5分でわかる
セキュリティコラム
事業継続性を高める新しいセキュリティ対策
「サイバーレジリエンス」とは
巧妙化するサイバー攻撃にいかに対処するかは、企業にとって事業継続性を左右する重要な課題です。こうした中、企業には「サイバー攻撃を受けることを前提」として攻撃を受けた後の「復旧までを想定した対策」を講じるサイバーレジリエンスの視点に立った対策が求められています。サイバーレジリエンスの概要、従来のセキュリティ戦略との違い、導入に際しておさえるべきポイントなどについて解説します。
サイバーレジリエンスとは?
これまで多くの企業が採用していたセキュリティ対策は、「社内」「社外」を分離し、境界型のネットワークを構築することで外部からのサイバー攻撃を未然に防ぐものでした。安全な社内と危険な社外に分離し、その境界上でセキュリティ対策を実施するという考え方です。 しかし、DX(デジタルトランスフォーメーション)の推進やビジネスのグローバル化、クラウドの普及などにより、インターネット上の社外のサーバーで重要な情報を管理することも多くなり、従来の境界型のセキュリティ対策ではセキュリティリスクをゼロにすることは難しく、マルウェア感染による機密情報の漏洩、ランサムウェア攻撃による身代金の窃取などの被害が後を絶ちません。機密情報の流出やシステムが停止することがあれば、たちまち事業の継続に影響を与えます。 そこで最近では、従来の境界型セキュリティに頼らず、社外からのサイバー攻撃だけでなく、社内と社外の通信のすべてを「信頼できないもの」として対策を講じる「ゼロトラストセキュリティ」の考え方にもとづいて対策する企業が増えています。 「サイバーレジリエンス」は、このゼロトラストセキュリティをさらに進化させた考え方です。ゼロトラストセキュリティにもとづいて対策しても、サイバー攻撃を完全に防ぐことが難しいことから、「攻撃を受けることを前提」とした、サイバー攻撃に対する予測力・抵抗力・回復力・適応力の強化に焦点を当てています。攻撃を完全に防ぐことを最終目標にするのではなく、攻撃を受けることを前提として、セキュリティインシデント(事件や事故)発生時に被害を低減しつつ、早急にシステムを復旧することで事業継続性を高め、企業経営への影響を少なくすることをめざします。
この記事に関連するおすすめの製品
サイバーレジリエンスソリューション
資料ダウンロード
ダウンロードサイバーレジリエンスが企業に求められる理由
耐性や回復力を表す「レジリエンス」という言葉が示すとおり、サイバー攻撃被害が発生しても被害を最小限に抑え、迅速に回復する能力を高める「サイバーレジリエンス」の強化が企業に求められているのは前述のとおりですが、サイバーレジリエンスの強化は、企業の競争力や信頼性にも影響します。 例えば、2024年中に発効が予定されている「EUサイバーレジリエンス法/EU Cyber Resilience Act(CRA)」では、欧州連合(EU)内で事業を行うすべての企業に対してサイバーセキュリティの基準を定め、遵守を義務付けています。 ネットワークに接続するすべてのデジタル製品が対象となっており、日本企業も例外ではありません。EUサイバーレジリエンス法が発効されると、36カ月以内に規則を適用する必要があり、ハードウェア・ソフトウェア問わず製品の設計、開発、保守・運用といったライフサイクル全体に渡って厳しいセキュリティ要件が課せられます。 違反した場合は制裁金として最大でグローバルでの年間売上高の2.5%または1500万ユーロ(1ユーロ160円換算で約24億円)のいずれか高い方が科される可能性があるため、該当する企業は早急にサイバーレジリエンスを強化する必要があります。
サイバーレジリエンスの考え方にもとづく
セキュリティ対策の構築
では、サイバーレジリエンスの考え方にもとづく具体的なセキュリティ対策を考えてみましょう。
押さえるべきポイントは主に次の4点です。
- 情報資産の洗い出しとリスク評価
- システムの健全性の維持
- サイバー攻撃被害の局所化
- 事業再開に向けた回復力の向上
これら4つを実現するために必要となる施策について解説します。
情報資産の洗い出しとリスク評価
セキュリティ対策の第一歩は、守るべき資産の状況を正確に把握することから始まります。守るべき資産があいまいでは、事業継続性を見据えた効果的なセキュリティ対策を講じることができません。クラウド、業務サーバー、PC、データといった情報資産についてどのようなものが存在し、どのように管理・使用されているか、その状況を洗い出しましょう。 そして、それらの情報資産それぞれに対して「どのような危険性が想定されるか」、「そこでどのような被害が生じるか」、「その被害は事業の継続にどのような影響を及ぼすか」といったリスクを洗い出し、サイバー攻撃の影響・被害を可視化・分析・評価します。 これは「リスク評価(アセスメント)」と呼ばれるプロセスで、そのリスクの受容度合いに応じて適切な対策を検討・決定することになります。つまり、リスク評価を正しく実施することで、サイバー攻撃を受けた場合の被害を低減することが可能となるのです。
システムの健全性の維持
サイバー攻撃の被害を低減するためには、クラウドサービスやエンドポイントの安全性が常に保たれた状態にすることが重要です。具体的には、クラウドサービスやエンドポイントの脆弱性やセキュリティ設定を可視化・監視するセキュリティポスチャマネジメントの導入などです。 急激に普及したテレワーク環境では、エンドポイントが社外に置かれることになります。また、クラウド環境ではその設定が正しく行われなければサイバー攻撃の危険性を高めてしまいます。こうした懸念からクラウドやエンドポイントのセキュリティを継続的に管理・維持するポスチャマネジメントは、近年注目が高まっています。 クラウドセキュリティポスチャマネジメントについては、下記コラムもあわせてご覧ください。
おすすめコラム
クラウドの設定ミスを防ぐCSPM(クラウドセキュリティポスチャマネジメント)とは?
サイバー攻撃被害の局所化
サイバー攻撃の被害を局所化するために、SDP(Software-Defined Perimeter)、SD-WAN(Software Defined Wide Area Network)、SDN(Software Defined Networking)によるネットワークの細分化(マイクロセグメンテーション)も効果的です。 マイクロセグメンテーションとは、ネットワークを小さい単位(セグメント)に分割し、許可されたデバイスやユーザーのみ、そのセグメントにあるデータなどにアクセスできるようにする手法を指します。 この概念自体は新しいものではありませんが、セグメントをより細かく区分けすることによって万一攻撃を受けることがあっても拡散が抑止され、被害を局所化し低減することができます。
事業再開に向けた回復力の向上
サイバー攻撃を受けた際には、事業再開に向けた復旧時間を短縮することが大切です。そのためには、サーバーやネットワーク機器、ストレージなどのハードウェアの二重化、サブシステムの運用、予備PCの用意といったシステムの冗長化とデータのバックアップを実施することが重要です。 また、バックアップシステム自体がランサムウェアに感染すると、どの時点のバックアップデータが安全か判断できなくなり復旧に時間を要する、もしくは被害を受ける直前の水準まで復旧できなくなるため、バックアップシステム自体のランサムウェア感染防止対策やバックアップデータの保全の仕組みも重要です。 復旧の仕組み・手順の構築やシステムの監視、インシデント発生時の対応には、専門組織であるCSIRT(Computer Security Incident Response Team)を設置することも有効です。 サイバー攻撃を受けることを前提として、事業継続を目的とするサイバーレジリエンスの考え方では、実際にインシデントが発生した際には適切な対策を迅速にとらなければなりません。検知した異常の内容把握、影響の想定、関係各位への情報開示、被害の拡大を防ぐための対応、復旧対応などをスムーズに実行するためには、平時から手順の整備や実践的な演習などを行い、“有事”に備えることが不可欠です。 それだけではなく、インシデント発生時の初動対応の定型的な作業を自動化することにより、セキュリティインシデントのアラート処理にかかる時間を大幅に減らし、事業再開までの時間をさらに短縮することが可能となります。
サイバーレジリエンスを導入するうえでのポイント
サイバーレジリエンスの考え方にもとづく対策が奏効すれば、万一サイバー攻撃を受けることがあっても事業継続への影響を軽微にとどめることが可能です。反対に、その対応を誤れば経営上の被害が甚大なものになりかねません。サイバーレジリエンスの考え方にもとづくセキュリティ戦略は「コスト」ではなく企業の競争力や信頼性を高める「投資」として捉え、経営戦略として進めていく必要があります。なかでも、事業継続や企業経営に向けたリスク評価を行うリスクアセスメントのプロセスは、その最たるものです。 状況に応じて経営層による判断が適切に行えるよう、セキュリティ戦略の策定や個別の対策に経営層が関与することが必須となります。サイバーセキュリティに対する経営者の関与については、経済産業省と独立行政法人情報処理推進機構(IPA)が共同で策定・公開した「サイバーセキュリティ経営ガイドライン」(※1)においても詳述されています。
社内のセキュリティ意識を高める
企業のセキュリティ対策を強固なものにする“最後の砦”は、個々の組織や従業員一人ひとりの行動です。CSIRTや担当部門が定めたセキュリティ戦略の方針や具体的な対応手順は社内で周知徹底し、いざというときにも慌てず対応できるように準備しましょう。 また、「マルウェアが仕込まれた添付ファイルを開いてしまう」「個人情報の入ったPCを紛失してしまう」「リモートワークで機密情報が漏洩してしまう」といったように、従業員の行動もセキュリティリスクになり得ます。従業員一人ひとりがセキュリティ意識を高め、主体的に対策を実践できるよう、セキュリティ教育の機会を定期的に設けることも大切です。
サイバーレジリエンスは巧妙化するサイバー攻撃から
”立て直す”考え方
IT技術の進歩によってセキュリティ技術やソリューションは高度化していますが、サイバー攻撃もさらに巧妙化しており、従来のように「防御」だけをしていてもその危険性をゼロにすることは不可能といえます。実際にサイバー攻撃は年々激化しており、その被害は公的機関や大企業から中小企業までサプライチェーン全体に広がっています。今や、企業経営においてインターネット接続は不可分である以上、その企業規模にかかわらずサイバー攻撃への備えは必須です。 その点を踏まえると、被害を低減し、復旧をできる限り早く行うことで事業の継続性を高めることができるサイバーレジリエンスは、企業経営を考えるうえで大きな力となるでしょう。サイバー攻撃から守る防御力に加え、攻撃に対する予測力・抵抗力・回復力・適応力を備えることが、今後のセキュリティ対策において重要な鍵となるのです。
この記事に関連するおすすめ製品
おすすめコラム
IoT時代に重要なPSIRTとは?CSIRTとの違いも解説