メニュー

事業継続の新たな考え方「サイバー・レジリエンス」とは

person hand shadow on mac keyboard with purple background
目次

このページを共有

小原 誠
小原 誠
259 人が閲覧

企業や団体の事業継続を左右するIT

昨今、企業や団体の事業活動におけるITの役割が増すとともに、事業継続におけるITの責任も大きくなっています。これまで日本国内では、経営層の関心は地震や風水害などの自然災害を想定した対策が中心でした。しかし昨今では、個人情報保護法や電子帳票保護法の改正をうけた内部統制・法令遵守強化、ランサムウェア攻撃に代表されるサイバー攻撃対策への関心も高まっています。

特に最近は、国内でもランサムウェア攻撃がニュース等でも大きく取り上げられるようになり、現実的な脅威として認知されつつあります。警察庁が公開しているデータからも、ランサムウェアによる被害の報告件数は年々増加していることが読み取れます。攻撃を受けた場合には約半数が復旧作業に一千万円以上、1週間以上を要し、それでも約8割は被害直近の水準までのデータ復旧を断念しています(図 1)。

昨今では「サイバー保険」として、サイバー攻撃や情報漏えい等の様々な事故に対して、損害賠償や事故対応等に備える保険商品も登場しています。しかしこれらの保険も、契約者が平時から一定の対策をとっていることを引受条件としており、ランサムウェア攻撃による身代金に充てることはできないなど、支払条件も厳格化する傾向にあるようです。

statistics in graph diagram and also showing numbers for different variations
図 1: 国内におけるランサムウェアによる被害の状況(警察庁調べ)

「防御力」に加えて「復元力」を

これまで、サイバー・セキュリティ(Cyber Security)の考え方は比較的、「防御力」に焦点が当てられてきました。しかし、「防御者のジレンマ」という言葉のように、攻撃者(自然災害等も含む)は常に防御側の一歩先を行き1回でも攻撃が成功すればいいところを、防御者は常に防ぎ続けなければならず、そのために投資を続けなければなりません。

そこで昨今注目されているのが、サイバー・レジリエンス(Cyber Resilience)という、「復元力」「弾力性」「回復力」に焦点を当てた考え方です。

被災しないようにできる限りの防御はしながらも、「被災してしまうことを前提として、それを予測し、耐え、そこから立ち直り、適応していく」ことを考えるということです。

「サイバー・セキュリティ・フレームワーク」(CSF:Cyber Security Framework)としてよく知られている、2018年発行のNIST(米国標準技術研究所)のフレームワーク(※1でも、このサイバー・レジリエンスの考え方を取り込んだ広義のサイバー・セキュリティの全体像を定義しています(図 2)。

サイバー・レジリエンスについても、2021年にNIST SP800-160 Vol.2として、4つの目的(Goal)と8つの目標(Objectives)、それを達成するための14個の具体的な手法(Techniques)が、構造化して整理されています(※2

pyramid diagram showing different variations and also life cycle diagram in circle
図 2: NIST サイバーセキュリティーフレームワーク

※1:"Framework for Improving Critical Infrastructure Cybersecurity v1.1", NIST, (2018)

※2:"SP800-160 Vol.2 Rev.1 - Developing Cyber-Resilient Systems: A Systems Security Engineering Approach", NIST, (2021)

NetAppのサイバー・レジリエンス ソリューション

NetAppはオンプレミスからクラウドまで、一貫したテクノロジーを採用した様々なストレージ製品、ストレージサービスを提供しており、同時に様々なサイバー・レジリエンス関連ソリューションを提供しています(図 3)。

explaining points about NetApp cloud storage
図 3: NetApp が提供する、サイバー・レジリエンス関連の主要製品・サービス・機能

ストレージは、お客様の事業においてかけがえのない資産の1つ、データの「入れ物」であるとともに、データを守る重要な「最後の砦」です。

サイバー・レジリエンスを高めるには多層での対策が重要ですが、ストレージだからこそできる対策もあります。

NetAppでは、無償のワークショップやハンズオンもご提供しています。詳しくは、当社の営業担当・SEまでご連絡ください。

小原 誠

国内メーカーにおけるストレージ要素技術の研究開発に始まり、外資系コンサルティングファームにおけるITインフラ戦略立案からトランスフォーメーション(要件定義、設計構築、運用改善、PMO等)まで、計20年以上従事。ネットアップではソリューションアーキテクトとして、特にFinOps、Cyber Resilience領域を中心にソリューション開発やマーケティング活動、導入支援等に従事。FinOps認定プラクティショナー(FOCP)。国立大学法人 山口大学 客員准教授。

小原 誠の投稿をすべて見る

次のステップ

Drift chat loading