企業を取り巻くITの状況が激変し、サイバー攻撃の手段が多様化・巧妙化する現在、「守る」だけのセキュリティ対策でインシデント100%避けることはほぼ不可能だ。しかし万が一の事態になった際、ビジネスを停止させるわけにはいかない。

【その他の画像】

 そこで「サイバーレジリエンス」という考え方に注目が集まっている。レジリエンスとは「回復力」を意味する。サイバー脅威の侵入を前提にし、被害を最小限にとどめて早期にシステムを復旧させることに焦点を当てたものだ。具体的には、サイバーセキュリティ対策を数段階に分割して「異常の検知」「攻撃の防御」「インシデントからの復旧」という一連の対応を素早く行うことでビジネスへの影響を抑える。

 このサイバーレジリエンスの導入を早くから推奨したのが金融業界だった。G20諸国の金融当局を中心にしたバーゼル銀行監督委員会が、銀行の業務継続に関する7原則を2021年に公表。「混乱があっても重要な業務を遂行できる銀行の能力」として、サイバー攻撃や自然災害の発生時におけるリスク管理や業務継続、IT環境のセキュリティ対応など7領域について原則を示した(※)。

※バーゼル銀行監督委員会の「オペレーショナル・レジリエンスのための諸原則」(21年3月)で示された

 国内でも、金融庁サイバーレジリエンスの必要性を訴えている。重要インフラが多い金融機関の対策はさまざまな企業で参考になるだろう。今回は金融庁への取材を基に、サイバーレジリエンスについて紹介する。

●停止できないIT環境 レジリエンスが重要なワケ

 銀行や証券、保険といった金融業界は社会インフラに等しく、ミッションクリティカルなITシステムが多いため一般企業に比べてサイバーセキュリティ対策が進んでいる。しかしサイバー攻撃やインシデントの増加は金融業界も例外ではなく、大規模な被害こそ発生していないものの対策の強化が求められている。

 さらに世間的な潮流と同じく、金融業界でもクラウドサービスの浸透やフィンテック企業の参入、金融サービス間の連携が進むなどIT環境が変化した。サービス利用者の利便性や経営の効率化が進むといったメリットがある反面、サイバー攻撃の起点が増えたりサプライチェーン上のリスクにも警戒する必要があったりと、サイバーセキュリティを巡る状況は楽観視できないのが現状だ。

 そうした中で、金融庁は22年に「金融分野におけるサイバーセキュリティ強化に向けた取組方針」を改訂。外部環境の変化によって生まれたリスクへの対応として、サイバーレジリエンスの必要性を明記した。万が一の事態に遭遇しても、業務や顧客への影響を最小限に抑えることが狙いだ。

金融機関においては、未然防止の施策に加え、インシデントによって業務が中断した場合も、業務や顧客への影響を許容水準内に収めるよう、訓練・テスト等を通じて、業務やサービスの強靭性・頑健性・冗長性を高めることが一層求められている。このため、金融庁では、インシデント発生時におけるサイバーレジリエンスの強化に向けた取組みを金融機関に促していく。――金融分野におけるサイバーセキュリティ強化に向けた取組方針(Ver. 3.0)より

 金融業界ではまだまだ境界型防御に依存しているケースが多いため、金融庁は「その対策が本当に適切なのか」を改めて確認してほしいと呼びかける。そこで検討のテーブルに挙がるのがサイバーレジリエンスというわけだ。

●非金融業界にも有効 サイバーレジリエンスの取り組み方

 では、サイバーレジリエンスにどう取り組めばいいのか。重要なのは「検知」「対応」「復旧」の3段階を適切に運用することにある。まずサイバー攻撃不正アクセスランサムウェアへの感染といった異常を素早く検知する体制を作る。そのためには、自社が保有するIT資産や従業員が使うデバイスなどのエンドポイントを可視化するなど状況を把握・管理する、ITシステムリスク評価を常日頃から行なうなどが必要だ。

 異常を検知した後、早期に対応すれば被害の拡大を抑えられる。もし被害に遭っても、一部ネットワークを遮断する、マルウェアに感染したデバイスを隔離するなどの対応を迅速に取ることが大切だ。そうしたインシデント対応を担う専門チームCSIRT」(Computer Security Incident Response Team)を活用する企業も多い。

 そして被害からの復旧を進めるのがサイバーレジリエンスの肝だ。復旧するシステムや業務の優先度を決める、バックアップ環境に移行する、どの時点まで戻すかあらかじめ決めるといった対策で、影響を可能な限り小さくする。

 こうした対策は金融業界ではもちろんのこと、非金融業界の企業でも有効だと金融庁は見ている。

●レジリエンスに欠かせない経営戦略 経営層の関与が重要に

 サイバーレジリエンスの対策を進めることで、インシデントが致命傷にならずに済む可能性が高まる。こうした対策に加えて、企業の経営層がリーダーシップを発揮してサイバーセキュリティに取り組むことが重要だと金融庁は訴えている。

 金融業界でも、サイバーセキュリティに関するリスクをIT部門が認識していても、経営陣に報告していない、報告しても活用できていない状況もあるという。事業の停止は、そのまま企業経営に直結する問題だ。復旧や事業継続の内容についても、経営戦略に照らし合わせて考える必要がある。

 サイバーセキュリティ対策やサイバーレジリエンスの考え方は中長期的な視点で、IT部門内だけではなく組織の末端にまで広めていき、そこに経営層がしっかり関与するべきだと金融庁は働きかけている。



(出典 news.nicovideo.jp)

サイバーレジリエンスについて考える上で、リスク評価や適切な対策の実施が欠かせません。また、それだけでなく、従業員教育や定期的なリスクマネジメントの実施なども重要です。経営層や役員も、サイバー攻撃に対する危機感を持ち、積極的な取り組みを進めることが必要だと思います。

<このニュースへのネットの反応>