GTM-MML4VXJ
Skip to main content

English

Japan

  1. ホーム >
  2. コラム >
  3. オピニオン >
  4. サイバーリスク時代のセキュリティレジリエンス

サイバーリスク時代のセキュリティレジリエンス

2016年9月14日(水曜日)

ビジネスや行政の様々な分野で「レジリエンス」というキーワードが使われる場面が増えています。この事象は、私達が直面する環境が複雑かつ変化の激しいものであり、「組織としての適応力」が求められる時代になっていることを示唆しています。セキュリティ分野においてもICTの発達やIoTの進展に比して、サイバーリスクの脅威が年々高まり、すべてを防御するのは難しい時代に突入しています。本稿では、現在、私たちが取り組むべき「セキュリティレジリエンス」についてご紹介します。

1.セキュリティレジリエンスとは

ビジネスや行政の分野で「レジリエンス」という用語が広く使われるようになったのはWEF(注1)の「グローバルリスク2013」が契機です。この報告書により日本でも内閣府の国土強靭化の取り組みが始まっています。その一方で「レジリエンス」の定義は使われる分野によっても異なるため、共通言語として扱うレベルまで一般的には浸透していないのが現状です。そのような中でISO22300における「レジリエンス」の定義は「複雑かつ変化する環境下での組織の適応能力」と訳すことができます。

「レジリエンス」という用語の浸透の時間軸と同期して、セキュリティ分野では、サイバーリスクの脅威が経営課題として認識され始めています。ビジネスにおけるICTの利活用・依存の進展に伴い、サイバーリスクの多様性・複雑性が増し、実際に企業、行政いずれの組織においてもインシデント発生件数、損害額が年々増加しているのです。それだけでなく、サイバー攻撃の攻撃者も「愉快犯」から「営利犯」や「テロリスト」へと変貌するのに伴い、攻撃手法もAPT(注2)などのように高度化し、完全な防御が困難な時代になってきています。

このように現在のセキュリティのトレンドは、インシデント発生前提の考え方に基づき、想定外の事態や動的な状況変化に適応できる組織としての能力が求められるようになってきました。いわゆる「セキュリティレジリエンス」の構築です。セキュリティレジリエンスの構築として、金融や通信、電力などの重要インフラ事業者を中心に現在取り組みが盛んになっているのが、サイバーインシデントへの対応力の強化であり、CSIRT(サイバーインシデント対応チーム)の整備です。

2.サイバーインシデント対応の要諦

従来のBCP/ICT-BCPでは、インシデント対応チームのミッション(例えば、災害対策本部など)は早期復旧でしたが、サイバーインシデントの場合は、迅速かつ適切な初動対応による被害拡大抑制(ダメージコントロール)と顧客や監督官庁とのコミュニケーション、広報部門・法務部門と連携しながらの危機時のIR対応(レピュテーションマネジメント)が加わります。このダメージコントロールとレピュテーションマネジメントにおいて、インシデント対応チームは、収集した断片的かつ不確実な情報に基づいて、経営者の意思決定の材料となり得るインテリジェンスを組み立てて、迅速なエスカレーションをすることが求められます。

このインシデント対応では、「動的な状況変化の監視と不確実な情報に基づく情勢判断、迅速な意思決定のサイクル」をリアルタイムでループさせるOODAループ(Observe(監視)-Orient(情勢判断)-Decide(意思決定)-Act(行動))の確立が不可欠です。OODAループは、リアルタイムの意思決定を行うモデルとしてアメリカ空軍で理論化されたモデルですが、将来予測が困難な近年のビジネスシーンにおいても取り入れられています。セキュリティレジリエンスの構築では、従来から取り組んでいるISMS(注3)やBCMS(注4)サイクルの中で、このインシデント対応のOODAループの訓練や演習を積み重ね、有事の適応力を高めることが肝要となってきます。

【図1】平時のPDCAサイクルと有事のOODAループ
【図1】平時のPDCAサイクルと有事のOODAループ

また、セキュリティレジリエンスの構築の際には、組織内に新たに作り上げるのではなく、多くの企業ですでに導入されているBCPの取り組みを補完、再構築するアプローチを富士通総研では提唱しています。

【図2】BC観点のセキュリティレジリエンス構築ポイント
【図2】BC観点のセキュリティレジリエンス構築ポイント

3.経営としての取り組み

このようなセキュリティレジリエンスの構築は、ようやく先進的な企業においても取り組みが始まっているところですが、そこから得られるケーススタディは、いかに経営者を関与させ、経営課題として位置づけられるかです。今年に入ってからもサイバー攻撃の被害がメディアで取り沙汰されていますが、それでも多くの組織において経営者の危機感はまだまだ希薄と言えます。一方で、昨年末以降、経済産業省からは「サイバーセキュリティ経営ガイドライン」、内閣サイバーセキュリティセンターからは「企業経営のためのサイバーセキュリティの考え方」などの指針が出され、経営者が経営課題としてサイバーセキュリティに取り組むべきという潮流になりつつあります。

では、経営者がサイバーセキュリティに取り組む際のポイントは何でしょうか? 富士通総研では、「ビジネスインパクト」、「セキュリティガバナンス」の2つが重要であると考えます。

  • (1)ビジネスインパクト:経営の意思決定支援
    多くの経営者にサイバーセキュリティの取り組みを聞くと、「対策は考えている/している」という言葉が返ってくるでしょう。しかし、今後求められるサイバーセキュリティの説明責任は、「自社としてのサイバーリスクを認識している」、「現時点での脆弱性を把握し、インシデント発生時のビジネスインパクトを影響展開できる」、「残存リスクが顕在化した際の戦略オプションを立てている(例えば、バックアップシステムに切り替えるのか、二次被害を抑えるために業務サービスを停止するのか)」といったことを経営者が答えられるのか? といったことです。
  • (2)セキュリティガバナンス:現場と経営の橋渡し
    次に必要となるのは、CISOなどの経営層が主体的にセキュリティリスクを管理する仕組みを構築・運用できているかということです。特に組織構造が多層化されている企業においては、「ガバナンス」と「マネジメント」を分離し、責任分界点を明確にしなければ、危機時の迅速かつ適切な意思決定は困難になるでしょう。一方で、CISOは情報システム(IT)のセキュリティだけでなく、制御システム(OT)のセキュリティも含めて全社的観点でセキュリティ投資や危機時の意思決定に取り組むことが今後求められます。

セキュリティレジリエンスの取り組みはまだ始まったばかりで、手本となるモデルがありませんが、それぞれの組織がこれまで行ってきた、セキュリティやBCPの取り組みの延長線上として位置づけ、経営者と現場の意識啓発から始めることが最初の一歩でしょう。

注釈

(注1) WEF : 世界経済フォーラム(World Economic Forum)

(注2) APT : 標的型攻撃の一種で、特定ターゲットに対して持続的に攻撃・潜伏を行い、様々な手法を駆使して執拗なスパイ行為や妨害行為などを行うタイプの攻撃の総称(Advanced Persistent Threat)

(注3) ISMS : 情報セキュリティマネジメントシステム

(注4) BCMS : 事業継続マネジメントシステム

関連オピニオン

関連サービス

【事業継続マネジメント(BCM)】
ビジネスを維持・運営する上で重要なのは、日々の活動を安定化させることです。事故や災害で業務が停止し、復旧が遅れれば収益だけでなく、企業の存続にすら深刻な影響を及ぼすことがあります。

【セキュリティレジリエンスコンサルティング】
シミュレーション演習による気付きから、現状対策レベルの評価、CSIRT*構築支援、インシデント発生時の対応能力を検証する演習までをトータルにご支援します。

大規模地震対応模擬演習やサイバーインシデント対応演習などのお申し込みはこちらから。


藤本 健

藤本健(ふじもと たける)
株式会社富士通総研 ビジネスレジリエンス事業部 シニアマネジングコンサルタント
1996年 富士通株式会社入社後、コーポレート部門を経てコンサルティング部門に異動、2007年より株式会社富士通総研。主な専門は、リスクマネジメント、ITガバナンス、環境・エネルギーなど。近年はICT部門の電力・ガスシステム改革対応のほか、サイバーセキュリティ経営に関するコンサルティングに従事。