サイバーレジリエンスとは？BCPに必須の最新セキュリティ対策

サイバーレジリエンスとは

レジリエンス（Resilience）とは、もともと「回復力」や「復元力」を意味する言葉です。困難な状況に直面しても、しなやかに立ち直り、元の状態に戻る力を意味します。

サイバーレジリエンスは、この概念をサイバーセキュリティの領域に適用したものです。具体的には、サイバー攻撃やシステム障害などの逆境に直面しても、事業を継続し、迅速に復旧できる組織の対応力のことを指しています。「サイバー攻撃による被害を最小限に抑え、速やかに事業を復旧・継続する組織全体の能力」がサイバーレジリエンスなのです。

サイバーセキュリティ対策のひとつに、"何も信頼しない"ことを前提とした「ゼロトラストセキュリティ」という考え方があります。サイバーレジリエンスは、すべてのアクセスを疑い、常に検証するゼロトラストな防御・検知を基盤としながら、攻撃後の検知・対応・復旧までをカバーする、「より広範な事業継続の概念」だと捉えるとわかりやすいでしょう。

組織のBCP（事業継続計画）を立てるうえでも、事業継続性を高めるための対策として、ぜひ取り入れたい視点です。

サイバーレジリエンスを高めるための重要な基盤となるゼロトラストの考え方について、詳しくは以下の記事をご覧ください。
関連記事：ゼロトラストとは？基本概念からメリット・課題までわかりやすく解説

サイバーレジリエンスにおける"4つの目的"

米国国立標準技術研究所（National Institute of Standards and Technology、以下NIST）が発行する技術文書「NIST SP800-160 Vol.2」では、サイバーレジリエンスを「予測・抵抗・回復・適応」という4つの能力を持つ概念として定義しています。

組織がサイバーレジリエンスを高めるためには、これら4つの能力の獲得・向上を最終的なゴール（目的）とした取り組みが必要です。

予測（Anticipate）

単に待ち構えるのではなく、「どのような攻撃が来るか」を事前に想定し、準備状態を維持しようとするのが「予測（Anticipate）」です。

最新の脅威情報（インテリジェンス）を収集し、自社が狙われるシナリオを想定。「もし基幹システムがランサムウェアに感染したら？」といった具体的なリスク評価を行うことが、初動の遅れを防ぐことにつながります。

抵抗（Withstand）

攻撃を受けた際、システムが完全にダウンするのを防ぎ、機能し続けられる状態を保とうとするのが「抵抗（Withstand）」です。

ネットワークを細分化（セグメンテーション）して感染拡大を防いだり、重要なデータを冗長化（二重化）したりして、攻撃に対して「粘り強く」耐える体制を構築します。

回復（Recover）

被害に遭った後、迅速にシステムと業務を復旧させようとするのが「回復（Recover）」です。

確実なバックアップと、復旧手順の明確化を行い、「どの業務から優先して復旧すべきか」という優先順位を事前に決めておくことが、事業停止時間を最小限に抑える鍵となります。

適応（Adapt）

インシデント（情報漏えいなどのセキュリティ事故）から学習し、継続的に対策の改善を試みるのが「適応（Adapt）」です。

攻撃の手口を分析し、「なぜ防げなかったのか」「どうすれば次は防げるか」を検討します。事故の経験を教訓としてセキュリティ対策のアップデートを繰り返すことで、組織をより強固なものに変えていきます。

これら4つの目的に向けた取り組みを実施し、改善のサイクルを回すことで、組織全体の「基礎体力」が向上し、どのような攻撃にも対処できる強靭な体制が整っていく、というイメージです。

結果として、企業のBCPを強化することにもつながります。

従来のサイバーセキュリティとの決定的な違い

サイバーレジリエンスが従来のサイバーセキュリティの考え方と決定的に異なるのは、「どこに視点を置くか」という点です。

従来のサイバーセキュリティ対策は「侵入させない」という防御重視の考え方でした。これは境界防御モデル（企業ネットワークの境界線で外部と内部を分け、境界で防御する方式）に基づき、外部からの攻撃を水際で阻止する発想です。完全防御を前提としているため、万が一侵入を許した後の対応が手薄になりがちでした。

一方、サイバーレジリエンスは「侵入されても事業を止めない」という継続重視の考え方です。攻撃の成功を前提とし、被害の局所化と迅速な復旧に注力。防御・検知・対応・復旧の全フェーズを統合的に強化することにより、どの段階でも適切に対処できる体制を目指します。

つまり、「守る」から「回復・継続」へのパラダイムシフトが起きていると言えるでしょう。

なぜ必要？企業でサイバーレジリエンスが重視される背景

サイバーレジリエンスが重視される背景には、技術環境の変化と規制強化という2つの大きな要因があります。

警視庁の統計によると、ランサムウェアは2022年以降、毎年200件以上の被害が報告されている攻撃手段です。

特に近年では、従来の「二重脅迫型」と呼ばれるランサムウェアを基盤にさらに多様な工夫が加えられ、その手口が巧妙化しています。

また、取引先企業のシステムを経由して本命の企業を攻撃する「サプライチェーン攻撃」や、修正プログラムが配布される前の脆弱性を狙う「ゼロデイ攻撃」といった新たな攻撃手法も次々と出現しており、攻撃を"100%防ぐ"のが現実的ではない状況です。

加えて、クラウド利用やリモートワークの常態化により、攻撃対象となる領域が大幅に拡大しているという背景もあります。

こうした状況は日本国内に留まりません。例えば欧州連合では、デジタル製品・サービスにおけるサイバーセキュリティ対策の強化を目的に「EUサイバーレジリエンス法（CRA：EU Cyber Resilience Act）」を2027年に全面施行予定です。

EU市場でビジネスを展開する日本企業にとっても、対応が不可避な国際標準となりつつあります。

日本国内においても経済産業省が独立行政法人情報処理推進機構（IPA）とともに「サイバーセキュリティ経営ガイドライン」を策定するなど、世界的に法規制や制度整備が強化されている傾向にあります。あわせて、サイバーレジリエンスの確保は、BCP（事業継続計画）における中核的な戦略になる、という経営上のメリットも見逃せません。

サイバー攻撃を前提とした復旧体制を組み込むことで、万が一の際も事業を止めない、あるいは早期に復旧できる体制が整い、取引先や顧客からの「信頼性」を高め、不測の事態でも揺るがない「競争優位性」の確立につながります。

経営層の責任として、サイバーレジリエンス確保が求められる時代になっているのです。

【手順解説】サイバーレジリエンスの具体的な導入ステップ

サイバーレジリエンスの構築は、米国立標準技術研究所（NIST：National Institute of Standards and Technology）が提唱するガイドラインであるNIST サイバーセキュリティフレームワーク (CSF) 2.0を参考に、段階的に進めることが可能です。

このフレームワークでは、セキュリティ対策が「統治・識別・防御・検知・対応・復旧」という6つの機能で分類されていますが、ここでは実務の流れに沿って取り組みやすい4つのステップに再分類して解説します。

Step1. 現状把握とリスク評価

はじめに、「自社が何を守るべきで、そのために何が足りないのか」、現状を正確に把握することから始めましょう。

情報資産の洗い出しと台帳化

社内にあるPCやサーバ、システム、個人情報等のデータ、ネットワーク構成など、保護対象を網羅的にリストアップします。

ここでは各資産の重要度や機密性を分類し、可視化することが重要です。すべてを完璧に守るのは難しいため、「これが止まったら会社が倒れる」という重要資産を特定しましょう。

脆弱性評価とリスクアセスメント

「自社のどこに弱点があるか」を特定する工程です。

既知の脆弱性スキャンや侵入テストにより弱点を見つけ出し、各資産に対する脅威シナリオを想定して影響度を評価します。

ビジネスインパクト分析（BIA）の実施

実際に主要システムが止まってしまったときどれくらいの時間なら耐えられるのか、「目標復旧時間（RTO）」を明確にします。

あわせて、どの時点までのデータを復旧できればよいのか、目標復旧時点（RPO）も決定しておきましょう。復旧の優先順位を決めることにより、限られたリソースを効果的に配分できるようになります。

Step2. 多層防御の構築

続いて、サイバー攻撃をできる限り防ぐ体制を整えます。

多層防御（Defense in Depth）の実装

ウイルス対策ソフトの導入に加えて、ネットワーク監視、認証の強化、データの暗号化など、"複数の壁" で防御する仕組みを作ります。ひとつの壁が突破されても、次の壁で食い止めるという発想です。

システムの健全性維持

OSやソフトの脆弱性（セキュリティ上の弱点）を放置しないよう、定期的なアップデート（セキュリティ修正プログラムの適用やソフトウェア更新）をルール化しましょう。

また、構成管理とベースライン設定（正常な状態の基準値設定）により、異常を検知する基盤を構築することも重要です。

Step3. 復旧体制の確立

さらに、「もしも」が起きてしまったとき、パニックにならないための準備も必要です。

インシデント検知体制の構築

攻撃を早期に発見する仕組みを整えます。

SIEM（Security Information and Event Management：セキュリティ情報・イベント管理システム）やSOC（Security Operation Center：セキュリティ監視チーム）の導入により、異常なアクセスや振る舞いを早期に検知できるようにしましょう。

インシデント対応計画の策定

「何かが起きたらどうするか」を事前に決めておきます。

CSIRT（シーサート）と呼ばれるセキュリティ事故対応チームを設置し、役割を明確に定義しておくのがおすすめです。

インシデント発生時のエスカレーションフロー（報告の流れ）と意思決定プロセスを明確化しておくことにより、混乱を防げます。

バックアップと復旧テストの実施

バックアップデータの多重化と、実際にそのバックアップからデータを元に戻せるのか、定期的な復旧テストを実施しましょう。

代替システムや縮退運転モード（一部機能を停止して最低限の業務を継続する運用方式）を準備しておくことも重要です。復旧手順書を整備し、関係者に周知しておけば、いざという時にスムーズに対応できます。

Step4. 人材育成と継続的な見直し・改善

最後に、NISTのフレームワークに追加して、組織全体でサイバーレジリエンスを維持・向上させる体制づくりにも取り組んでいきましょう。

具体的には次のようなアクションが考えられます。

セキュリティ人材の育成と確保

専門知識を持つ人材の採用や、外部専門家との連携が有効です。

定期的な訓練とスキルアップ研修を実施し、経営層を含む全従業員へのセキュリティ意識啓発を行います。不審なメールを開かないといった基本的な教育に加え、経営層が「セキュリティはコストではなく投資である」と理解することが大切です。

継続的な見直しと改善（PDCAサイクルの実践）

定期的にリスクを再評価し、対策を更新します。

インシデント発生後は必ず振り返りを行い、再発防止策を策定しましょう。最新の脅威情報に基づいて、対策をアップデートし続けることが重要です。NISTのフレームワークでも、インシデントから得た教訓を組織的に蓄積し、同様の攻撃を防ぐための技術的・運用的改善を実施することの重要性が強調されています。

サイバーレジリエンスを高める取り組み例と実施のポイント

サイバーレジリエンスを実際に高めるには、どのような施策から着手すればよいのでしょうか。ここでは、企業が今日から取り組める3つの実践的なアプローチを紹介します。

取り組み例1：攻撃の検知と復旧にかかる「時間」を可視化する

組織のサイバーレジリエンスを客観的に評価するために、次の2つの指標を計測しましょう。

• MTTD（平均検知時間）：攻撃を受けてから、それに気づくまでの平均時間
• MTTR（平均復旧時間）：検知してから、対応・復旧が終わるまでの平均時間

「侵入をゼロにする」のは難しくても、このMTTDとMTTRを短くすることは努力で可能です。MTTDは検知ツールの導入、MTTRは定期的な復旧訓練によって、それぞれ時間の短縮を図ることができます。

取り組み例2：日常のシステム運用に「復旧の視点」を組み込む

サイバーレジリエンスを効率的に高めるには、特別な対策だけでなく、ITIL（ITサービス管理に関する国際的な指針等）も参考にした日々のIT運用のルールのなかに、あらかじめ復旧の視点を組み込んでおくことが有効です。

例えば、新しいシステムを導入する設計の段階から「復旧のしやすさやログの取りやすさ」を考慮に入れたり（セキュリティ・バイ・デザイン）、運用中に起きた些細なトラブルを記録し、大きな事故の予兆として分析する体制を整えたりする取り組みが有効です。

取り組み例3：ゼロトラストセキュリティを導入する

ゼロトラストセキュリティは、「決して信頼せず常に検証する」という原則に基づくセキュリティの概念で、サイバーレジリエンス強化と極めて相性のよいアプローチです。

サイバーレジリエンスの基盤として、パスワードのほかに生体認証などを組み合わせる「多要素認証（MFA）」や、会社が認めた安全な端末以外からはアクセスさせない「デバイス認証」など、ゼロトラストの要素をひとつずつ取り入れていきましょう。

自社の事業規模やスタイルに適したゼロトラストの進め方については以下の記事で詳しく解説しています。
関連記事：注目を集めるゼロトラスト その現実的な進め方、ご存知ですか？

まとめ

サイバーレジリエンスは「攻撃を受けても事業を止めない」ための必須戦略です。防御だけでなく、検知・対応・復旧まで含めた総合的な取り組みであり、BCP（事業継続計画）の中核を担う概念といえます。

サイバーレジリエンスの導入は、段階的に進めることが可能です。「現状把握→防御→復旧体制→継続改善」のステップで着実に推進し、MTTDやMTTRなどの指標で効果を測定しながら改善していきましょう。

オプテージでは、ゼロトラストを基盤としたサイバーレジリエンス強化を支援するトータルソリューションを提供しています。企業規模や業種に応じた柔軟な提案が可能ですので、以下のページで詳細をご確認ください。

◎製品名、会社名等は、各社の商標または登録商標です。