サイバーレジリエンスをかみ砕く 構成要素と具体的な対策を把握しよう：今日から始めるサイバーレジリエンス実践ステップ（2/2 ページ）

近年注目のキーワード“サイバーレジリエンス”。よく聞く言葉だが「何をもってサイバーレジリエンス能力が高いといえるのか」を自信を持って説明できる人は少ないのではないか。本連載はサイバーレジリエンス能力向上に向けた実践的なステップを解説する。

[扇 健一，株式会社日立ソリューションズ]

NISTが示すサイバーレジリエンスの構成要素とは？

　次にNIST（National Institute of Standards and Technology：米国国立標準技術研究所）はサイバーレジリエンスをどのように定義しているのかを見ていこう。2021年5月、米国の石油パイプライン大手企業コロニアル・パイプラインがランサムウェア「DarkSide」に侵入されて約5日間の操業停止に陥ったことを受けて、米バイデン大統領はサイバーセキュリティ向上に向けた「大統領令（EO）14028」を発令した。

　こうした背景もあり、NISTは2021年12月にサイバーレジリエンスの基本的な考え方を示したガイダンス「SP800-160 Vol.2 Rev.1 Developing Cyber-Resilient Systems : A Systems Security Engineering Approach」（以下、SP800-160 Vol.2 Rev.1）を発行した。

　このガイダンスは「攻撃者の横方向の動きを妨げ、作業係数を増やし、目標到達時間を短縮することで、攻撃者が与える可能性のあるダメージを制限する方法についての提案を提供している」もので、サイバーレジリエンスを具現化するために組織が備えるべきゴールとして「Anticipate」（予測）、「Withstand」（抵抗）、「Recover」（回復）、「Adapt」（適応）という4つの構成要素を示している。以下がそれぞれの内容だ。

• Anticipate（予測）：潜在的な脅威を予測するための戦略には抑止や回避、防止、計画、準備、変更が含まれる
• Withstand（抵抗）：潜在的な脅威の実現に耐えるための戦略にはそれらの脅威が検出されない場合でも吸収や偏向、破棄を実施することが含まれる
• Recover（回復）：回復するための戦略には復帰や再構成、置換が含まれる
• Adapt（適応）：適応するための戦略には修正や強化、方向転換が含まれる

　ここからが実践的なステップとなるが、先ほど示したランサムウェア被害に遭った企業に共通する4つの傾向に対し、この構成要素と具体的な対策例を当てはめると以下の図となる。

サイバーレジリエンスの構成要素と該当するセキュリティ対策（出典：日立ソリューションズ提供資料）

　各構成要素に当てはまるセキュリティ対策をさらに具体的に見てみよう。

【Anticipate（予測）】

• サイバー攻撃対応BCP策定：災害やパンデミック時の情報システムやITインフラを対象としたBCPではなく、サイバー攻撃に特化したBCP（リスク分析や対応計画）を策定する
• EASM（External Attack Surface Management：外部攻撃対象領域管理）：インターネットに公開されている攻撃対象となりうる資産を把握し、脆弱性を管理する
• セキュリティポスチャマネジメント：クラウドやPCなど各種システムの現状を確認し、設定ミスや脆弱性などを検証してセキュリティを確保する
• 取引先のセキュリティ評価：サプライチェーンである取引先をセキュリティ面で評価する。評価基準の作成や調達プロセスへの適用、取引先の評価、改善案の提示などが含まれる

【Withstand（抵抗）】

• ペネトレーションテスト：ネットワークやPC・サーバ、システムの脆弱性を検証するテスト。専門技術者が多層防御の階層ごとに作成した脅威シナリオに沿って段階的な疑似攻撃を実行する
• マイクロセグメンテーション：ネットワークを小さい単位（セグメント）に分割し、許可されたデバイスやユーザーのみ、そのセグメントにあるデータなどにアクセスできるようにする
• EDR（Endpoint Detection and Response）・MDR（Managed Detection and Response）サービス：EDRとはエンドポイントのセキュリティ脅威を検知し、対応を支援する技術。MDRサービスは、EDRの運用を代行し、インシデントの監視から対応まで提供する。マルウェアの侵入経路や感染範囲、感染日時の調査、感染端末の隔離なども実施する

【Recover（回復）】

• バックアップの要塞化と世代管理：ランサムウェアの被害からバックアップデータを守るため、独自の方式で保護領域にバックアップを取得する。また、暗号化されたデータでバックパップデータが上書きされないよう多世代のバックアップを取得する。多世代のバックアップデータから暗号化されていない安全なデータを見つけるために、EDRやMDRサービスを活用することが望ましい

【Adapt（適応）】

• サイバーインシデント対応演習：インシデントの疑似体験を通じて主に経営層から管理職を対象に、組織的なサイバーインシデント対応能力を向上させる

　これらの対策の詳細やこれが必要になる背景については、次回以降の連載でユースケースを用いて説明する。

まずは現状を把握し状況の整理を

　今回はランサムウェアの被害事例を基に、事業継続性を高めるためにはどのように対策することが有効かを解説した。ランサムウェアをはじめとしたサイバー攻撃による事業への影響は業種や組織、重要インフラとの関係やサプライチェーンにおける位置付け、工場の有無、クラウドサービス利用の有無などによって異なる。

　それぞれの組織で、事業継続のために守らなければならない範囲はもちろん、強化しなければならないポイントは異なる。以上のようなことを整理しなければ、稟議を通すのも難しく、通ったとしても無駄な投資になってしまいかねない。外部のコンサルテーションなどを活用し、まずは一度、自社のセキュリティ対策について事業継続の観点からどこまで対策ができているのか、現状を把握してほしい。

著者紹介：扇 健一

日立ソリューションズ　セキュリティソリューション事業部　企画本部　セキュリティマーケティング推進部　シニアエバンジェリスト　兼　Security CoE　センタ長

20年以上にわたり開発から導入までのセキュリティ関連業務に従事しており、現在は主にセキュリティソリューション全般の企画や拡販業務、各種講演や執筆活動を行う。また、早稲田大学グローバルエデュケーションセンター非常勤講師としての活動や、特定非営利活動法人 日本ネットワークセキュリティ協会（JNSA）などでも活動を行う。