現在のサイバーセキュリティは「攻撃・脅威の巧妙化」とそれにより引き起こされる「影響の深刻さ」、更にデジタル化の進展により攻撃面が拡大したことによる「検知・防御の困難さ」の三重苦を抱えています。従来の防御中心のアプローチによる情報資産の保護は限界を迎えつつあり、企業はインシデントの発生を前提としたサイバーレジリエンス能力の強化が求められています。
本記事ではサイバーレジリエンス能力を高めるために検討すべき、組織としての対応に焦点を当て、経営層やサイバーセキュリティ部門の担当者向けに、サイバーレジリエンス能力向上によるサイバーセキュリティ強化のポイントを紹介します。
サイバーレジリエンスとセキュリティ対策
サイバーレジリエンスとは、企業がサイバー攻撃やセキュリティインシデントに直面した際の対応力や、被害を復旧し組織の機能を取り戻す回復力を示します。サイバーレジリエンス能力を備えた組織は、サイバー攻撃による影響を最小限に抑えつつ、ビジネスの継続性を確保することが可能となります。
それでは、サイバーレジリエンス能力向上に必要となるセキュリティ対策とはどのようなものでしょうか。
サイバーレジリエンスの観点が含まれた代表的なセキュリティフレームワーク、NIST Cybersecurity Framework(NIST CSF)2.0では、セキュリティ対策を「特定」「防御」「検知」「対応」「復旧」「統治」の6つの機能に分類しています。従来のセキュリティアプローチが「特定」「防御」中心であったのに対し、サイバーレジリエンスは「検知」「対応」「復旧」を中心としたセキュリティアプローチと言えます。
- 検知:異常の早期発見と適切な対応
- 対応:インシデントの封じ込めと影響範囲の特定
- 復旧:システムの復旧と業務の早期再開
技術的な部分に目を向ければ、IPS/IDSやSIEM、フォレンジック、バックアップ・リストアといったツールやソリューションを思い浮かべる方が多いかと思います。しかしこれらの技術的な対策は、準備や対応体制が適切でなければ十全に効果を発揮しません。つまり、サイバーレジリエンス能力向上とは、インシデント対応力や、セキュリティ体制の強化といった組織としての能力向上に他なりません。
サイバーレジリエンス能力向上に際し考慮すべきポイント
サイバーレジリエンスの確保には、組織としての体制、セキュリティの専門人材、インシデント対応のためのプロセスや手順の確立が不可欠です。企業がこれらの要素を獲得、強化するためには、「インシデント対応体制の構築」「専門人材の育成」「知識・ノウハウの蓄積、整理」がポイントとなります。
考慮すべき3つのポイント
Point1.インシデント対応体制の構築
インシデント対応体制の構築とは、インシデントが発生した場合に、組織がどのように対応を行うのかを定め、必要な人員や役割を整備することを指します。具体的には、社内でインシデントが発生した場合の連絡先の周知、インシデントの影響度判断および意思決定プロセスの確立、インシデント対応に必要なツール・システムの導入・運用、関連部署との連絡体制の構築といった対応が求められます。
インシデント対応体制はサイバーレジリエンスの屋台骨であり、経営層も含め組織全体で取り組み、継続的に改善していく必要があります。
Point2.専門人材の育成
サイバーレジリエンス能力を高めるためには、サイバーセキュリティ業務を深く理解して自律・自走しながら重要な局面で判断できるセキュリティの専門人材が必要です。特に専門的なスキルが要求される分野においては外部のセキュリティベンダーにアウトソーシングをすることも考慮が必要ですが、自社のセキュリティに責任を持ち、判断・対処していく人材は組織として育成していくことを推奨します。
インシデント対応担当者は、継続的な実務による実践(OJT)や、研修等のトレーニングを通じた学習(OFF-JT)を通じスキルの獲得を目指します。
Point3.知識・ノウハウの蓄積、整理
組織として一貫性のあるインシデント対応を確立するためには、業務プロセスやタスク、手順書等を文書化し、属人化を防ぐとともに各業務を社内の共通認識として定着させる必要があります。またインシデント対応を通じて文書を改訂していくことで、得られた知識・ノウハウは組織内へ共有され、さらなるサイバーレジリエンス能力の向上が期待されます。
自社のインシデント対応で得られた知識や経験、教訓は自社独自のものであり、将来にわたる組織の資産です。
ベンダー支援の活用
サイバーレジリエンス能力の向上に際し、自社だけで即時にインシデント対応体制を構築し、高度なセキュリティ人材を育成することは困難なケースが考えられます。その場合は高い専門性を有する外部のベンダー支援を活用することを推奨します。
初年度は外部ベンダーと共に、OJTとしてセキュリティ業務を遂行していく中で、知識や経験、実際の問題解決プロセスを学び、自社としてのノウハウを蓄積します。次年度以降は初年度に獲得したノウハウを基に、自社主導で業務を実施していきます。必要な場合は引き続き外部ベンダーから専門的な支援や助言を得られるよう、協力を依頼します。組織としての業務の成熟度段階に応じて、「自社のみで実行する業務」「ベンダー支援を活用する業務」を変更していく必要があります。
ベンダー支援の活用はサイバーレジリエンス能力向上の鍵となりますが、ベンダーによってはOJTとしての支援が望めない可能性もあります。自社の成熟度段階を理解し、伴走しながら支援してくれるベンダーを選択することが重要です。
自社のサイバーレジリエンス能力向上に繋がるベンダー支援活用の一例として、インシデント対応訓練について、以下に記載します。
初回は、外部ベンダーが中心となり訓練計画を作成し、訓練の目的・対象範囲の設定、実施方式の検討、参加者の選定等についてのノウハウを学びます。また、外部ベンダーが中心となり訓練シナリオを作成し、近年のサイバー攻撃の傾向、シナリオ骨子、訓練の進行方法等についてのノウハウを学びます。訓練実施後は、外部ベンダーが中心となり訓練結果の分析や改善策の検討を行い、有効性評価の観点や課題抽出・対策立案のポイントを学びます。
2回目以降は、自社担当者が中心となり、自社環境特有の条件を踏まえたカスタマイズを行うと同時に、得られた知識・ノウハウを組織内へ共有することで、さらなるサイバーレジリエンス能力の向上に繋げていくことができます。
まとめ
サイバー攻撃の巧妙化・多様化や、攻撃面の拡大により、企業はインシデントの発生を前提としたサイバーレジリエンス能力の強化が求められています。サイバーレジリエンス能力の確保にはインシデント対応体制、専門人材、知識・ノウハウが不可欠です。企業はこれらを獲得、強化するために外部ベンダーを活用しつつ、社内でセキュリティ人材を育成し、知識を蓄積していく必要があります。
この過程で最も重要なのは、経営層も含め組織全体でセキュリティに対する意識を高め、継続的な改善に取り組むことです。サイバーレジリエンス能力を強化するための取り組みは、サイバー攻撃による耐性を高める以上の価値を企業にもたらします。それは、組織が自らのセキュリティを主体的に管理し、向上させる能力を内包することにほかなりません。
本記事では、インシデントの発生を前提とした組織のセキュリティ強化、サイバーレジリエンス能力向上のポイントについて紹介・解説してきました。今後自社のセキュリティ強化をご検討する際に、ぜひご活用ください。
NRIセキュアでは、数多くのコンサルティングの実績とそこで培った経験やノウハウを活かし、お客様のサイバーセキュリティ担当のOJTをサポートし、組織としてのサイバーレジリエンス能力強化を支援するサービスを提供しています。
本サービスについては、以下ページよりお問い合わせください。