“サイバーレジリエンス”と一口に言っても、その目的や実現するための手法はさまざまで全体像をつかむのも一苦労です。そんな皆さんの悩みを解消するため、筆者が310ページに及ぶドキュメントをかみ砕いて解説します。
この記事は会員限定です。会員登録すると全てご覧いただけます。
ランサムウェア攻撃の激化に伴い、近年“サイバーレジリエンス”という言葉を聞く機会が増えています。
本連載「『防御力』に『復元力』を〜なぜなにサイバーレジリエンス」の第1回では、その背景にある組織を取り巻く事業継続リスクの高まりについて、第2回では“サイバーレジリエンス”という用語について“サイバーセキュリティ”との違いを明らかにしてきました。
連載第3回となる本稿ではいよいよ“サイバーレジリエンス”とはどのように取り組むものなのか、その全体像を解説していきます。
際限のない投資が必要となり、セキュリティ疲れとも呼ばれる状況を起こしているサイバーセキュリティ。そこで被災を防ぐ「防御力」に加えて、被災から立ち直る「復元力」に焦点を当てる「サイバーレジリエンス」という考え方が注目されています。本連載では特に、企業の重要な資産の一つであるデータの観点から、サイバーレジリエンスの基本的な考え方を解説します。
おさらいをしておくと、“レジリエンス”とは日本語で「復元力」や「回復力」を意味します。指で変形させたボールが元に戻ろうとするイメージです。
狭義の“サイバーセキュリティ”(Cyber Security)と“サイバーレジリエンス”(Cyber Resilience)の関係を一言で表すなら「防災」と「減災」の考え方に近いでしょう。(狭義の)サイバーセキュリティが比較的、防御力に焦点を当てた「防災」的な活動であるのに対し、サイバーレジリエンスは、万が一被災した場合に変化する状況に適応しながら迅速に回復させる復元力に焦点を当てた「減災」的な側面が強いと言えます。
そして、サイバーレジリエンスの具体的な考え方をまとめた有名なガイドラインが、前回紹介した米国立標準技術研究所(NIST)による「SP800-160 Vol.2:Developing Cyber-Resilient Systems: A Systems Security Engineering Approach」(以下、ガイドライン)です。
同ガイドラインは、英文で全294ページ(PDFファイルのページ数で310ページ)もあり読むにはなかなかに骨が折れるので、ここではその内容を要約し、サイバーレジリエンスの全体像を今回と次回にわたって紹介していきます。
同ガイドラインはサイバーレジリエンスに関連する取り組みを「なぜ」(Why)、「何を」(What)、「どのように」(How)の3つのパートに分け、それぞれのパートで考える事柄とその関係を、1枚の図(フレームワーク)にして示しています。
ではこれらを順に見ていきましょう。
サイバーレジリエンスの取り組みは、サイバーリソースを活用する企業や団体のリスクを軽減することを目的としています。これをブレないものにするには、「何を」「どのように」取り組むのかを考える前にまず、そもそも「なぜ」取り組むのかを明確にすることが大切です。
この出発点が「リスク管理戦略」(Risk Management Strategy)です。組織を取り巻くサイバーリスクを特定し、優先順位を付けて大まかな対応方針を決めます。リスク管理戦略にはさまざまな手法がありますが、同ガイドラインでは具体的な手法については指定されておらず、リスク評価のフレームワーク「SP800-39」など既存の考え方を示しています。
次に、リスク管理戦略によって整理された個々のリスクに対してどのように取り組むのか、その「目的」(Goal)を設定します。同ガイドラインではサイバーレジリエンスの目的を4つ挙げており、この中から何を目的として活動するのか定めることが重要だとしています。
ここでは前述の目的を達成するためのより具体的な実行目標(Objectives)を整理します。ガイドラインでは実行目標として以下の8種類を挙げています。
8つの実行目標は、「目的」をもう少しかみ砕いて具体的にしたものです。そのため前掲の図では、目的を飛ばしていきなり実行目標に落とし込むところも想定して矢印が引かれています。
ガイドラインでは、システムの設計(運用設計を含む)でサイバーレジリエンスの考え方を織り込んでいくに当たって、5つの「戦略的な設計原則」(Strategic Design Principle)を示しています。
上記5つの設計原則は、運用を含むシステム設計の基本的な考え方をまとめたものです。ガイドラインではこの5つの設計原則に対応させながら、そこからもう一歩踏み込んだ、より個別具体的な14個の設計原則(Structural Design Principles)も示しています。詳細は割愛しますが、示唆に富んだ内容を含んでいますので、ご興味のある方はガイドラインを一読ください。
ガイドラインではこれまで説明してきた実行目標と設計原則を入力として、サイバーレジリエンスを高めるための14個の具体的な「手法」(Techniques)と、各手法当たり4個前後のさらに具体的な「取り組みかた」(Approaches)を示しています。
ここまでは比較的抽象的な内容でしたが、ここまで来ると読者の皆さんにとっても比較的なじみのある技術的なキーワードが並ぶようになり、「なるほどこれがサイバーレジリエンスに関係してくるのか」「こういうことも考えなきゃダメだな」とイメージしやすくなってくるでしょう。
次回は、この「手法」と「取り組みかた」について、特に重要な経営資源である「データ」の観点から具体例を交えながら解説します。
Copyright © ITmedia, Inc. All Rights Reserved.