サイバー攻撃の被害に遭った際に、被害を最小限にとどめ、かつ早期に事業を復旧させる概念を「サイバーレジリエンス」と呼ぶ。ガートナーはこの定義に加えて、『変化するビジネス環境や増大するデジタル・リスクの中で、企業や組織が事業を継続し、存続し成長するための総合的な取り組み』とも述べている。

これまでは境界型セキュリティ対策によって社内ネットワークにある情報は守られるという考え方が一般的だった。しかし、サイバー攻撃の多様化や、内部不正による脅威にも対応しなければならない。また、IoTを起点にあらゆるモノがインターネットにつながるため、サイバーセキュリティの脅威の範囲も広がっている。さらにSaaSやIaaSで構築したWebアプリケーションは、社内ネットワークへの攻撃がなくとも、ベンダーが契約するクラウドが攻撃された際には、社内に被害が及ぶ可能性がある。

このような状況で、近年のセキュリティ対策は境界型からゼロトラストやSASEを導入する傾向となっているが、それでもなお、全ての脅威を取り除くのは困難だ。

サイバーレジリエンスは、組織内のシステムの抵抗力と回復力を向上させる。

独立行政法人情報処理推進機構が発表した「情報セキュリティ10大脅威 2025 [組織編]」では、ランサム攻撃による被害が10年間連続で選出されている。ランサムウェアの被害を受けると、データが暗号化され、必要な情報にアクセスできなくなってしまう。

2024年6月には大手出版会社がランサム攻撃を受けて、同社の動画配信サービスや受注システム、物流機能、経理システムなどが停止する被害が発生している。

サイバーレジリエンスの導入は、IT-BCPの一環にもなる。また、経営者目線でもステークホルダーに自社のセキュリティ対策を説明する際に、サイバーレジリエンスの取り組みを説明できることは大きなメリットとなるだろう。

サイバーレジリエンスは、ゼロトラストやSASEのように新たなシステムを導入する手法ではない。ガートナーの提唱する方法を見ていこう。

サイバーレジリエンス戦略の策定

企業にとって重要な資産、データなどを洗い出すと同時に、それに伴うリスクを考えながらサイバーレジリエンス戦略を策定する。セキュリティやリスクだけでなく、ビジネスの継続性や危機管理なども併せて統合的な枠組みとして定義すると良いだろう。

また経営層やCISO（最高情報セキュリティ責任者）などがインシデント発生時に意思決定を行えるように指針を設けておく必要がある。

体制の整備

続いて情報セキュリティガバナンスモデルを構築する。経済産業省によると、情報セキュリティガバナンスとは、『コーポレート・ガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること』と定義している。

経営層やCISOとのコミュニケーションが円滑に行えるフレームワークを整えておくことも重要だ。

セキュリティリスクへの対策強化

社内のセキュリティガバナンスを構築したら、組織内システムにおけるリスクへの対応方法を検討すべきだ。サプライチェーン、サードパーティ、クラウド環境などを含めた組織内のネットワークを可視化し、監視体制を構築する。

また同時にインシデント対応計画（IRP）を策定することで、サイバー攻撃などが発生したときの対応や役割を定義する。

継続的アップデートと改善

サイバー攻撃の手法は日々変化しているため、サイバーレジリエンスを継続的に行い、改善を重ねていくことが重要だ。

具体的にはゼロトラスト、SASE、AIを活用した最新のセキュリティ対策の導入を検討し、導入後もパフォーマンス指標（KPI）と、主要リスク指標（KRI）に取り入れることで、指標として継続的に追うことが可能である。

サイバーレジリエンスの概念自体は比較的新しく、まだ取り入れていない企業も多い。しかし日々巧妙化するサーバー攻撃の脅威に対応するためには、今後ますます重要な手法となってくるだろう。ベンダーには、セキュリティ対策の一環としてサイバーレジリエンスの考え方をフックに提案してみてはどうだろうか。