで可視化してインサイトを獲得できるため、脅威に対しリアクティブに対応するだけでなく、能動的に防御することができます。組織のレジリエンスの強度は、事象に対する耐性だけでなく、どれだけ早く回復できるかによっても評価されます。
誰もが安心できる安全な未来の礎を共に築きましょう。Splunkがこのミッションを後押しし、組織内からレジリエンスを強化して最も重要なものを保護できるようサポートします。組織内でデジタルレジリエンスの文化を醸成することが、社会全体のより安全な未来に向けた重要な第一歩です。
Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。
Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。