サイバーレジリエンスとは？ 定義や企業に求められる理由について解説

コロナ禍でテレワークが普及し、企業を取り巻くIT環境は大きく変わりました。IT環境の変化に合わせてセキュリティ対策も変化が必要であり、従来型のセキュリティ対策では巧妙化・高度化する攻撃を防ぎきれなくなっています。そのようななかで、近年注目を集めるセキュリティの考え方が「サイバーレジリエンス」です。
この記事では、サイバーレジリエンスの概要から企業に求められる理由、導入するメリット、導入方法を解説します。

1. サイバーレジリエンスの定義
2. サイバーレジリエンスが企業に求められる理由
3. サイバーレジリエンスを導入するメリット
4. サイバーレジリエンスの導入方法

サイバーレジリエンスの定義

サイバーレジリエンス（Cyber Resilience）とは、情報セキュリティとサイバー攻撃を受けた際の耐性力・回復力を表す言葉であり、新しいセキュリティの考え方です。レジリエンスについては、「JISQ22300:2013 社会セキュリティ−用語」では次のように定義されています。

『複雑かつ変化する環境下での組織の適応できる能力
注記　レジリエンスは、中断・阻害を引き起こすリスクを運用管理する組織の力である。』

セキュリティ対策の実施はもちろんのこと、攻撃を完全に防ぐことは難しいという前提のもとで、サイバー攻撃を受けたあとの回復力や適応力に焦点を当てたセキュリティの考え方です。

サイバーレジリエンスが企業に求められる理由

従来、企業が持つ重要な情報は社内ネットワーク内に保管され、社外とのネットワークの境界線をもとにセキュリティ対策を実施する「境界線型セキュリティ」の考え方が一般的でした。

しかし、近年クラウドサービスの業務利用やテレワークの普及により、企業は社内・社外を問わずネットワークを接続することが求められています。社外にも重要な情報を保管することも多くなり、企業を取り巻くIT環境が変化するなかで、従来型のセキュリティ対策では対策が難しくなっています。

そこで、社内・社外のネットワークの境界線にとらわれず、すべての通信を「信頼しない」という前提のもとでセキュリティ対策を実施する「ゼロトラスト」に注目が集まりました。ゼロトラストの概念を基にしたセキュリティでは、すべての通信で認証などのチェックが行われ、社内・社外のネットワークを問わず安全な通信を実現できます。

しかし、ゼロトラストセキュリティでもすべての脅威を防ぎきることは難しいとされており、サイバー攻撃を受ける前提のもとで、事業継続性を考慮した対策が必要とされています。

サイバーレジリエンスは十分なセキュリティ対策を実施した上で、「もしもの際の準備もしっかりと整えておく」という考え方です。どのような状況下でも、事業を継続できるようにするためには、不測の事態でも被害を低減しつつ、システムを早急に復旧する必要があります。

サイバーレジリエンスを導入するメリット

サイバーレジリエンスを導入することで、システムの「抵抗力」と「回復力」を高めることができます。例えば、ランサムウェアなどの被害にあった際、被害の「局所化」やシステムの縮退運転（機能や性能を制限した状態で稼働を維持すること）で「抵抗力」を高め、事業を通常状態と同じように回復するまでの時間を短縮することが可能です。

ランサムウェアはデータを暗号化して利用できなくし、復号のために身代金を要求するマルウェアですが、データが利用できなくなることで事業が停止してしまうリスクがあります。サイバーレジリエンスを導入することで、このようなサイバー攻撃に対して事業継続性を向上させることが可能です。

事業継続性の向上は、企業として堅牢なシステムを構築していることの証明にもなり、信頼性の向上も期待できるでしょう。

サイバーレジリエンスの導入方法

サイバーレジリエンスの導入・向上のためには、現状の把握と迅速なサイバー攻撃の検知が欠かせません。そのために必要なことは次の点です。

• 企業、組織における重要な資産の洗い出し
• リスクの洗い出し
• リスクに対する対応方法の検討
• ネットワークの可視化
• 監視体制の構築
• 監視体制のトレーニング

効果的なセキュリティ対策を実施するためには、企業・組織にとって何が重要であるか、また具体的にどのようなリスクがあるか、という点を洗い出すことが先決です。そのうえで、リスクに対する対応方法を検討し、具体的な対策方法を決定していきます。

また、クラウドサービスやテレワークなどの活用により、企業ネットワークは複雑化しているため、全体的なネットワークの可視化も欠かせません。サイバー攻撃の検知や対処のための監視体制・組織として、多くの企業では「CSIRT（Computer Security Incident Response Team）」と呼ばれるチームを設立しています。

CSIRTの設立だけでなく、その後の運用を通してトレーニングを行い、絶えず変化する環境に対応できるようにすることが重要です。

企業にとって、適切なセキュリティ対策を実施することは必須です。近年の働き方の多様化に伴う環境の変化に合わせて、ゼロセキュリティの考え方が広まっていますが、より進化したサイバーレジリエンスの考え方も導入するべきといえるでしょう。

しかし、常に変わり続けるセキュリティ環境に対して、適切な対応を実施し続けることは簡単ではありません。専門の知識・スキルを有する人材の存在が不可欠ですが、セキュリティ人材は不足していることもあり、人材の確保にも苦労することが多いでしょう。

そこで、日立ソリューションズ・クリエイトでは、サイバーセキュリティインシデントに対する事業継続を支援する「サイバーセキュリティコンサルティング」を提供しています。サイバーセキュリティのスペシャリストである「ホワイトハッカー」がコンサルティングを実施するものであり、サイバーレジリエンスの導入・向上に役立てられます。

ホワイトハッカーについては知りたい方には以下の記事もおすすめです。

• ホワイトハットハッカーに聞く「セキュリティに関する無理解」の怖さとは
• ホワイトハッカーとは？ クラッカーやブラックハットハッカーとは違うの？

サイバーレジリエンスの導入・向上についてお悩みの場合には、ぜひ一度お問い合わせください。