サイバーレジリエンスとは?その必要性や向上のポイントを解説
はじめに
情報セキュリティに関する話題の中でよく聞く用語「サイバーレジリエンス」。「今後はもっと企業のサイバーレジリエンスを高めていく必要がある」といった言い回しで用いられることが多い言葉です。
この記事では、近年耳にする機会が増えたサイバーレジリエンスという言葉について、その意味や概要、企業がサイバーレジリエンスを高めるポイントなどをご紹介します。
この記事では、近年耳にする機会が増えたサイバーレジリエンスという言葉について、その意味や概要、企業がサイバーレジリエンスを高めるポイントなどをご紹介します。
サイバーレジリエンスとは?
レジリエンス(resilience)とは、「回復力」や「弾力・弾性」などの意味を持つ英単語です。心理学用語では「困難や脅威に対してしなやかに適応し、回復する」などの意味を持ち、近年はビジネスパーソンに必要なスキルとして注目されています。
サイバーレジリエンス(cyber resilience)は、サイバー攻撃に対する回復力のことを指します。
分かりやすく説明すると、「障害やサイバー攻撃などのリスクに見舞われても、対する備えができていて正しい対応ができた上、早期に回復を図れる能力」だと言えます。
具体的には、システムに以下の能力が備わっていることがサイバーレジリエントな状態です。
・リスクを事前に予測した上、適切な備えができている
・万一の事態が起こっても、備えに基づき適した対応ができる
・困難な状況からも早期に回復できる
万が一の事態を未然に防ぐことと同様に、リスクに直面してもきちんと対応し回復を図れることが重要です。これからは、企業としてこのサイバーレジリエンスを身につけておくことが必要といえます。
サイバーレジリエンス(cyber resilience)は、サイバー攻撃に対する回復力のことを指します。
分かりやすく説明すると、「障害やサイバー攻撃などのリスクに見舞われても、対する備えができていて正しい対応ができた上、早期に回復を図れる能力」だと言えます。
サイバーレジリエントな状態とは
具体的には、システムに以下の能力が備わっていることがサイバーレジリエントな状態です。
・リスクを事前に予測した上、適切な備えができている
・万一の事態が起こっても、備えに基づき適した対応ができる
・困難な状況からも早期に回復できる
万が一の事態を未然に防ぐことと同様に、リスクに直面してもきちんと対応し回復を図れることが重要です。これからは、企業としてこのサイバーレジリエンスを身につけておくことが必要といえます。
サイバーレジリエンスの必要性
なぜ企業にとって、サイバーレジリエンスが重要とされるのでしょうか。ここでは、サイバーレジリエンスが企業に求められる背景についても見ていきましょう。
サイバーレジリエンスが整備されていることは、新たな顧客や新ビジネスの獲得にもつながります。企業によっては、国際標準化機構によるISO/IEC 27001などに準拠して事業を行っているケースもあります。なおISO/IEC 27001とは、情報セキュリティ管理システム(ISMS)により、資産セキュリティの管理条件が規定された国際標準です。ISO/IEC 27001はサイバーレジリエンスの高さを証明するものともいえ、企業の信頼性を高めることにもつながります。
サイバー攻撃などで企業のシステムが損害を受けると、大きな経済的損失を招くこともあります。経済的損失が生じると、取引先企業や顧客、従業員だけでなく株主や投資家などからも信頼を失ってしまうことになりかねません。
企業がサイバーレジリエンスを高めておくことは、これらの損失から企業を守ることであるともいえるでしょう。
サイバーレジリエンス向上の取り組みをシステム開発に取り入れるメリットは、業務そのものが効率化されることにとどまりません。そのような取り組みによりサイバーレジリエンスを高い状態で保つことができている企業は、サイバーレジリエンスが低い企業よりも結果的に企業競争力が高くなります。
顧客からの信頼を高め、新規ビジネスにつなげるため
サイバーレジリエンスが整備されていることは、新たな顧客や新ビジネスの獲得にもつながります。企業によっては、国際標準化機構によるISO/IEC 27001などに準拠して事業を行っているケースもあります。なおISO/IEC 27001とは、情報セキュリティ管理システム(ISMS)により、資産セキュリティの管理条件が規定された国際標準です。ISO/IEC 27001はサイバーレジリエンスの高さを証明するものともいえ、企業の信頼性を高めることにもつながります。
サイバー攻撃などのリスクから企業を守り、損失をなくすため
サイバー攻撃などで企業のシステムが損害を受けると、大きな経済的損失を招くこともあります。経済的損失が生じると、取引先企業や顧客、従業員だけでなく株主や投資家などからも信頼を失ってしまうことになりかねません。
企業がサイバーレジリエンスを高めておくことは、これらの損失から企業を守ることであるともいえるでしょう。
企業競争力や企業価値の向上のため
サイバーレジリエンス向上の取り組みをシステム開発に取り入れるメリットは、業務そのものが効率化されることにとどまりません。そのような取り組みによりサイバーレジリエンスを高い状態で保つことができている企業は、サイバーレジリエンスが低い企業よりも結果的に企業競争力が高くなります。
サイバーレジリエンスが高い企業・低い企業とは?
サイバーレジリエンスが適正に整えられている状態を「サイバーレジリエンスが高い」と表現します。ここでは、サイバーレジリエンスが高い企業と低い企業との違いについて、具体的にご説明します。
サイバーレジリエンスが高い企業では、万一攻撃を受けてしまった場合も、それ以上の拡散を防ぐことで最重要情報を保護することが可能です。
また、システムに被害が及ぶ可能性のある脅威を早期に察知するもできるため、脅威に適したブロックの実行などにより侵入を未然に回避します。
サイバーレジリエンスが低い状態だと、サイバー攻撃を受けた際に初期対応をすぐに取ることができず、被害を悪化・拡大させてしまうことにもつながります。巧妙で悪質なランサムウェアなどの侵入を許すと、その被害は瞬く間に広がっていきます。
ランサムウェア被害といえば、2017年に猛威を振るった「WannaCry(ワナクライ)」を思い浮かべる方も多いと思います。この事例では、WannaCryの被害が瞬く間に拡がった要因として、最新の状態にアップデートされていないコンピュータが使われていたことが指摘されました。
サイバーレジリエンスが高い企業
サイバーレジリエンスが高い企業では、万一攻撃を受けてしまった場合も、それ以上の拡散を防ぐことで最重要情報を保護することが可能です。
また、システムに被害が及ぶ可能性のある脅威を早期に察知するもできるため、脅威に適したブロックの実行などにより侵入を未然に回避します。
サイバーレジリエンスが低い企業
サイバーレジリエンスが低い状態だと、サイバー攻撃を受けた際に初期対応をすぐに取ることができず、被害を悪化・拡大させてしまうことにもつながります。巧妙で悪質なランサムウェアなどの侵入を許すと、その被害は瞬く間に広がっていきます。
ランサムウェア被害といえば、2017年に猛威を振るった「WannaCry(ワナクライ)」を思い浮かべる方も多いと思います。この事例では、WannaCryの被害が瞬く間に拡がった要因として、最新の状態にアップデートされていないコンピュータが使われていたことが指摘されました。
サイバーレジリエンスに基づいたセキュリティとは
企業の情報セキュリティと、サイバーレジリエンスは強く結びついています。ここでは、サイバーレジリエンスの考え方を基にした企業のセキュリティ体制づくりについてご紹介します。高いサイバーレジリエンスで構築されるセキュリティとは、どのようなものなのでしょうか。
情報セキュリティによって最終的に守られるものといえば、企業内の資産です。まずは、企業として守られるべき資産の状況を知ることから始めなければなりません。セキュリティ体制の構築は、その後ということになります。
企業内のサーバーやクラウド、パソコン、内部データなどに含まれる情報資産とその状況について、洗い出しを行いましょう。各資産において「想定されるリスク」「リスクによる被害の詳細」、「被害による事業への影響」について検証します。その後、各資産へのサイバー攻撃による影響を分析し、評価しましょう。自社の情報資産に関するリスク評価、つまりアセスメントを行っていくのです。リスク評価の実施により、万一システムが攻撃を受けた場合も被害を最小限に抑えることが可能となります。
サイバー攻撃などのリスクによる被害を抑えるには、利用しているクラウドやエンドポイントの安全性が担保されていなければなりません。たとえば、近年急増しているテレワーク下の環境では、社内にエンドポイントが置かれないこととなります。
このような状況を踏まえ、クラウドや各エンドポイントのセキュリティを常時管理する「ポスチャーマネジメント」を導入するなどし、継続的に安全確認ができる状況を整えておく必要があるでしょう。
万一サイバー攻撃に遭った際も、資産を守るためには被害をできるだけ最小限にとどめる必要があります。そのため、ネットワークを細分化する取り組みも有用となるでしょう。このネットワークの細分化は「マイクロセグメンテーション」と呼ばれます。
マイクロセグメンテーションは、ネットワークを「セグメント」と呼ばれる小さな範囲に分け、権限のあるデバイスやユーザのみをアクセス可能とする手法です。これを取り入れることで、攻撃を受けてもそれ以上の拡散を防ぎ、被害が最小限に抑えられます。
障害やサイバー攻撃などで事業が滞ってしまった場合、復旧のための時間はできるだけ短くしなければなりません。万一に備え、システムを冗長化したり、定期的にデータをバックアップしたりするなど基本的な取り組みを行い、復旧のスピード化に向け準備しておく必要があります。
参考コラム:バックアップについて
上記のような備えを整えておくことに加え、万一の事態に備えて手順をマニュアル化したり、シミュレーションを含む研修を実施したりするなどし、事案が発生しても適切な行動をとれる状況を整えておきましょう。
社内の情報資産を再検証して各資産のリスク評価を行う
情報セキュリティによって最終的に守られるものといえば、企業内の資産です。まずは、企業として守られるべき資産の状況を知ることから始めなければなりません。セキュリティ体制の構築は、その後ということになります。
企業内のサーバーやクラウド、パソコン、内部データなどに含まれる情報資産とその状況について、洗い出しを行いましょう。各資産において「想定されるリスク」「リスクによる被害の詳細」、「被害による事業への影響」について検証します。その後、各資産へのサイバー攻撃による影響を分析し、評価しましょう。自社の情報資産に関するリスク評価、つまりアセスメントを行っていくのです。リスク評価の実施により、万一システムが攻撃を受けた場合も被害を最小限に抑えることが可能となります。
 | アクセリア 簡易リスクアセスメントサービスを提供開始 |
クラウドサービスやエンドポイントなどの安全性を再検証しシステムの安全確認を行う
サイバー攻撃などのリスクによる被害を抑えるには、利用しているクラウドやエンドポイントの安全性が担保されていなければなりません。たとえば、近年急増しているテレワーク下の環境では、社内にエンドポイントが置かれないこととなります。
このような状況を踏まえ、クラウドや各エンドポイントのセキュリティを常時管理する「ポスチャーマネジメント」を導入するなどし、継続的に安全確認ができる状況を整えておく必要があるでしょう。
サイバー攻撃時の拡散抑止
万一サイバー攻撃に遭った際も、資産を守るためには被害をできるだけ最小限にとどめる必要があります。そのため、ネットワークを細分化する取り組みも有用となるでしょう。このネットワークの細分化は「マイクロセグメンテーション」と呼ばれます。
マイクロセグメンテーションは、ネットワークを「セグメント」と呼ばれる小さな範囲に分け、権限のあるデバイスやユーザのみをアクセス可能とする手法です。これを取り入れることで、攻撃を受けてもそれ以上の拡散を防ぎ、被害が最小限に抑えられます。
事業停止を回避し再開を速めるための回復力向上に取り組む
障害やサイバー攻撃などで事業が滞ってしまった場合、復旧のための時間はできるだけ短くしなければなりません。万一に備え、システムを冗長化したり、定期的にデータをバックアップしたりするなど基本的な取り組みを行い、復旧のスピード化に向け準備しておく必要があります。
参考コラム:バックアップについて
上記のような備えを整えておくことに加え、万一の事態に備えて手順をマニュアル化したり、シミュレーションを含む研修を実施したりするなどし、事案が発生しても適切な行動をとれる状況を整えておきましょう。
サイバーレジリエンス向上を図る際の注意点
社内でサイバーレジリエンス向上に取り組む際は、どのようなポイントを押さえる必要があるのでしょうか。ここでは、サイバーレジリエンス向上への取り組み時の注意点をご紹介します。
一部の部署やチーム単位ではなく、経営陣も含め全社的に取り組んでいく必要があります。サイバーレジリエンスの向上はそれだけ大きな課題であるということを全社で再認識し、企業全体で意識を高めていきましょう。
システムに対する新たな脅威は日々生み出されていますが、これまで被害を及ぼしてきた旧来の脅威が消えてなくなることはありません。セキュリティサービスを選定する際は、新しい脅威にいち早く対応できることはもちろん、旧来の脅威にも対応可能なものを選ぶことが大切です。
マルウェアなどの悪質プログラムは、メールやWebサイトに仕込まれている場合が多いです。マルウェアの被害に遭わないためには、不審なメールを受信しないことや不審なサイトを開かないことが第一です。リスクが懸念されるメールやサイト、事業と関連のないサイトをドメイン単位でブロックできるセキュリティサービスを選定しましょう。その取り組みひとつで、サイバー攻撃の被害を抑えることができます。
サイバーレジリエンスの考え方では、データバックアップが非常に大切です。万一被害があっても、早期回復のためにはバックアップデータを用いることがもっとも近道となるためです。
サービス選定の際には、クラウドやエンドポイントのデータなどを包括的にバックアップできるものを選びましょう。
サイバー攻撃に対しては、24時間365日いつでも警戒する必要があります。不審な動きを検知したとしてもサポートデスクの適切な対応をオンタイムで受けられなければ、復旧までに時間を要する事態となりかねません。
適切に専門家のアドバイスを受けられ、いち早く立て直しを図れるセキュリティサービスを選定することも、サイバーレジリエンス向上のための重要なポイントです。
企業内全体の意識を高める取り組みを行う
一部の部署やチーム単位ではなく、経営陣も含め全社的に取り組んでいく必要があります。サイバーレジリエンスの向上はそれだけ大きな課題であるということを全社で再認識し、企業全体で意識を高めていきましょう。
新旧問わずさまざまな脅威に対応できるセキュリティサービスを選定する
システムに対する新たな脅威は日々生み出されていますが、これまで被害を及ぼしてきた旧来の脅威が消えてなくなることはありません。セキュリティサービスを選定する際は、新しい脅威にいち早く対応できることはもちろん、旧来の脅威にも対応可能なものを選ぶことが大切です。
リスクのあるサイト訪問時にドメイン単位でのブロックを可能にする
マルウェアなどの悪質プログラムは、メールやWebサイトに仕込まれている場合が多いです。マルウェアの被害に遭わないためには、不審なメールを受信しないことや不審なサイトを開かないことが第一です。リスクが懸念されるメールやサイト、事業と関連のないサイトをドメイン単位でブロックできるセキュリティサービスを選定しましょう。その取り組みひとつで、サイバー攻撃の被害を抑えることができます。
エンドポイントやクラウドなどを含め包括的にバックアップできるサービスを選定する
サイバーレジリエンスの考え方では、データバックアップが非常に大切です。万一被害があっても、早期回復のためにはバックアップデータを用いることがもっとも近道となるためです。
サービス選定の際には、クラウドやエンドポイントのデータなどを包括的にバックアップできるものを選びましょう。
サポート体制の充実したセキュリティサービスを選ぶ
サイバー攻撃に対しては、24時間365日いつでも警戒する必要があります。不審な動きを検知したとしてもサポートデスクの適切な対応をオンタイムで受けられなければ、復旧までに時間を要する事態となりかねません。
適切に専門家のアドバイスを受けられ、いち早く立て直しを図れるセキュリティサービスを選定することも、サイバーレジリエンス向上のための重要なポイントです。
まとめ
情報セキュリティの役割は、「被害を防ぐこと、回避すること」という意味合いで捉えられることが多いと思います。それに対し、サイバーレジリエンスでは「被害が生じた際に早期に立て直す」という意味合いが加わってきます。
被害を最小限に抑え、復旧を可能な限り早期に果たすというサイバーレジリエンスの考え方は、サイバー攻撃が巧妙化していく現代の企業活動に欠かせないものとなるでしょう。
収益機会の損失や社会的信用の失墜を未然に防ぐためにも、企業単位でサイバーレジリエンス向上に取り組んでみてはいかがでしょうか。
被害を最小限に抑え、復旧を可能な限り早期に果たすというサイバーレジリエンスの考え方は、サイバー攻撃が巧妙化していく現代の企業活動に欠かせないものとなるでしょう。
収益機会の損失や社会的信用の失墜を未然に防ぐためにも、企業単位でサイバーレジリエンス向上に取り組んでみてはいかがでしょうか。
アクセリアの[サイバーレジリエンスソリューション]とは
アクセリアではサイバー攻撃やシステム障害による機会損失のリスクを最小化するだけではなく、顧客のUX(User Experience)を高め、収益機会を最大化するための最適なサービスをお客様の課題に合わせて提供することができるソリューションをご提供しています。
様々なタイプのCDNサービスをはじめ、セキュリティエンジニアが検証を重ね、ITに加えOT(制御テクノロジー)にまで及ぶセキュリティサービス、幅広いサイバーリスクに対応する保険サービスなど、他社にない包括的なラインナップが特長となっています。
サイバーレジリエンス向上のための施策についてお悩みのことがございましたら、お気軽にお問い合わせください。
▶お問い合わせはこちらから
【Solution CDN】▶[CDN開発/運用のエキスパート] x [世界最大のCDN/最先端のセキュリティ]
【データバックアップサービス(VDaP)】▶ランサムウェア対策としてのデータバックアップサービス
【産業サイバーセキュリティ事業】▶あらゆるレイヤーのリスクを踏まえたセキュリティサービスをご提案
【サイバーリスクに備える保険】▶日々増え続けるサイバー攻撃のリスクに備える
様々なタイプのCDNサービスをはじめ、セキュリティエンジニアが検証を重ね、ITに加えOT(制御テクノロジー)にまで及ぶセキュリティサービス、幅広いサイバーリスクに対応する保険サービスなど、他社にない包括的なラインナップが特長となっています。
サイバーレジリエンス向上のための施策についてお悩みのことがございましたら、お気軽にお問い合わせください。
▶お問い合わせはこちらから
【Solution CDN】▶[CDN開発/運用のエキスパート] x [世界最大のCDN/最先端のセキュリティ]
【データバックアップサービス(VDaP)】▶ランサムウェア対策としてのデータバックアップサービス
【産業サイバーセキュリティ事業】▶あらゆるレイヤーのリスクを踏まえたセキュリティサービスをご提案
【サイバーリスクに備える保険】▶日々増え続けるサイバー攻撃のリスクに備える
アクセリア株式会社
サービス事業部
Contact usお問い合わせ
サービスにご興味をお持ちの方は
お気軽にお問い合わせください。
Webからお問い合わせ
お問い合わせお電話からお問い合わせ
03-5211-7750
平日09:30 〜 18:00
Free Service