サイバー攻撃で事業を停止させない「レジリエンス経営」
企業のDXが加速する一方、ランサムウェア(身代金要求型ウイルス)に代表されるサイバー攻撃の脅威は年々増加しており、企業やサプライチェーン全体の経営が脅かされている。こうしたリスクに打ち勝ち、持続可能な組織をめざすための重要な戦略の一つが「レジリエンス経営」だ。レジリエンスとは、回復力や復元力などの意味を指す英単語で、企業においては「レジリエンス経営」をサイバーセキュリティ面から強化する「サイバーレジリエンス」が注目されている。
「近年は、犯罪のプロが身代金を目当てに『ビジネス』としてサイバー攻撃を行うケースが増えてきました。2021年には、地方の病院がランサムウェアに感染し、患者の電子カルテが閲覧できなくなりました。復旧と引き換えに金銭を要求され、2カ月以上も事業を停止せざるを得なかったのです。経営基幹システムへのダメージで事業が停止してしまうことを避けるためにも、サイバー攻撃を受けた際、被害を最小限にとどめ、早期に事業を復旧させるための備え、つまりサイバーレジリエンスを高めておくことが大切です」と松尾 将氏は語る。
NIST(米国立標準技術研究所)は、サイバーレジリエンスを実現するために企業が備えるべき点として、「SP 800-160 Vol.2」で下記4つの力を定義している。
・予測力:攻撃に対する準備態勢を維持する力
・抵抗力:サイバー攻撃の被害の局所化や事業機能を維持する力
・回復力:被害から迅速に回復する力
・適応力:再発防止・体制改善を行う力
サイバーレジリエンスの考え方は、DXが進んだこれからの時代に、企業が意識した方が良いものだと金野弘明氏は言う。「従来のセキュリティ対策は、サイバー攻撃に対する防御、もしくは攻撃そのものを排除することが主な目的でした。これに対してサイバーレジリエンスは、サイバー攻撃を受けることを『前提』としたうえで、被害を受けた際に迅速な回復を図り、事業への影響を局所化・最小化することで事業継続を実現するものです。サイバー攻撃などのリスクにさらされる機会が増えている中、万が一セキュリティ事故が発生してしまった場合には、事業停止による経済的な損失だけでなく信頼性も失い、企業の存続が危ぶまれる事態になりかねません。こうした事態を防ぐためにも、企業はサイバーレジリエンスを取り入れた『レジリエンス経営』をめざすべきだと考えています」。
サイバー攻撃が激化する中、想定外のインシデントが発生しても柔軟に対応し、事業継続性を高める「レジリエンス経営」の実現は、すべての企業にとって避けては通れない重要な課題と言えるだろう。
専門家が支援するサイバーレジリエンス強化策「マネージドセキュリティサービス」
では、企業経営者が、自社のサイバーレジリエンスを強化し、「レジリエンス経営」を実現するためには、どんな施策が必要なのだろうか?
「多くの企業では、従来の境界型防御からゼロトラストセキュリティにシフトし、『すべてを信頼しない』をコンセプトにさまざまなセキュリティ対策を導入しています。それらを『事業継続』という観点から見直し、最適化することによってサイバーレジリエンスを強化することができます。例えば、既存のセキュリティ製品のログなどを定期的に確認・分析し、セキュリティ状況の可視化を行うことで、今後発生する可能性があるセキュリティインシデントの予兆を把握でき、サイバーリスクに対して先手の対策を打てます。このように、日頃からセキュリティ製品を適切に運用することで、インシデントの発生を予防できるのです」と松尾氏。
とはいえ、IT人財の不足が叫ばれる中、セキュリティ製品の運用に必要となる高度なセキュリティ知識を備えた人財を、自社で採用・育成することは容易ではない。
「情報セキュリティに関して、自社で万全の体制を組むことができる企業は、残念ながら多くありません。そのような背景があり、セキュリティ製品の運用を専門家にまかせる『マネージドセキュリティサービス』の需要が増加傾向にあります」と続ける。
「マネージドセキュリティサービス」とは、企業や組織の情報セキュリティシステムの運用管理を、社外のセキュリティ専門企業などが請け負うサービスのこと。コンピュータやネットワークなどに関し高度な技術を持つホワイトハッカーをはじめ、さまざまな資格を有したセキュリティのエキスパートを擁する日立ソリューションズでは、高度なセキュリティの技術や、豊富な実績・ノウハウを活用し、インシデントの監視、インシデント発生時の対応、リスク軽減のための設定変更提案など、さまざまなセキュリティ製品の運用を代行。効果的なセキュリティ運用を支援している。
「レジリエンス経営」が、企業の持続的成長を支える
サイバーレジリエンスを強化するにあたって、まず必要となるのが、自社のシステム運用が現在どのような状況にあるかを知ること、つまり「現状把握と分析」だ。
「日立ソリューションズでは、サイバーレジリエンスの4つの力にもとづいて、企業のセキュリティ環境を独自の観点で評価します。その分析結果から、お客さまのセキュリティ状況や課題に適したマネージドセキュリティサービスを提供しています」と金野氏。
現状把握にあたっては、日立ソリューションズのセキュリティエキスパートが、システムを「攻撃者の視点」で分析して問題点を洗い出し、その解決策を立案する。また、分析結果を報告書で提供することによって、企業全体のセキュリティ状況を把握し、サイバーレジリエンス強化に向けた課題を全社的に共有できる点も大きなメリットだ。
マネージドセキュリティサービスは、さまざまなセキュリティ製品の平時の運用から有事の際の復旧対応まで、サイバーレジリエンスの強化を支援するトータルソリューションだ。さらには「セキュリティ製品の運用を、製品・セキュリティ両方の知識を持つエキスパートにまかせることで、リスクを抑えつつ企業の人員は事業の推進に集中させることができます。DXの効果を最大化させるためにも、マネージドセキュリティサービスをぜひ活用していただきたいです」と松尾氏。
サイバー攻撃を受けることを前提とした備えを行うことで、被害を低減し、事業の継続性を高めるサイバーレジリエンスは、これからの企業経営を考えるうえで不可欠の条件だ。情報をしっかりと守り、管理している企業は、そのことによって顧客や取引先からの信頼を勝ち得て、競合他社に対するアドバンテージを持つことになる。「レジリエンス経営」を強化することが企業の持続的成長を支える……そんな時代がやってきたのである。