公開日
更新日
サイバーレジリエンス(Cyber Resilience)とは、サイバー攻撃などによる情報セキュリティインシデントに対する予測力や抵抗力、回復力、適応力などのことです。
サイバー攻撃が高度化・巧妙化する中、従来のセキュリティモデルは限界を迎え、ゼロトラストが登場しました。サイバーレジリエンスは、ゼロトラストを発展させた考え方です。
本コラムでは、サイバーレジリエンスの必要性や導入のポイントなどをご紹介いたします。
サイバーレジリエンス(Cyber Resilience)とは、サイバー攻撃などによる情報セキュリティインシデントに対する予測力や抵抗力、回復力、適応力を指します。
なお、Resilienceという英単語は、「弾性」「跳ね返り」「反発力」などを意味します。
従来のサイバーセキュリティは、組織内のLANやWANといったネットワーク内は安全であるという前提のもと、組織外のネットワークとの境界さえ警戒すれば、組織内の情報資産は保護できるという考え方に基づくものでした。つまり、サイバー攻撃者は組織外におり、境界で攻撃を防ぐことに重点が置かれたものでした。
ところが、サイバー攻撃の高度化・巧妙化により、サイバー攻撃者による組織内のネットワークへの侵入を防ぎ切れなくなったことや、従業員・元従業員による内部不正が増加してきたことなどから、このセキュリティモデルは限界を迎えます。
そこで登場したのが「すべてのユーザー、すべてのアクセス要求を信用しない」という考え方に基づく“ゼロトラスト”というセキュリティモデルです。ゼロトラストの登場により、従来のセキュリティモデルは「境界型」と呼ばれるようになりました。
サイバーレジリエンスは、どれだけ防御に力を入れようとサイバー攻撃者に突破されてしまうことを前提に、侵入され、攻撃を受けた際に、どのように対応し、素早く復旧までもっていくかを焦点とした考え方です。ゼロトラストをより進化させたものといえるでしょう。
ゼロトラストについて詳しくは、下記の記事もご覧ください。
【関連サービス】
ゼロトラストネットワークとは
ゼロトラストを実現する方法 ~従来型との違いと導入ステップ~
サイバーレジリエンスは、上記のように、従来のセキュリティモデルでは、高度化・巧妙化するサイバー攻撃や内部不正による情報セキュリティインシデントを防げないことから誕生しました。
サイバーレジリエンスの必要性を、別の角度から捉え直してみると、以下の3つの理由が浮かび上がります。
サイバー攻撃への対策は、従来から社内の情報資産を守るために重要なものでしたが、近年の情報漏えいインシデント報告数は増加しています。
一度、情報漏えいが起きれば、その被害は多岐にわたります。漏えいした内容が顧客などの個人情報であれば、迷惑をかけるだけでなく、時には損害賠償問題へと発展する可能性もあります。また、技術情報などであれば、漏えいによって競争力を低下させる恐れがあります。何より、情報漏えいを起こしてしまった企業として、信頼を失います。
このような影響は経済的な損失を招きます。
これを回避するためにも、最新の考え方に基づくセキュリティ体制が必要です。
最新のセキュリティモデルに基づくサイバーレジリエンスを取り入れ、セキュリティ体制を強化することで、単に情報セキュリティインシデントを防ぐだけでなく、企業価値そのものを高めることができます。
そして、サイバーレジリエンスを未導入の競合に対する優位性を確保できることから、競争力の強化にもつながります。
サイバーレジリエンスを導入して情報セキュリティ対策を講じ、これを社内外へ周知すれば、情報セキュリティ対策に力を入れている企業であるというPRになります。
最新の情報セキュリティ対策を取り入れることで、意識の高さや敏しょう性を印象づけたり、それだけの技術力があることもアピールできます。
また、取引したり購入したりした際の情報を堅ろうに守ってもらえるという安心感、信頼感にもつながります。
こうして得た信頼感がビジネスでも有利に働くことから、先ほどの企業競争力や価値の向上にも結び付き、好循環を生むでしょう。
では、サイバーレジリエンスを取り入れるためには、具体的にどうすれば良いのでしょうか?
まずは、自社が保有する情報資産についての検証が必要です。これは、保護すべき情報資産を把握するためです。データだけでなく、これを扱うシステムやアプリケーション、ハードウェア、書類までが対象となります。
洗い出した情報資産は、部署ごとに情報資産管理台帳にまとめます。
その上で、リスク評価を行います。リスク評価とは、リスクの重大さを基準と比較し、数値化することです。リスク評価は、リスク発見・リスク特定・リスク算定・リスク評価の順で実施します。
たとえば、重要度・発生率・脆弱性といった観点で各情報資産を数値化していきます。数値化の判断基準となる基準をあらかじめ作成した上で評価しましょう。
複数のサイバー攻撃を想定し、潜在的なリスクを数値化することが大切です。
通常の業務に支障が出ないよう、システムの健全性を維持するための取り組みも大切です。
脆弱性を放置せずに、アップデートやセキュリティパッチの適用を怠らないことや、ネットワーク監視、ログの取得などを実施して、ITインフラを適切に保守、管理、運用していきます。
いくらサイバーレジリエンスがサイバー攻撃者に侵入・攻撃されることを前提にしているからといって、全く防御しなくて良いということではありません。NGFW(次世代ファイアウォール)など、可能な限り最新のテクノロジーを導入して、侵入を防御する必要があります。
このような対策を施していても、サイバー攻撃者に侵入・攻撃されてしまうことを前提とした考え方がサイバーレジリエンスです。実際に攻撃を受けたら、その被害をできるだけ最小限に食い止めることが重要です。
脆弱性を放置せずに、アップデートやセキュリティパッチの適用を怠らないことや、ネットワーク監視、ログの取得などを実施して、ITインフラを適切に保守、管理、運用していきます。
このためには、ネットワークを細分化する「マイクロセグメンテーション」の導入が有効だといわれています。マイクロセグメンテーションとは、ネットワークをセグメントに分割して構成することです。
具体的には、SDP(Software-Defined Perimeter)やSD-WAN(Software Defined Wide Area Network)、SDN(Software Defined Networking)などを活用して実現します。
情報セキュリティインシデントが起きてしまった後は、CSIRTを中心に、システムの復旧に向けて行動します。
社内ネットワークをインターネットから遮断したり、被害を受けた端末の隔離やサーバーのシャットダウン、サービスの停止などを検討・実施します。マルウェア感染を受けた場合は、すべてのシステムから排除する必要があります。
必要に応じて、ユーザーアカウントの無効化や削除、パスワード変更などの対応をすることもあります。
同時に被害状況を正確に把握する必要があります。監視ツールやログ情報などから、どんなマルウェアにどこまでの範囲が感染したのか、どのような情報がどの程度、流出したのかなどを詳細まで把握しましょう。
さらに、サイバー犯罪の被害に遭ったことが判明した場合は各都道府県警察本部のサイバー犯罪相談窓口へ、不正アクセスが認められた場合はIPAまたはJPCERT/CCへ、個人情報が漏えいしたのなら個人情報保護委員会へというように、自社を管轄する報告機関への報告を行う義務があります。
このようなサイバーレジリエンスに基づいたセキュリティ対策を導入する際は、以下の3つのポイントを押さえることが大切です。
これは、サイバーレジリエンス以前のゼロトラストセキュリティでも境界型セキュリティでも同じことがいえますが、まずは組織内の従業員一人ひとりの情報セキュリティに対する意識を高める必要があります。近年、増加傾向にある内部不正を防止するためにも、悪意のないミスなどで情報が漏えいしてしまうことを回避するためにも、意識づけは重要です。
具体的な方法としては、研修や訓練などの実施などがあります。社内のリソースのみで対応することが困難な場合は、情報セキュリティ教育や訓練をサービスとして提供しているベンダーもありますので、利用を検討してみてください。
従来の情報セキュリティ対策では、ファイアウォールとウイルス対策ソフトが中心でしたが、年々、高度化・巧妙化するサイバー攻撃や、内部不正による被害を防止するには、これだけでは足りません。
たとえば、端末を保護することに特化したエンドポイントセキュリティや、未知のマルウェアまで対策できる、ふるまい検知型のマルウェア検知ソフト、SaaSを中心とするクラウドサービスをセキュアに利用するためのCASBなど、さまざまな脅威に対応できるセキュリティサービスを導入する必要があります。
ただ、これらを個別に導入すれば、費用や運用・保守の手間などがかさんでしまうため、統合されたセキュリティソリューションを導入するのがおすすめです。
サイバーレジリエンスにおいても、従来のセキュリティ対策と同様、現状の体制を定期的に見直し、新たな脅威に備えられるようアップデートしていく必要があります。
インシデント情報など、情報セキュリティに関するニュースを得たり、いざサイバー攻撃を受けた後でセキュリティ体制を改善すべきかどうかを検討したりするのに、自社のみで対応するリソースがないところもあるでしょう。
そのような場合でも、導入したセキュリティソリューションのベンダー側でサポートが用意されていれば、頼ることができます。サポート体制の充実したセキュリティサービスを選ぶことも大切になってきます。
サイバー攻撃の被害を最小限に食い止め、事業を継続するためには、情報セキュリティ対策をアップデートすることが大切です。新しいセキュリティ概念であるサイバーレジリエンスを取り入れた情報セキュリティ体制を構築して、高度化・巧妙化するサイバー攻撃や内部不正から大切な情報資産を守りましょう。
アイネスでは、長年の情報システム運用・保守の経験に基づく、情報セキュリティソリューションを提供しております。お客様の現状のセキュリティ対策の診断から、従業員の意識向上のための標的型メール攻撃訓練サービス、事後対応までを提供いたします。
リスク分析をしっかり行うことで、お客様に適切な対策をご提案いたします。
サービスについて詳しくは、下記ページをご覧ください。
【関連サービス】
情報セキュリティソリューション
弊社は、情報サービスのプロフェッショナルとして、システムの企画・コンサルティングから開発、稼働後の運用・保守、評価までの一貫したサービスと公共、金融、産業分野などお客様のビジネスを支える専門性の高いソリューションをご提供しています。お気軽にご相談ください。