“いかに防ぐか”から”いかに備えるか”へ
事業継続として取り組むサイバーセキュリティの新常識

サイバー攻撃の多様化により、全ての脅威を予め防ぐことが困難な時代に突入しました。このようななか、注目が高まっているのが「セキュリティ・レジリエンス」という考え方です。サイバー攻撃を受けても事業を継続していくためには、企業はどう取り組むべきでしょうか。サイバーリスクの発現を前提に、侵入後の速やかな回復を意味する「レジリエンス」という新しい考えの実践ポイントを解説します。

”危機の常態化”で生き残るためのレジリエンス

平成最後の年となる2019年はG20サミットやラグビーワールドカップが予定され、来年には東京オリンピック・パラリンピック大会、2025年には大阪万博など、国家的イベントの開催が予定されています。一方で、2018年は近年稀に見る自然災害の多かった年でもあり、2019年早々の1月3日には、熊本を震源とした最大震度6弱の地震が発生しました。企業活動では、AIやIoTの活用が進むことで、新たなサイバー脅威も予測されています。

振り返ると、平成はグローバル化とICTの普及、さらにはデジタル化の波が押し寄せ、企業環境に大きな変化をもたらしました。同時に企業を取り巻くリスク環境も大きく変わりました。企業は多くの自然災害や大規模なICT障害、サイバー攻撃に見舞われ、社会インフラを担うシステムの停止やサプライチェーンの寸断など、経済活動が停止するような不測の事態が多く起こりました。いわゆる、"危機の常態化"です。

この危機の常態化を受けてリスクマネジメントへの取り組み方も過去10年の間に"リスクをいかに予防するか"という考え方から、"リスクの発生前提のもとでいかに備えるか"という考え方に大きくシフトしました。ビジネスの分野で"resilience:レジリエンス"という言葉が多用されている現象もその一つです。"レジリエンス"の意味を改めて調べてみると、「復元力、回復力、強靭さ」と訳されます。自然災害であってもサイバー攻撃であっても、あらゆる脅威を事前に想定して予防することが難しいからこそ、レジリエンス向上が必要である事は、すでに多くの経営者の方の共通認識となっています。
では、どう備えればよいのか、レジリエンスを向上する取り組みを紹介します。

「機能保証」としてのセキュリティ・レジリエンス

では、サイバーリスクに対するレジリエンスとはどう考えるべきなのでしょうか。
セキュリティはこれまで防御に対する取り組み、いかに防ぐべきかといった議論、対策がされてきましたが、近年はサイバー攻撃が高度化し、さらに常に最新化することで、防御の限界が認識されるようになりました。いわゆる「事故前提社会」の到来です。

そこで、出来るだけ防ぐといった考え方から、侵入を前提として、迅速に検知し、被害を極小化する力、さらには被害を受けてシステムやネットワークが停止した場合もしくは被害を抑えるために能動的にシステムやネットワークを停止した場合には、早期に復旧する力がこれからの組織には求められます。これが、”事業継続として取り組むサイバーセキュリティ”の考え方です。

また、復旧については、重要インフラサービスの提供に支障が生じると国民の安全・安心に影響が生じる可能性があるため、サービスを安全かつ持続的に提供するための取り組みである「機能保証」という考え方が事業者や関係機関に求められています。この考え方は、政府が2017年に作成した「重要インフラの情報セキュリティ対策に係る第4次行動計画」にも盛り込まれています。

機能保証の考え方のもとに、危機時において必要なサービスレベル（最低許容サービスレベル）とそのサービスレベルの最大許容停止時間（MTPD）を定義した上で、その範囲内で目標復旧時間（RTO）と事前に定めます。その上で、平時から目標達成に必要な備えをしておくことがレジリエンス向上の取り組みになります。

レジリエンス向上の要諦となるリスクベースアプローチ

セキュリティ・レジリエンスの取り組みでは当然にコストが伴うため、際限のない対応はできません。そこで「リスクベースアプローチ」が重要となります。このアプローチでは、ビジネスリスク観点でサイバー脅威をアセスメント（リスクアセスメント）し、本当に守るべき経営資源が何であるのか、その経営資源についてどんな脆弱性があるのかを認識した上で、合理的な対策を講じていきます。これにより、セキュリティ投資の合理性・客観性が担保できるので、組織内のコンセンサスも得やすくなります。

富士通総研が考えるリスクアセスメントのプロセスは「ビジネスリスク分析」と「ICTリスク分析」からなります。「ビジネスリスク分析」フェーズでは、機能保証や事業継続などの観点から重要システムを把握（スコーピング）します。そこでスコーピングされた重要システムに関して、どのような脅威・脆弱性が存在するのかを、次の「ICTリスク分析」フェーズで分析し、課題抽出を行います。「ビジネスリスク分析」はICT-BCPなどを策定する際にビジネスインパクト分析（BIA）を実施されている組織であれば、そのアウトプットを活用することも可能です。また、「ICTリスク分析」では、起こりうる事象のリスクシナリオを作成し、リスクを可視化する机上でのリスク評価作業です。

経営者も参画するセキュリティ・レジリエンスのプロセス構築

最後に、セキュリティ・レジリエンス強化の組織内における取り組みについて俯瞰します。

上の図は、上部が組織内のプロセス、下部が経営者の関わり方を記載しています。セキュリティ・レジリエンス強化のプロセスでは、際限のない対応にならないように、リスクの絞り込み、優先順位付けとしてのリスクアセスメントが重要になります。リスクアセスメントの結果を踏まえて、重要なサービスとそれらを構成する設備や施設、情報やICT、さらにはサプライチェーンなどの経営資源を特定した上で、それらの経営資源に係るリスクの予防と、有事の備えを行います。ここまでがセキュリティ・レジリエンス強化の取り組みです。

経営者としては、それらの取り組みが本当に有効に機能しているかを組織的にモニタリングするプロセスを確立するとともに、モニタリングの結果を踏まえて、自組織の脆弱性（ここでの脆弱性は、ソフトウェアの脆弱性にとどまらず、組織、プロセス、ルールまで含んだ脆弱性を指します）の理解を深めた上で、適応力向上に必要な投資、人員補強を行い、それら取り組みへの説明責任を果たすことが今後は求められるでしょう。

これが経営者も参画するセキュリティ・レジリエンスのプロセスであり、このプロセスをPDCAとして回しながらスパイラルアップさせていく、中期的な取り組みが今の組織に求められるものです。

2019年1月30日