次にNIST(National Institute of Standards and Technology:米国国立標準技術研究所)はサイバーレジリエンスをどのように定義しているのかを見ていこう。2021年5月、米国の石油パイプライン大手企業コロニアル・パイプラインがランサムウェア「DarkSide」に侵入されて約5日間の操業停止に陥ったことを受けて、米バイデン大統領はサイバーセキュリティ向上に向けた「大統領令(EO)14028」を発令した。
こうした背景もあり、NISTは2021年12月にサイバーレジリエンスの基本的な考え方を示したガイダンス「SP800-160 Vol.2 Rev.1 Developing Cyber-Resilient Systems : A Systems Security Engineering Approach」(以下、SP800-160 Vol.2 Rev.1)を発行した。
このガイダンスは「攻撃者の横方向の動きを妨げ、作業係数を増やし、目標到達時間を短縮することで、攻撃者が与える可能性のあるダメージを制限する方法についての提案を提供している」もので、サイバーレジリエンスを具現化するために組織が備えるべきゴールとして「Anticipate」(予測)、「Withstand」(抵抗)、「Recover」(回復)、「Adapt」(適応)という4つの構成要素を示している。以下がそれぞれの内容だ。
ここからが実践的なステップとなるが、先ほど示したランサムウェア被害に遭った企業に共通する4つの傾向に対し、この構成要素と具体的な対策例を当てはめると以下の図となる。
各構成要素に当てはまるセキュリティ対策をさらに具体的に見てみよう。
【Anticipate(予測)】
【Withstand(抵抗)】
【Recover(回復)】
【Adapt(適応)】
これらの対策の詳細やこれが必要になる背景については、次回以降の連載でユースケースを用いて説明する。
今回はランサムウェアの被害事例を基に、事業継続性を高めるためにはどのように対策することが有効かを解説した。ランサムウェアをはじめとしたサイバー攻撃による事業への影響は業種や組織、重要インフラとの関係やサプライチェーンにおける位置付け、工場の有無、クラウドサービス利用の有無などによって異なる。
それぞれの組織で、事業継続のために守らなければならない範囲はもちろん、強化しなければならないポイントは異なる。以上のようなことを整理しなければ、稟議を通すのも難しく、通ったとしても無駄な投資になってしまいかねない。外部のコンサルテーションなどを活用し、まずは一度、自社のセキュリティ対策について事業継続の観点からどこまで対策ができているのか、現状を把握してほしい。
Copyright © ITmedia, Inc. All Rights Reserved.