サイバーレジリエンスは、NIST(米国立標準技術研究所)が公開している資料「SP 800-160: Developing Cyber-Resilient Systems: A Systems Security Engineering Approach」に具体的な考え方や手法がまとめられています。
PDFで310ページにも渡る長大な資料ではありますが、注目すべきはサイバーレジリエンスのゴールとして「予測力」(ANTICIPATE)、「抵抗力」(WITHSTAND)、「回復力」(RECOVER)、「適応力」(ADAPT)が挙げられている点です。それぞれのキーワードは、以下のように説明されています。
そしてこの資料では、サイバーレジリエンスを「サイバーリソースを含むシステムの悪条件、ストレス、攻撃、侵害を予測し、それに耐え、回復し、適応する能力」(the ability to anticipate, withstand, recover from, and adapt to adverse conditions, stresses, attacks, or compromises on systems that include cyber resources.)と定義しています。この能力は、これまでの「サイバーセキュリティ」とは何が異なり、実現に当たって何が必要になるのでしょうか。
サイバーセキュリティは、リスクをゼロに近づけるための「防御」に徹していました。仮にサイバーレジリエンスに取り組むとしても、この考え方がなくなることはありません。サイバーセキュリティにプラスして、サイバー攻撃の被害が日常化するリスクがあることを念頭に、事業稼働率を高めていくことが、サイバーレジリエンスの基本です。
これにより、被害が起きた場合でも、ダメージを局所化し、事業稼働率を向上するだけでなく、早期の復旧を目指すための施策が正しく回ることを目指します。
そのため、検知/対処のためのEDR(Endpoint Detection and Response)やシステム健全性を維持するためのCSPM/SSPM(Cloud / SaaS Security Posture Management)といったソリューションを導入するだけでは、サイバーレジリエンスを手に入れることはできません。システムの設計段階からセキュリティを考えることや、組織自体のリスクや人/仕組みの脆弱性を評価すること、教育などを含めた対策が必要となります。
例えば、クラウド会計ソフトを提供するfreeeでは、事前に知らせずに疑似攻撃を仕掛け、復旧が想定通りに行えるかという障害訓練を行って、組織全体の力を試しています。また、名刺情報管理サービスを提供するSansanも、物理的な侵入を含めた演習を通じ、人や組織の脆弱性がないかを確かめていることが話題になりました。
参考:自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏 「従業員はトラウマに」
参考:ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入 Sansanが本当にやった“何でもアリ”なセキュリティ演習
freeeの訓練では、セキュリティ部門のみならず経営陣まで巻き込み、有事の際、何が原因の究明を遅らせるか、組織全体で問題を洗い出しています。また、社員のセキュリティ意識向上にもつながったようです。
一方Sansanの例では、物理侵入も含めあらゆる手段の攻撃を受けた気付きとして、まず攻撃に対する追跡能力を確認。その後に、認証システムなどの改善に乗り出しています。どちらも防御力を高めつつ、攻撃を受けた後の動きまで視野に入れた対応を取っています。訓練の実施そのものを含め、まさに回復力や適応力などを念頭に置いた、サイバーレジリエンスの好例といえるでしょう。
セキュリティ対策が整っているはずの大企業でも、ランサムウェアの被害が報道されている時代では、事業継続に関わるリスクを低減するために、組織にはサイバーレジリエンスの力が必要です。
攻撃、侵害を“予測”し、それらに耐える“抵抗力”を備え、攻撃が起きても“回復力”を持ち、今後やってくるであろう新たな攻撃に“適応”する力がサイバーレジリエンスです。これらの観点でもう一度、自社の対策の脆弱な部分を洗い出し、引き続き組織全体で対策を行うことが、これからのセキュリティ対策で肝要になるのではないでしょうか。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR