停止できない業務に“回復力”を セキュリティ対策「サイバーレジリエンス」とは 金融業界を例に解説
サイバー攻撃の手段が多様化する中、セキュリティ対策「サイバーレジリエンス」に注目が集まる。インシデント発生時の被害を抑え、業務を継続するための考え方を、対策が進む金融業界を例に解説する。
企業を取り巻くITの状況が激変し、サイバー攻撃の手段が多様化・巧妙化する現在、「守る」だけのセキュリティ対策でインシデントを100%避けることはほぼ不可能だ。しかし万が一の事態になった際、ビジネスを停止させるわけにはいかない。
そこで「サイバーレジリエンス」という考え方に注目が集まっている。レジリエンスとは「回復力」を意味する。サイバー脅威の侵入を前提にし、被害を最小限にとどめて早期にシステムを復旧させることに焦点を当てたものだ。具体的には、サイバーセキュリティ対策を数段階に分割して「異常の検知」「攻撃の防御」「インシデントからの復旧」という一連の対応を素早く行うことでビジネスへの影響を抑える。
このサイバーレジリエンスの導入を早くから推奨したのが金融業界だった。G20諸国の金融当局を中心にしたバーゼル銀行監督委員会が、銀行の業務継続に関する7原則を2021年に公表。「混乱があっても重要な業務を遂行できる銀行の能力」として、サイバー攻撃や自然災害の発生時におけるリスク管理や業務継続、IT環境のセキュリティ対応など7領域について原則を示した(※)。
※バーゼル銀行監督委員会の「オペレーショナル・レジリエンスのための諸原則」(21年3月)で示された
国内でも、金融庁がサイバーレジリエンスの必要性を訴えている。重要インフラが多い金融機関の対策はさまざまな企業で参考になるだろう。今回は金融庁への取材を基に、サイバーレジリエンスについて紹介する。
特集:「破られたら終わり」にならないために 回復する力「サイバーレジリエンス」の可能性
情報セキュリティにおいては、サイバー攻撃を受けないための対策をはじめ「守りを固める」ことが重要だ。しかし、全ての攻撃を完璧にシャットアウトするのは難しい。被害を抑えるには、万が一破られたときの対処と復帰も考えなければならない。本特集では、そんな「回復力」に着目した「サイバーレジリエンス」の基礎と事例について解説する。
停止できないIT環境 レジリエンスが重要なワケ
銀行や証券、保険といった金融業界は社会インフラに等しく、ミッションクリティカルなITシステムが多いため一般企業に比べてサイバーセキュリティ対策が進んでいる。しかしサイバー攻撃やインシデントの増加は金融業界も例外ではなく、大規模な被害こそ発生していないものの対策の強化が求められている。
さらに世間的な潮流と同じく、金融業界でもクラウドサービスの浸透やフィンテック企業の参入、金融サービス間の連携が進むなどIT環境が変化した。サービス利用者の利便性や経営の効率化が進むといったメリットがある反面、サイバー攻撃の起点が増えたりサプライチェーン上のリスクにも警戒する必要があったりと、サイバーセキュリティを巡る状況は楽観視できないのが現状だ。
そうした中で、金融庁は22年に「金融分野におけるサイバーセキュリティ強化に向けた取組方針」を改訂。外部環境の変化によって生まれたリスクへの対応として、サイバーレジリエンスの必要性を明記した。万が一の事態に遭遇しても、業務や顧客への影響を最小限に抑えることが狙いだ。
金融機関においては、未然防止の施策に加え、インシデントによって業務が中断した場合も、業務や顧客への影響を許容水準内に収めるよう、訓練・テスト等を通じて、業務やサービスの強靭性・頑健性・冗長性を高めることが一層求められている。このため、金融庁では、インシデント発生時におけるサイバーレジリエンスの強化に向けた取組みを金融機関に促していく。
――金融分野におけるサイバーセキュリティ強化に向けた取組方針(Ver. 3.0)より
金融業界ではまだまだ境界型防御に依存しているケースが多いため、金融庁は「その対策が本当に適切なのか」を改めて確認してほしいと呼びかける。そこで検討のテーブルに挙がるのがサイバーレジリエンスというわけだ。
非金融業界にも有効 サイバーレジリエンスの取り組み方
では、サイバーレジリエンスにどう取り組めばいいのか。重要なのは「検知」「対応」「復旧」の3段階を適切に運用することにある。まずサイバー攻撃や不正アクセス、ランサムウェアへの感染といった異常を素早く検知する体制を作る。そのためには、自社が保有するIT資産や従業員が使うデバイスなどのエンドポイントを可視化するなど状況を把握・管理する、ITシステムのリスク評価を常日頃から行なうなどが必要だ。
異常を検知した後、早期に対応すれば被害の拡大を抑えられる。もし被害に遭っても、一部ネットワークを遮断する、マルウェアに感染したデバイスを隔離するなどの対応を迅速に取ることが大切だ。そうしたインシデント対応を担う専門チーム「CSIRT」(Computer Security Incident Response Team)を活用する企業も多い。
そして被害からの復旧を進めるのがサイバーレジリエンスの肝だ。復旧するシステムや業務の優先度を決める、バックアップ環境に移行する、どの時点まで戻すかあらかじめ決めるといった対策で、影響を可能な限り小さくする。
こうした対策は金融業界ではもちろんのこと、非金融業界の企業でも有効だと金融庁は見ている。
レジリエンスに欠かせない経営戦略 経営層の関与が重要に
サイバーレジリエンスの対策を進めることで、インシデントが致命傷にならずに済む可能性が高まる。こうした対策に加えて、企業の経営層がリーダーシップを発揮してサイバーセキュリティに取り組むことが重要だと金融庁は訴えている。
金融業界でも、サイバーセキュリティに関するリスクをIT部門が認識していても、経営陣に報告していない、報告しても活用できていない状況もあるという。事業の停止は、そのまま企業経営に直結する問題だ。復旧や事業継続の内容についても、経営戦略に照らし合わせて考える必要がある。
サイバーセキュリティ対策やサイバーレジリエンスの考え方は中長期的な視点で、IT部門内だけではなく組織の末端にまで広めていき、そこに経営層がしっかり関与するべきだと金融庁は働きかけている。
関連記事
- 「防御を破られました。もう終わりです」とならないセキュリティの新常識 いま知りたい“復帰力”の基礎
近年、情報セキュリティ業界で「サイバーレジリエンス」という概念が注目されている。サイバーレジリエンスとは何か、どのように実現するのかをSplunkの専門家に聞いた。 - 自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏 「従業員はトラウマに」
AWS上のDBからデータを盗み出し、自社のCEOに社内SNSを通して身代金を要求する障害訓練を行ったfreee。従業員にトラウマを与えたというこの訓練には、どんな目的があったのか。キーパーソンに実施の背景や効果を聞く。 - 「うちの情報、freeeから漏れたんじゃないんですか?」 顧客から問い合わせ殺到──したらどうする? freeeが再び全社訓練
「自社のDB破壊しCEOに身代金要求」──2021年にこんな障害訓練を実践したfreeeが、今年も新たな訓練を実施。今回のシナリオは? - 「いまこの脅威が危険」は経営層に刺さらない 理解を得るには? 内閣サイバーセキュリティセンターに聞く
サイバーセキュリティ対策は経営層の理解が欠かせない。「ひとごとではない」と内閣サイバーセキュリティセンターの内閣参事官は話す。 - クラウドからの情報漏えい、責任は誰に? SaaSやPaaSの大前提「責任共有モデル」とは 総務省が解説
クラウドの管理ミスで情報漏えいした――こんなセキュリティ事故の責任は誰にあるのか。クラウドサービスの利用企業が把握すべき大前提「責任共有モデル」を総務省の担当者に聞いた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.