サイバーレジリエンスをかみ砕く 構成要素と具体的な対策を把握しよう：今日から始めるサイバーレジリエンス実践ステップ（1/2 ページ）

近年注目のキーワード“サイバーレジリエンス”。よく聞く言葉だが「何をもってサイバーレジリエンス能力が高いといえるのか」を自信を持って説明できる人は少ないのではないか。本連載はサイバーレジリエンス能力向上に向けた実践的なステップを解説する。

[扇 健一，株式会社日立ソリューションズ]

　サイバー攻撃が激化し、日々報道などでその被害が取り沙汰される中、多くの企業にとってセキュリティ対策は喫緊の課題となっている。ランサムウェアを含むマルウェアなどの侵入を防ぐ事前対策を講じるのはもちろん、万が一システム内に脅威の侵入を許してしまった場合に備えて事後対策も講じる必要があるだろう。

　近年、事後対策を講じる上で“サイバーレジリエンス”というキーワードに注目が集まっている。サイバー攻撃の被害に遭った後、この影響を最小限に抑えつついかに迅速にデータを復旧させてビジネスを再開するか、つまり高いレジリエンス（回復力）を確保できるかどうかが重要視されている。

　だが“サイバーレジリエンスを実現しよう”と一言でいっても「その構成要素」や「何をもってサイバーレジリエンス能力が高いといえるのか」「この能力を向上させるために企業としては具体的には何をすればいいのか」といったことは意外と広まっておらず、重要性を理解していながらも対策を打ち出せていない組織は多いではないだろうか。

　本連載「今日から始めるサイバーレジリエンス実践ステップ」は、サイバーレジリエンスという広い概念をかみ砕き、その構成要素を明らかにした上で、筆者の体験や生の声、ユースケースを通して組織のサイバーレジリエンス能力向上と実践に役立つ情報をお伝えする。第1回はサイバーレジリエンスが注目される背景とその構成要素を解説する。

ランサムウェア被害から見る、なぜサイバーレジリエンスが必要か

　まずはランサムウェア被害の現状から、サイバーレジリエンスが注目を集める背景を振り返ろう。警察庁が公開する「令和4年におけるサイバー空間をめぐる脅威の情勢等について」によると、2020年下半期以降、ランサムウェア被害の件数は右肩上がりで、国内においても被害が多発しており、事業活動の停止や遅延など、社会経済活動に多大な影響を及ぼしているという。

　この調査の中でも筆者が注目したのは、復旧期間および調査・復旧費用に関するデータだ。被害に遭った企業の約3割が復旧に1カ月以上要しており、約半数が調査・復旧に1000万円以上の費用を費やしている。

　筆者が聞いたところだと、情報セキュリティ部門を持つとある組織は、サイバー攻撃を受けた場合、調査をするだけで1000万円、顧客に迷惑を掛けると2000万円の費用がかかると嘆いていた。業者にもよるが、PCの被害状況を調査するフォレンジックサービスの費用は1台あたり150万円から250万円あたりが相場であることや、対応にかかる人件費を考慮すると納得できる額だ。

復旧に要した時間と調査・復旧費用の総額（出典：警察庁「令和４年におけるサイバー空間をめぐる脅威の情勢等について」から）

ランサムウェア被害に遭った企業に共通する4つの傾向

　2021から2022年にかけて食品関係や自動車関係の製造業や医療機関で発生した、幾つかの大規模なランサムウェア被害の傾向としては以下が挙げられる。

1. ITインフラおよび業務システムの重要なサーバが被害に遭い、事業の停止につながっている
2. インターネット接続ポイントの脆弱（ぜいじゃく）性が感染経路となっている
3. サプライチェーン企業における感染が発端となっている
4. バックアップシステムが被害に遭っている

　上述の警察庁のレポートでも、1に関連したデータとして被害企業のうち全ての業務が停止したケースが13％、一部の業務に影響があったケースが82％を占めており、ランサムウェアが経営に大きなインパクトを与えていることが分かる。

　2に関連したデータでは、感染経路としてVPN機器が62％、リモートデスクトップ（RDP）が19％、不審な電子メールや添付ファイルが9％となっていた。筆者がこれまで見てきた事例でも、脆弱性に関するパッチを適用していなかったり、認証が弱かったりしたことで、VPN機器経由で侵入されたというケースが多かった。RDP経由の侵入についてはリモート接続時の認証が不十分だったというケースが目立つ。不審な電子メールや添付ファイルを経由した感染が全体の9％というのは個人的には想定より低く感じる。

　3に関連したデータでは「被害企業・団体等の規模」についても同レポートに記載がある。被害を受けた組織のうち、大企業が27％、中小企業が53％を占めていた。サプライチェーンの大部分を占める中小企業への侵入が発端となっていることも納得できるだろう。

　同レポートでは、バックアップを取得していた組織の81％がバックアップから復元できなかったという4に関連したデータもある。最近のランサムウェアは身代金の獲得率を上げるために、バックアップシステムにも侵入し、回復困難な状態に陥れる傾向にあると言える。

サイバーレジリエンスという考え方は従来と何が異なるのか？

　ランサムウェアやマルウェア「Emotet」に代表されるサイバー攻撃は、年々巧妙化しており、組織にとって事業継続性を左右する需要な課題となっている。ウイルス対策ソフトウェアなどを導入していても被害に遭った組織の約9割がランサムウェアを検出できなかったというデータもある。

　こうした現状もあり、組織においてはサイバー攻撃を受けたときの被害を局所化および最小化して事業継続すること（抵抗力）と、事業を素早く回復させること（回復力）を考慮した対策が求められる。この考え方がいわゆるサイバーレジリエンスだ。ランサムウェア被害を例に説明すると、以下の図で表すことができる。

「抵抗力」と「回復力」を考慮するのがサイバーレジリエンスという考え方だ（出典：日立ソリューションズ提供資料）

　同図は縦軸が事業稼働率、横軸が時間の経過を示している。従来の対策ではランサムウェアの侵入を防御できなかった場合、組織内のPCや重要なサーバ群にランサムウェアが拡散し、データが暗号化され、システム停止に陥っていた。さらにバックアップシステムにまで侵入し、バックアップデータも暗号化されてしまうケースもある。そのため広範囲に及ぶ被害状況の調査や回復が必要になるとともに、ランサムウェアに暗号化されていないバックアップデータの検索と検証に追われることになる。このような復旧作業には時間と費用がかかることは容易に想像できる。

　これに対して、サイバーレジリエンスの考え方を適用した対策ではランサムウェアが侵入して防御をすり抜けた場合でも、データの暗号化や他のPC、重要なサーバへの拡散を阻止してダメージを局所化できる。これによって調査や回復が必要な範囲を狭められる。バックアップデータの保護や回復の手順も整備しておくことで、回復時間を短縮できる。このように「抵抗力」と「回復力」を高めることで、ビジネスインパクトを低減して事業継続力を強化することがサイバーレジリエンスという考え方だ。