近年は、社会全体でデジタル化が進んでいます。企業もデジタル化の影響を受けており、デジタル化に乗り出す企業も少なくないでしょう。
ですが、デジタル化が進むと、同時にサイバー攻撃される可能性も高くなっていきます。情報漏洩や不正送金などがニュースで取り上げられており、心配になる企業も多いのではないでしょうか?
そんなサイバー攻撃の対策として、「サイバーレジリエンス」が注目されています。
サイバーレジリエンスとはどのような対策なのか。サイバーセキュリティとの違いや重要視される理由などを紹介します。
サイバーレジリエンスとは
サイバーレジリエンスとは、簡単に意訳すると「コンピュータの回復力」といった意味となる言葉です。「コンピュータの回復力」とは、どのようなことを指すのでしょうか?
サイバーレジリエンスの定義
米国立標準技術研究所(NIST:National Institute of Standards and Technology)によると、サイバーレジリエンスは「サイバーシステムに対して行われる、悪条件・ストレス・攻撃・侵害に耐え、そこから回復し適応することを目的としたもの」と定義されています。
簡単に説明すると、「サイバーシステムに悪影響が生じた際、影響によってデータが壊れないよう保護し、必要なら修復することでサイバー攻撃に適応する」ことをサイバーレジリエンスと呼びます。
サイバー攻撃に対する防御はもちろん、影響に対して柔軟に対応するまでも含めた能力のことであり、企業のデータを守るための大切なセキュリティ能力といえます。
サイバーレジリエンスの現状
情報通信研究機構(以下NICT)によると、「2022年に観測されたサイバー攻撃関連通信は、合計5,226億パケットに上り、1IPアドレス当たり約183万パケットが1年間に届いた」と発表しました。
これは、年間で計5,226億件ものパケット被害があることを示し、1つのIPアドレスが約183万パケットに悪影響を与えたことを意味します。
また、2013年の観測パケット数は約128.8億件と発表しており、9年間で約40倍にもパケット数は増加しています。
近年はデジタル技術の発展が目覚ましく、デジタル化へ移行する企業は少なくありません。スマートフォンやパソコンも普及したことで、個人の間でもデジタル技術が当たり前となっているのです。
ですが、デジタル技術が浸透するに伴い、サイバー被害も増加傾向にあります。デジタル社会が推進される近年において、今後もデジタル技術の普及と共に被害も増え続けていくと考えられます。
サイバー被害を防ぎ、対応していくためにも、サイバーレジリエンスが必要とされるのです。
サイバーセキュリティとの違い
サイバーセキュリティとは、データ改ざんやデータ流出といったサイバー攻撃を防ぐ対策のことです。ファイアウォールやパスワードの暗号化といった方法を用いることで、外部からのネットワークアクセスを防ぎ、大切なデータを守ります。
サイバーレジリエンスとの違いは、対策か対応の違いです。サイバーセキュリティは外部からのアクセスを防ぐことでデータを守るのに対して、サイバーレジリエンスはリスクに対する対応策を用意することでデータを守ります。
ただ、サイバーセキュリティも対応策の一つであり、そのことから、サイバーセキュリティはサイバーレジリエンスの一部ともいえます。
それぞれ手段や方法は異なりますが、どちらもデータを守るために必要なのには変わりありません。サイバー攻撃を確実に防ぐためには、どちらも導入することが大切です。
ゼロトラストとの違い
サイバーレジリエンスと同様に話題になっているセキュリティとして、ゼロトラストが挙げられます。
ゼロトラストは、従来のネットワーク境界防御モデル(信用する領域である社内と信用しない領域である社外に境界を設けて、境界内部に守るべき資産があるという前提の防御モデル)の概念を捨て去り、システムにアクセスするものはすべて信用せず(信用=Trust が ない=Zero)、その安全性を検証することで情報資産への脅威を防ぐ考え方です。
ゼロトラストが防御に重点を置いていることに対して、サイバーレジリエンスは被害からの復旧に重点を置いた取り組みで、サイバー攻撃を前提として、それを防御して攻撃による被害を低減しつつ、迅速に復旧することでビジネスを継続する取り組みになります。
日々進化するサイバー攻撃を完全に防御することが年々難しくなってきている現状では、ゼロトラストの考えを取り入れて防御し、なおかつサイバーレジリエンスの考えに基づいて被害からの迅速な復旧を行なうことで、サイバー攻撃の脅威を最小化していく考え方が注目されています。
DX(デジタル・トランスフォーメーション)化が話題となる近年。様々な業界でデジタル化、DX化が進んでいます。クラウドサービスの利用によって働き方も以前とは変わってきており、IT技術の発展に多くの企業が注目をしています。 ですが[…]
サイバーレジリエンスが重要視される5つの視点
なぜ、近年サイバーレジリエンスが重要視されているのか。その理由を5つの視点からみてみましょう。
- 変遷するセキュリティの境界
- 巧妙さと凶悪さを増しているランサムウェア
- 社内からのセキュリティや情報漏洩の脅威
- DXが進んだことによる復旧コストの増大
- EUサイバーレジリエンス法
変遷するセキュリティの境界
一つ目は、自社セキュリティの境界線があいまいであるためです。在宅ワークにも対応できるよう、サイバーレジリエンスが求められています。
新型コロナウイルスの影響により、さまざまな企業が在宅ワークを導入するようになりました。5類感染症に変更された後も、そのまま在宅ワークを導入し続ける企業も少なくありません。
ですが、在宅ワークも外部からのアクセスには変わらず、不明なアクセスとしてサイバーセキュリティが弾いてしまいます。昔は社外と社内で分けることができましたが、社外から社内の仕事をできるようにしたことで、セキュリティの境界をどうすればいいのか判断が難しくなってしまったわけです。
そのため、サイバーセキュリティによってすべて防ぐのではなく、不正アクセスされても問題がないよう、サイバーレジリエンスが使われるようになります。
サイバーレジリエンスなら、自宅からのアクセスでも弾かれる心配はありません。それによって、在宅ワークとセキュリティ対策の両立が可能となるでしょう。
巧妙さと凶悪さを増しているランサムウェア
二つ目は、ランサムウェアが多様化しているためです。さまざまなランサムウェアに対応できるよう、サイバーレジリエンスが求められています。
ランサムウェアは、従来のサイバーセキュリティによる対策で防ぐことが可能です。ですが、ランサムウェアは常に新しい改良型が開発されており、常に対策し続けるのは簡単ではありません。最新のランサムウェアは対策方法も確立しておらず、ランサムウェアによる被害を受けてしまうこととなります。
そのため、最新のランサムウェアにも対応できるよう、サイバーレジリエンスが注目されています。たとえ対策がわからない最新のランサムウェアであっても、攻撃を受けた後の対応がしっかりしていれば、被害を最小限に防ぐことができるのです。
デジタル化社会が推進する近年において、デジタル化する企業も少なくありません。それに伴い、ランサムウェアのターゲットも増えていくといえます。
「初めてのランサムウェアなため、対策ができなかった」では、大切なデータを守ることはできません。どのような状況であっても守れるよう、サイバーレジリエンスによる対応が必要とされます。
近年、デジタル社会への取り組みとして、様々なモノがインターネットでつながるようになりました。遠隔操作や自動化なども可能となり、より社会は便利になってきています。 ですが、便利になる一方でサイバー攻撃による心配も増えてきています[…]
社内からのセキュリティや情報漏洩の脅威
三つ目は、社内からのリスクが増えているためです。社内からの情報漏洩を防ぐため、サイバーレジリエンスが求められています。
いくら最新のサイバーセキュリティを導入したとしても、社内から流出されてしまってはどうしようもありません。サイバーセキュリティはあくまでも外部からの不正アクセスを防ぐためのものであり、内部から外部への情報漏洩は対象外だからです。
顧客情報の流出はもちろん、会社の資産を不正送金する事案も過去にはありました。そのような被害から自社を守るためにも、リスクを想定した対応が必要となります。
DXが進んだことによる復旧コストの増大
四つ目は、DXが進んだことで復旧コストが増えているためです。復旧費用を減らすため、サイバーレジリエンスが求められています。
DX(Digital Transformation)とは、AIやIoTなどを導入することで、働き方を新しく変革する方法のことです。簡単に説明すると、「AIやIoTなどによって仕事や生活が、より便利になる」と思っていいでしょう。身近な例を挙げると、スマートホームが挙げられます。
DXが進むことで、社内や工場の仕組みはデジタル化していきます。顧客情報などの情報もデータ管理となり、管理がスッキリするでしょう。
ですが、すべてデジタル化するということは、すべてがランサムウェアの対象であることも意味します。ランサムウェアによる被害を受けた場合、すべての仕組みに悪影響が出てしまうわけです。
復旧が必要な場合も、すべての仕組みを復旧する必要があり、膨大な復旧費用がかさんでしまいます。さらに、復旧中は仕事ができないことから収入もなくなり、企業は甚大な被害を受けてしまうでしょう。
そのような被害を出さないためにも、被害を最小限で抑えられるよう、サイバーレジリエンスによる仕組みが必要となってきます。
EUサイバーレジリエンス法
五つ目は、EUサイバーレジリエンス法が制定されたためです。違反した場合に高額の賠償が発生する可能性があることから、サイバーレジリエンスが求められています。
EUサイバーレジリエンス法は2025年に適用される法案であり、主な内容は、「デジタルの要素を持つ製品」に対してセキュリティ対策を義務付けるものです。近年はサイバー攻撃が増加傾向にあるため、その対策として可決されました。
似たような法律には、2018年に施行された「EU一般データ保護規則(以下GDPR)」が挙げられます。GDPRもデータ保護を目的とした施策であり、EUサイバーレジリエンス法もGDPRと大体同じと思っていいでしょう。
EUサイバーレジリエンス法は、主にEU域内で販売されるものを対象としており、日本は関係ないといえるかもしれません。ですが、近年はグローバル化が進んでおり、EUとの貿易も増えています。
また、EUで作られたものが対象となる場合、EU製のものを扱うことで、ECと直接取引がなくても対象となる可能性があります。
日本の企業であっても、うっかりEUサイバーレジリエンス法に触れてしまう可能性はゼロではありません。そのことから、法律に触れないようサイバーレジリエンスが重要視されています。
サイバーレジリエンスを高める5つの備え
サイバーレジリエンスを高める方法として、NISTはサイバーセキュリティフレームワークを提唱しました。「識別」「防御」「検知」「対応」「復旧」の5項目を行うことで、サイバー攻撃によるリスクを最小限に抑え込みます。
- 識別(ID)
- 防御(PR)
- 検知(DE)
- 対応(RS)
- 復旧(RC)
それぞれどのようなことをするのか、確認してみましょう。
識別(ID)
まずは、リスクに対するセキュリティ対策を明確にします。どのようなリスクが存在し、どのような影響を及ぼすかがわからないと防御も対応も行えません。次のステップに活かすためにも、リスクについて知る必要があります。
主な方法には、自社のシステムの脆弱性を検証する「脆弱性診断」や「ペネトレーションテスト」などが挙げられます。
識別の項目で、自社の弱い部分を明確にしてください。
ちなみに、情報記事によっては識別の代わりに「特定」と明記してありますが、どちらも同じことです。リスクや対策に必要なリソースを明確にすることを意味しますので、別のものとして考える必要はありません。
防御(PR)
リスクを明確にしたら、次は防御の準備です。リスクに対して効果的な防御手段を準備します。
主な方法には、不正アクセスを禁ずる「ファイアウォール」や、マルウェアを駆除する「アンチウイルスソフト」などが挙げられます。
いわゆるサイバーセキュリティの範囲であり、外部からのサイバー攻撃に対して、自社のデータを守るのです。
また、セキュリティ研修やトレーニングといった、アナログな対策も重要です。いくら優れたセキュリティを用意しても、社員のセキュリティ意識が低いと情報は流出してしまいます。
社内からの脅威をなくすためにも、社員の教育も大切な要素です。
検知(DE)
防御の準備ができたら、検知手段を準備します。迅速な防御を可能にするためにも、迅速にサイバー攻撃を検知する必要があるでしょう。
主な方法には、ログ情報から検知する「EDR」や不正侵入検知システムである「IDS」などが挙げられます。
また、サイバー攻撃だけではなく、攻撃によって発生する出来事を監視することも大切です。いわゆる二次被害のことであり、どのような影響が出ても対応できるよう、企業全体をリアルタイムで監視できるようにしましょう。
対応(RS)
検知によってサイバー攻撃が発覚したら、サイバー攻撃に対して対応します。準備していた防御手段を行うのはもちろん、サイバー攻撃先の特定やデータの確認など、攻撃された後の対応も行います。
主な方法には、統合ログ管理ツールである「SIEM」やリスクの度合いを評価する「UEBA」などが挙げられます。
サイバー攻撃の被害が最小限に抑えられるよう、しっかりとした対策やマニュアルの準備などが大切です。
ほかにも、社内だけではなく、社外への対応も忘れてはいけません。親会社や取引先、株主などへの連絡や説明会も行ってください。
復旧(RC)
もし、サイバー攻撃によってデータが損壊してしまったら、データを復旧させます。仕事への影響を最小限に抑えるためにも、迅速な復旧が求められます。
主な方法には、データを避難させておく「バックアップ」が挙げられます。事前に正常なデータを複製しておけば、すぐに元の状態に戻せるでしょう。
ただ、バックアップデータはネットワークと切り離した場所に隔離することが大切です。ネットワークにつないだままだと、バックアップデータもサイバー攻撃の対象となってしまいます。
クラウドサービスは便利でバックアップも作りやすいですが、サイバー攻撃される可能性があるため注意が必要です。企業の中核を担うデータをバックアップする際は、ネットワークから隔離されたデバイスに保管しましょう。
また、復旧が必要になるということは、被害を抑えきれていないことを意味します。次回攻撃された際に今度は復旧が必要とならないよう、防衛対策をアップデートしていきましょう。
まとめ:今後のBCPにも必須な対策となるサイバーレジリエンス
サイバーレジリエンスは、被害を最小限に抑えるための手段のことです。サイバー攻撃を防ぐだけではなく、サイバー攻撃への対応を準備することで、さまざまなサイバートラブルに対処できるようにします。
近年は、企業や工場のデジタル化が推進しており、今後はデジタル技術をベースとした事業が中心となっていくと考えられます。
BCP(事業継続計画)を続けるためには、デジタル化社会に合わせた対策が必要です。デジタル被害から自社をまもるためにも、ぜひサイバーレジリエンスの構築・導入を検討してください。