ビジネスではいつ何時トラブルが発生するか分からない。震災やコロナ禍を経て、リスクと共存して事業を継続させるための準備が重要だと考えた経営者は多いことだろう。このように不確定な未来に対応できる柔軟性を持った経営をレジリエンス経営と呼ぶ。

レジリエンス経営を実現するために必要な概念が、サイバーレジリエンスである。NIST（米国国立標準技術研究所）のガイドラインによるとサイバーレジリエンスは「サイバー資源を含むシステムに対する攻撃や侵害などを予期し、それに耐え、回復し、適応する能力」と定義されている。すなわち企業にとっては、サイバー攻撃に準備し、事業を継続するために対応する能力こそがサイバーレジリエンスに当たるというわけだ。

なお、サイバーレジリエンスという言葉はしばしばサイバーセキュリティと混同されるが、全くの別物である。サイバーセキュリティは、サイバー攻撃からデータやインフラを守るために必要な技術やデバイスなどを指す言葉だ。すなわち、サイバーセキュリティはサイバー攻撃を受けないために重要な概念であり、サイバーレジリエンスはサイバー攻撃を受けることを前提とし、その被害を最小限に抑えるための概念であると言える。

もちろん、サイバーレジリエンスによってサイバー攻撃の被害を最小限に抑えるに当たっては、優秀なサイバーセキュリティを活用することが大きな意味を成す。従って、企業の経営者はサイバーレジリエンスとサイバーセキュリティ、両方に目を向ける必要があるだろう。

サイバー攻撃自体は古くから存在する。これまで企業は一般的に強力なサイバーセキュリティの社内ネットワークを構築することで被害を未然に防ぐという対策を講じてきた。しかし、DXの推進やクラウドの普及も影響して社内ネットワーク外の環境とも接続してビジネスを進めることが求められるようになっている。

また、コロナ禍以降はリモートワークが浸透したことで、脆弱な家庭用のネットワークをビジネスに利用しなければいけない機会が増加した。このような状況がサイバー攻撃にとって格好の標的となることは言うまでもない。

このような状況から、サイバー攻撃に従来型の対策で立ち向かうことが困難だということが分かる。そこで重要になるのが、サイバーレジリエンスだ。致命的なダメージを受けることなく事業を継続するため、被害を「ゼロに抑える」のではなく「最小限に抑える」という考え方に転換することが求められている。

では、サイバーレジリエンスを強化する際はどのようなポイントに目を向けるべきなのだろうか。その流れとして、下記のようなことが挙げられる。

事業継続のための必須ラインを明確にする

まず重要なのは、サイバー攻撃を受けた際に、事業を継続するために守るべきラインを明確にしておくことだ。具体的には、確実に停止を防ぎたい業務を挙げ、それを成立させるために必要なデータや機器、プロセスといった構成要素をまとめることである。これをまとめることにより、どの構成要素に弱点があるのかを確認可能になる。

具体的な対策の検討

ひとくちに対策と言っても、その内容は「初期対応としてどのような人員が対応すべきなのか」「サイバー攻撃の確認後、業務の続行や停止はどのタイミングで判断すべきなのか」「平時のうちに準備や社内訓練をすべきことは何なのか」など検討すべきポイントは多岐にわたる。

ただし、サイバーレジリエンスはBCP同様にあくまでも緊急時に事業を継続するための準備という側面が強いため、普段のビジネスに影響が出るほどリソースを割く形で対策することは望ましくない。ポイントを絞ることで、効果的かつ負担感の少ない対策を検討したいものだ。

「ぺネトレーションテスト」の実施

また、この対策が本当に機能するのかどうかをチェックする「ぺネトレーションテスト」を定期的に開催することも重要だ。これは、想定されるシナリオに沿ってホワイトハッカーがサイバー攻撃のテストを行うもの。実際にサイバー攻撃が行われた際、どの分野にどのように被害が及ぶのかを確認して、サイバーレジリエンス強化のポイントを検討する参考にしたい。

サイバーレジリエンスはまだまだ国内で浸透しておらず、どのように注力するべきか悩む企業も多いことだろう。そこで重要になるのが企業とベンダーの協力である。特に、導入すべきソリューションについては、企業の判断が難しい側面もある。

ベンダーは専門性を生かして、いち早くソリューションの特性をとらえ、最適な提案につなげる準備を進めておきたい。