求められるのは防御だけでなく“回復力” ― 今、実践すべきサイバーレジリエンスとは

セキュリティ対策が「攻撃をいかに防御するか」から、攻撃者に侵入されてしまうことを前提とした対策へと大きな変化を迫られるなか、被害が発生したあとの回復・復旧を見据えた「サイバーレジリエンス」が注目されています。サイバーレジリエンスとは具体的に何を示しているのか、基本から実践ステップまで詳しく解説します。

サイバーレジリエンスとは

サイバーレジリエンスの定義

レジリエンスには「回復力」という意味があり、サイバーレジリエンスはサイバー攻撃からの回復力・対応力などを指します。サイバー攻撃やインシデントが発生したときに、迅速に回復・復旧し、業務の停止を最小限に抑えるための環境・体制と言えるでしょう。

NIST（米国国立標準技術研究所）では、「サイバー攻撃など、企業のデジタル資産の信頼性・可用性・完全性を損なう『不利な状況』に備え、対応し、回復し、適応する能力」と定義されており、技術的な対策だけでなく、組織として人やプロセスも含めた包括的なアプローチが求められます。

現状と課題

サイバーレジリエンスへの注目度は日に日に高まっており、EUでは2024年12月、EU市場で流通するデジタル要素を含む製品全般についてサイバーセキュリティ対策を義務化する「サイバーレジリエンス法（CRA）」を発効、2027年12月以降、全面適用されます。ほかにも、法規制やガイドラインの整備が進んでいますが、求められる環境・体制を整備できている企業はごく限られるのが現状です。

その要因と言えるのが、慢性的なセキュリティ人材不足です。クラウドやAIの活用などシステムが複雑化し、対応すべき範囲が広がるなかで、高度な知識をもって対応できる人材の確保は大きな課題となっています。

サイバーレジリエンスのメリットと必要性

ダウンタイム短縮・コスト削減

システムが停止すると、すべてのビジネスが止まり、売上機会の毀損や取引先からの信頼失墜、顧客離れにつながるリスクがあります。さらに、情報漏えい時の顧客への補償や、緊急でデータを復元するための追加コストも発生しかねません。サイバーレジリエンスにより、システムのダウンタイム、事業の中断を短縮することで、こういった金銭的な損失や予期せぬ追加コストを最小限に抑えられます。 

セキュリティ強化

サイバーレジリエンスは、攻撃を受けた後の回復に重点を置きますが、リスク管理や、インシデント対応計画、継続的なモニタリングと改善など、脅威への包括的なアプローチをおこなうものです。ベースには、当然、堅牢なサイバーセキュリティ対策があり、全体のプロセスや状況にあわせて、対策も強化し続けることになります。

規制・ガイドライン対応

EUのサイバーレジリエンス法だけでなく、セキュリティに関する規制・ガイドラインは数多くあり、日本国内でも法整備が進むなど、企業には早期の対応が求められています。

サイバーレジリエンスに対応することで、機密情報や個人情報の保護体制などが強化され、これらの法規制・ガイドラインへの対応要件を満たす体制・環境が整います。

サイバーレジリエンス実践のための5つのステップ

＜ステップ 1＞資産を把握する

「業務を継続できる環境を、適切に回復する」ためには、まず「あるべき状態」を知ることから始まります。適切に対処するためには、組織・従業員・関係者にとって必要なすべての資産・システム・サービスなどを特定したうえで、それぞれのリスクを把握することが欠かせません。

部署単位で導入しているサービスなど、企業としてすべてを把握しきれていないケースも多く、それでは適切に回復できたかどうかを判断できません。また、侵入をいち早く検知し、対処するためにも、あらゆる資産を把握したうえで、包括的にリスクを評価することが重要です。 

＜ステップ 2＞適切なアクセス権限を許可する

ゼロトラスト・セキュリティにも通じる部分ですが、サイバーレジリエンスの前提として、適切なアクセス権限の管理が欠かせません。特権アカウントを過剰に利用することは絶対に避け、ユーザ、プロセス、デバイスなどを限定してアクセスを許可することがポイントです。

そのうえで、個々のユーザの行動を把握できるよう環境を整備することで、通常のパターンから逸脱し、リスクをもたらす可能性がある行動を素早く発見できるようになります。 

＜ステップ 3＞インシデント対応計画を策定する

前提となる環境の整備とあわせて、必要なのがインシデント対応計画の策定です。事業継続を担保するために必要なツールや物理的リソース、重要なデータやネットワークプロセスといった技術的な環境・仕組みの整備だけでなく、チームメンバーそれぞれの役割・責任を確認したうえで、どう動くべきかまで想定し、計画することが求められます。

また、復旧・回復時の手順だけでなく、セキュリティ体制を改善する方法の学習など継続的な取り組みも検討する必要があります。 

＜ステップ 4＞従業員向け研修をおこなう

サイバーレジリエンスでは従業員も重要な役割を担います。インシデントにつながる人為的なミスの削減や、脅威の侵入・情報漏えいなどが発生した際に適切に対応できるよう、従業員向けの研修は欠かせません。具体的には、適切なパスワード管理の方法やインシデント報告の流れなどから、フィッシングの手口、モバイルデバイスやリモートワークにおけるセキュリティ、ソーシャルエンジニアリングなど最新の攻撃手法について、研修をおこない、セキュリティへの意識向上を図ります。

＜ステップ 5＞継続的に改善する

攻撃者は常に新しい脆弱性を悪用する方法などを模索しています。サイバーレジリエンスも脅威モデリングなどにより新たな攻撃を予測したうえで、事前に対策することが理想です。

また、企業のシステムもビジネスの変化に追随する必要があり、新たなサービスなども迅速に統合できるよう、対処し続けなければなりません。セキュリティの最新動向やベストプラクティスなども取り入れ、継続的な改善に取り組むことが不可欠です。

サイバーレジリエンス実践に必要なツール

サイバーレジリエンスは、なにか1つのツールやプラットフォームで対処できるものではなく、フェーズごとに、複数のツールを組み合わせて活用することが重要です。例えば、下記のようなツールが挙げられます。

• バックアップ・リカバリツール
• 脆弱性診断・管理ツール、ペネトレーションテスト、パッチ管理
• IAM、MFA（多要素認証）など認証ソリューション
• SIEM 、EDR/XDRなどの監視・検知ソリューション
• 自動化・オーケストレーション（SOAR）

このほか、システムに内在する脆弱性やリスクを管理するものとして注目されているのが「SBOM（ソフトウェア部品表）管理ツール」です。これは、ソフトウェアを構成する部品（コンポーネント）やそれぞれの依存関係を可視化するもので、脆弱性の早期発見が可能になると期待されています。

これらのツールを個別に管理・運用するのではなく、ログを集約・監視するSIEM、自動化・オーケストレーションを担うSOARを中心に統合的に運用することが重要です。

サイバーレジリエンス実践にあたっての注意点・リスク

サイバーレジリエンスに取り組むにあたって注意すべきは、「企業によって状況は異なり、適切に運用し続ける必要がある」ということです。前段では必要なツールを挙げましたが、企業によって必要なツールも最適な環境も異なります。たとえ高額なツールを導入しても、自社に合わない可能性もあるほか、適切に運用できなければ意味がありません。

また、対策が形骸化しないよう、常に改善を続けることも欠かせません。企業のシステムも変化し続けており、定期的に「現状のツールや計画で、適切に回復できるのか」を確認することが必要です。特にバックアップについては、いざというときにデータを復旧できないケースも少なくありません。リストア手順の確認・テストのほか、オフラインでのバックアップ確保なども、事前に検討することをお勧めします。

Splunkソリューションでサイバーレジリエンスの向上を

Splunk Enterprise Securityは、さまざまなログを集約し、検知・調査・対応までを一貫して実現するSIEMソリューションとして、企業のサイバーレジリエンス向上に向けた取り組みを支援します。IT環境をリアルタイムで可視化するだけでなく、状況を分析してインサイトを獲得したうえで、能動的に防御することも可能です。さらに、オペレーションを自動化するためのSplunk SOARも提供しており、両者を組み合わせることで、サイバーレジリエンスに必要な基盤を実現できます。

サイバーレジリエンスの基本にあるのはデータです。攻撃による異常を見分けるためにも、データ活用は不可欠です。データを統合して可視性を担保し、迅速なインシデント対応を実現するためにもSplunkのようなソリューションの活用は有効と言えるでしょう。