「サイバーレジリエンス」の基本を解説 もう知ったかぶりからは卒業しよう：「防御力」に「復元力」を〜なぜなにサイバーレジリエンス

最近聞くようになってきた「サイバーレジリエンス」という言葉。これを自信を持って説明できる人はどのくらいいるでしょうか。そもそも「レジリエンス」とはどういう意味で「サイバーセキュリティ」とは何が違うのか、解説します。

[小原 誠，ネットアップ合同会社]

　国内でもここ数年で徐々に聞く機会が増えてきた「サイバーレジリエンス」―――。連載第1回では、その背景にある組織を取り巻く事業継続リスクの高まりについて解説しました。

　筆者がさまざまな企業や団体のIT企画およびITインフラ部門の方とお話してアンケートを採ったところ、「『サイバーレジリエンス』という用語を聞いたことがある」と回答したのは約半数でしたが、「サイバーレジリエンスがどのようなものか知っている」と回答したのはわずか1割でした。回答者からは「『レジリエンス』という言葉になじみがない」や「『サイバーセキュリティ』との違いがよく分からない」といった意見をよく聞きました。

　そこで連載第2回は、「レジリエンス」（Resilience）という言葉に込められた背景から振り返りながら、「サイバーレジリエンス」という用語を解説するとともに「サイバーセキュリティ」との違いはどこにあるのかを説明していきます。

この連載について

　際限のない投資が必要となり、セキュリティ疲れとも呼ばれる状況を起こしているサイバーセキュリティ。そこで被災を防ぐ「防御力」に加えて、被災から立ち直る「復元力」に焦点を当てる「サイバーレジリエンス」という考え方が注目されています。本連載では特に、企業の重要な資産の一つであるデータの観点から、サイバーレジリエンスの基本的な考え方を解説します。

筆者紹介：小原 誠（ネットアップ合同会社 シニアソリューションアーキテクト）

国内メーカーにおけるストレージ要素技術の研究開発に始まり、外資系コンサルティングファームにおけるITインフラ戦略立案からトランスフォーメーション（要件定義、設計構築、運用改善、PMOなど）まで、計20年以上従事。NetAppではソリューションアーキテクトとして、特にCloudOps、FinOps、Cyber Resilience領域を中心にソリューション開発やマーケティング活動、導入支援などに従事。FinOps認定プラクティショナー（FOCP）。国立大学法人山口大学 客員准教授。

「レジリエンス」が注目されるようになった背景とは？

　狭義の意味での「サイバーセキュリティ」（Cyber Security）と、「サイバーレジリエンス」（Cyber Resilience）の関係を一言で表すなら「防災」と「減災」の考え方に近いかと思います。

　「レジリエンス」とは日本語で「復元力」や「回復力」を意味します。指で押しつぶしたボールが元に戻ろうとするイメージです。国内ではまだなじみのない用語かもしれませんが、最近では防災および減災の取り組みに関する説明の中で、少しずつ見かけるようになりました。

　“Resilience”という言葉が使われるようになったきっかけは2000年代にまでさかのぼります。2001年の米国同時多発テロ（いわゆる「9.11」）を発端に、米国では国土安全保障が政権課題として取り組まれるようになりました。2002年には国土安全保障省（DHS）が発足、2006年には国家インフラ防護計画（NIPP）が策定されています。

　テロだけでなく地震やハリケーンなどの自然災害、2009年の新型インフルエンザ大流行や2010年のメキシコ湾原油流出事故などを経て「国家的な困難を防ぐだけでなく、変化する状況に備えて適応し、混乱に耐えて、迅速に回復する能力を身に付ける必要がある」とされ、そのような能力を“Resilience”または“Resiliency”と呼び、「どのようにしてレジリエンスを高めるか」が主要なテーマになってきました（注1）。

注1：　Presidential Policy Directive / PPDｰ21”（出典：ホワイトハウスが2013年に公開したWebサイト）

　このような流れは情報システムの領域にも広がり、2010年には「国家サイバーインシデント対応計画」（NCIRP）の暫定版が策定され、2014年には米国立標準技術研究所（NIST）がレジリエンスの考え方を盛り込んだ、通称「サイバーセキュリティフレームワーク」（Cyber Security Framework：CSF）の1.0版を公開しました。

CSFの5つの機能とサイバーレジリエンス

　CSFの正式名称は、「重要インフラのサイバーセキュリティを向上させるためのフレームワーク」（framework for improving critical infrastructure cybersecurity）です。2018年の改訂版（1.1版）は英文48ページの比較的コンパクトなボリュームで、サイバーセキュリティの体系的かつ汎用的なフレームワークとして、全世界で参照されています（注2）。日本でも情報処理推進機構（IPA）が日本語参考訳を公開しているのでぜひチェックしてみてください（注3）。

注2：　Cyber Security Framework（出典：NISTのWebサイト）

注3：　セキュリティ関連NIST文書について（出典：IPAのWebサイト）

　CSF1.1版では、以下5つの機能を「コア」として定義しています。

• ID（識別《Identify》）：　リスクの特定と評価
• PR（防御《Protect》）：　適切な保護対策の実施
• DE（検知《Detect》）：　セキュリティイベントの発生の識別
• RS（対応《Response》）：　関係者間調整や分析、影響緩和や改善の実施
• RC（復旧《Recover》）：　システムや資産の復旧

CSFのコア（出典：CSF1.1版を基にNetAppが作成）

　5つの機能を簡単に表現するなら、「識別」と「防御」は防御力に焦点を当てた「防災」的な活動、それに対して「検知」「対応」「復旧」は万が一被災した場合に変化する状況に適応しながら迅速に回復させる復元力に焦点を当てた「減災」的な活動だと言えるでしょう。

CSFのコアを構成する5つの機能（出典：CSF1.1版を基にNetAppが作成）

　世の中にはCSF以外にもさまざまなフレームワークやガイドライン（基準）があります。これらと比較したCSFの特徴としては、5つの機能からなるコアを定義し、「対応」や「復旧」の領域でより具体性を高め、防御力に加えて復元力（レジリエンス）を両輪としていることが挙がります。

　連載第1回で解説したように、企業およびそのIT環境を取り巻くさまざまなリスクが複雑化して高まっている昨今において、これらのリスクを完全に「防ぎきる」のは現実的ではありません。CSFは「万が一脅威にさらされた場合でも、早期に復元できるということが重要である」という考え方に基づいているわけです。

　ちなみに2023年8月にはCSF2.0のドラフト版が公開されてパブリックコメントが募集されており、2024年初頭には公開が予定されています。これまでのCSFでは比較的重要インフラの保護に焦点が置かれていましたが、2.0版では中小企業など幅広い組織も対象とした内容になっています。

　さらに6つ目のコア機能として「ガバナンス」（統制）が追加されており、サプライチェーンリスク管理の重要性も強調されています。サプライチェーンの脆弱（ぜいじゃく）な部分を狙い打ちするなどランサムウェア攻撃が高度化している実態に合わせて、CSFも改版していると言えるでしょう。

サイバーレジリエンスの個別具体的な内容はSP800-160 Vol.2で

　それではサイバーレジリエンスの具体的な考え方や手法としては、どのようなものがあるのでしょうか。

　CSFは汎用的なフレームワークで、個別のテーマに応じた具体的な内容は、SP（Special Publications）800シリーズとして、別の文書にまとめられています。その中の一つにサイバーレジリエンスについてより具体的な考え方や手法をまとめた文書「SP800-160 Vol.2：Developing Cyber-Resilient Systems: A Systems Security Engineering Approach」（SP800-160 Vol.2）があります。

CSFとSP800シリーズの関係（NetApp作成）

　SP800-160 Vol.2は英文で310ページと、読むのに骨の折れる少しハードルの高い文書ですが、サイバーレジリエンスの考え方や手法が体系的にまとめられており、「自分の知っていたこの手法や考え方は、こう関係してくるのか」「なるほどこういうことも考えなければならないのか」と思えるような示唆に富んでいます。

　次回はこのSP800-160 Vol.2を基にコンパクトに、サイバーレジリエンスの具体的な考え方や手法を紹介します。