「レジリエンス」という言葉は、今のところは広辞苑に載っていないようです。IT業界では数年前からよく聞くようになった言葉ですが、日常ではあまり耳にしません。英語の辞書でResilienceを引くと、「回復力」、「復元力」、「弾力」などの訳語が出てきます。英英辞典には「the capacity to withstand or to recover quickly from difficulties(困難に耐える、または困難から迅速に回復する力)と「the ability of a substance or object to spring back into shape(物質または物体が元の状態に戻る力)」という二通りの意味が書いてあります。レジリエンスには、「回復力、復元力、弾力」に加えて、「耐性」という意味もあるようです。
この言葉がIT業界で使われだしたのは、サイバーセキュリティの文脈においてです。サイバー攻撃の増加に対して「防御力」、つまりセキュリティ強化が重要だと叫ばれ続けてきた中、サイバー攻撃の巧妙さと頻度が急増し、防御力と同時に、実際に被害にあってしまったときの「対応力」も重視しなければならないという意識の高まりが背景にあります。
サイバーセキュリティ対策として、ゼロトラスト アーキテクチャを採用したり、高度な検知システムを導入したりと、多くの企業は防御力の強化に抜かりはないのですが、サイバー犯罪者はそれでも防御の網の目をかいくぐってきます。たとえば、AIの発達はサイバー攻撃の検知システムを強化してくれる一方で、犯罪者側もAIを活用して手口を巧妙化し、防御を上回ってくるので、どんなに守りを固めても、完全に守り切るのは不可能な状況になっています。「サイバー攻撃はいつか必ず来るものと思って備えるべき」と、ITセキュリティの専門家は口々に地震学者のようなことを言っています。
サイバーレジリエンスはなぜ重要なのか
サイバーレジリエンス戦略では、サイバーセキュリティを脅かす事象への対応のみならず、通常の業務環境にいち早く戻ることが重視されます。これは、必ずしも、事態発生前とまったく同じ状態に戻ることを意味しません。企業のIT責任者や業務責任者が、早急に復旧すべきものと急ぐ必要のないもの、あるいはまったく復旧する必要のないものを仕分けして、優先順位を付けることもできます。サイバーレジリエンスでは、サイバー脅威に順応していくことが大切なので、何事もなかったかのように元に戻るのではなく、サイバー攻撃を受けたという経験を価値に変換すべきです。足らなかった部分を修正して、事態発生前よりもサイバーセキュリティがさらに強化された体制に生まれ変わる必要があります。
サイバーレジリエンスの目的は、被害の大きさと復旧にかかるコストを最小限に抑えることです。サイバーレジリエンス戦略を確立することで、サイバー攻撃に晒された状況下でも業務を継続し、財務状況と企業の信用を維持することができます。重要なデータを保護するのはもちろん、顧客の信頼、コンプライアンスの準拠、財務状況の健全性を維持するためにも、レジリエンスを高めることが重要になります。
サイバーレジリエンスとサイバーセキュリティの違い
サイバーレジリエンスは、サイバーセキュリティとは切っても切れない関係にありますが、サイバーセキュリティと同じものではありません。サイバーレジリエンス戦略では、事業継続(Business Continuity)プランと障害復旧(Disaster Recovery)プランに加え、インシデントレスポンス(Incident Response)プランが重要な意味を持ちます。セキュリティを脅かす事態(インシデント)が発生したときに、組織内の各部門(IT、ビジネス、広報など)がどのように役割を分担し、どのように連携して、どのような順番で何を行うのかを、最悪の事態を想定して、普段から準備しておかなければなりません。
つまり、サイバーセキュリティは防御力を強化する取り組みであり、IT部門の役割が大きな位置を占めますが、サイバーレジリエンスはインシデント発生時に業務の維持と迅速な回復を確実にするためのものであり、IT部門だけでなく、組織全体のチームワークがより重要になります。
サイバーレジリエンスの検証
サイバーレジリエンスは社内で継続的に検証する必要があります。特に、インシデントレスポンスプランの定期的な見直しは欠かせません。インシデントレスポンスを検証するうえで重要な指標となるのは、インシデント検知にかかる時間、レスポンスまでの時間、RTO(目標復旧時間)などです。地震などの災害と同じように、緊急事態の発生時にチームが効率的に動けるよう、普段からあらゆるインシデントを想定して予行演習を行い、インシデントレスポンスプランをブラッシュアップしていく必要があります。
それでも、いざ実際のインシデントが発生したら、想定どおりに進まないことも出てくるかもしれません。英語でよく引用される格言に「No plan survives first contact with the enemy」というのがあり、「敵と遭遇した後も役立つプランはない」と訳されることがあります。しかし、プランがsurviveしないとは、すなわち同じプランではいられないという意味なので、「敵と遭遇してもなお変更不要のプランはない」のほうがより正確な訳です。「プランは実戦を通して完成していく」と肯定的に言い換えてもよいかもしれません。これはインシデントレスポンスプランにも当てはまります。
とは言え、最初のプランがうまくいかずに大敗を喫してしまっては、レジリエンスがあるとは言えません。プランAがうまくいかなかったときの代替プラン(プランB)とその代替プラン(プランC)も用意しておいて、実践を通してプランを修正しながらも被害を最小限に抑えるのが理想的です。打たれながらも一層強靭な抵抗力を身につけていけたら、まさにそれこそが「レジリエンス」です。
サイバーレジリエンスを強化するツール
サイバーレジリエンスを強化するためのソリューションやサービスには、さまざまなものがあり、年々進化しています。AIを活用した脅威検知インテリジェンスも発達しており、高度なモニタリングや自動インシデント対応システムも開発されています。しかし、サイバー攻撃を受けてしまったときに絶対に欠かせない基本中の基本となるのは、バックアップです。バックアップをどのくらいの頻度で取り、どこに保管するかは、今も昔もレジリエンスの最大かつ不可欠な要素です。
逆に言えば、このバックアップを使いものにできなくすれば、ランサムウェアなどのサイバー攻撃は確実に相手を屈服させられるので、近年のサイバー犯罪者はあの手この手でバックアップファイルを狙ってきます。バックアップを変更不可(イミュータブル)にしたり、ネットワーク外のアクセスできない媒体に保管(エアギャップ)したりすることも、レジリエンス強化策の核となりつつあります。
バックアップの管理はIT担当者の役割ですが、前述のとおり、レジリエンス強化は組織全体で取り組むべき課題です。企業では、ITリーダーだけでなく、ビジネスリーダーが積極的にレジリエンス強化に関わり、普段から非常事態に備えた連携を綿密に確認しておく必要があります。今日「サイバーレジリエンス」は、ITの問題ではなく、企業経営の根幹を成す要素の一つとなっています。
関連トピックス
- コロナ禍で急務となるITレジリエンスの獲得 ― 実現のための3要素
- Veeam Data Platform 12.3のリリースダウンロード可能に🚀
- ランサムウェアの検知 :データ保護がレジリエンス(耐久性)を高めるその仕組み [Zerto]
- VMware vSphereでのバックアップとリカバリ改善【VMWare専用 バックアップ & レプリケーションソフト Veeam】
- Zerto 10の Cyber Resilience Vault とは
- Zertoによるデータ保護の最新情報:2024年Q3版
- サイバーセキュリティにはお金がかかる、は本当か?
- ファイルレベルリストア時のタイムアウトエラー [Veeam Backup & Replication]
- StarWind vs DataCore とのSDS比較
- Zerto 9.5での機能追加