サイバーセキュリティからサイバーレジリエンスへ－組織が最悪の事態に備えねばならない理由

長年にわたり、サイバーセキュリティは主に技術的課題として捉えられてきました。ファイアウォール、エンドポイント保護、検知ツール、インシデント対応マニュアルが議論の中心を占め、組織は攻撃の防止、検知能力と対応能力の向上に多大な投資を行ってきました。

予防の重要性はいくら強調してもし過ぎることはありません。これはサイバーセキュリティの基盤と捉えるべきものであり、リスク、混乱、コストを低減し、被害範囲を限定し、事業継続性を確保します。脅威が絶えず、攻撃者が迅速に動く環境下では、強力な予防的対策が被害を軽減する最も効果的な手段であり続けます。

現実には、攻撃が発生するか否かではなく、いつ発生するかが課題となっています。そして、いかなる技術的防御策にも、不確実性、複雑性、時間的制約が存在します。こうした不確実性は、AIの急速な普及によってさらに増幅されています。AIは防御能力を加速させた一方で、攻撃者にも同様に利益をもたらしているからです。

より強固に成長する組織とは、予防策が想定どおり機能しない場合にも、効果的に活動できる組織です。テクノロジーによって即座に回復できない場合、最終的に結果を決定付けるのは、組織の意思決定規律と運用調整力です。

ここに、サイバーセキュリティがサイバーレジリエンスへと進化する本質があります。

サイバーセキュリティは、攻撃の阻止、侵入時間の短縮、システムの復旧など、防御と対応に焦点を当てます。サイバーレジリエンスは、より広範な問いを投げかけます。テクノロジーが混乱し、サービスが劣化し、信頼不能に陥った時、組織はいかに運用を継続し、意思決定を行えばよいでしょうか。

その意味で、サイバーレジリエンスは事業継続計画に通じる側面を持っています。例えば、組織は自然災害、サプライチェーンの混乱、運用停止に備え、システム、人材、プロセスが利用不能になっても事業が継続できるよう日常的に備えを固めます。

同様に、深刻なサイバーインシデントは、IT復旧を遅延または制約する可能性があります。システムの停止が予想以上に長期化し、データの完全性が不確実になる恐れがあるからです。顧客、規制当局、メディアからの外部圧力も高まるでしょう。したがって、課題はもはや純粋に技術的なものではなく、組織的なものにもなります。

真のサイバーレジリエンスには、組織全体の協調行動が求められます。

法務チームは、規制上のリスクと契約上の義務を評価しなければなりません。財務部門は、業務への影響と負債を評価する必要があります。コミュニケーションチームは、従業員、顧客、パートナー、そして一般市民へのメッセージ管理を行わなければなりません。経営陣は、不完全で時に矛盾する情報のもと、時間的制約のある意思決定を行わねばなりません。

これらの機能が連携していない場合、技術的に適切に管理可能なインシデントであっても、意思決定の遅延、メッセージングの不整合、管理されていない期待、回避可能な評判の毀損といったビジネス危機へとエスカレートする可能性があります。

ただ、多くの組織では依然として、サイバー対応態勢の「テスト」をほぼIT部門内のみで実施しています。インシデント対応演習では、マルウェア分析、封じ込めまでの時間軸、システム復旧を重視。これらは必要ではありますが、組織が持続的な混乱下で機能できるか、事実が不明確な状況で経営陣が確信を持って意思決定できるかを検証するものではありません。

サイバーレジリエンスには異なるアプローチが求められます。予防策でリスクを低減できても完全には排除できない状況、技術が不確実性を即座に解決できない状況において、組織がどのように行動するかを実際に練習するのです。

サイバーレジリエンスが頻繁に議論されながらも測定されにくい理由の一つは、ダッシュボードだけで数値を測ることができない点にあります。

経営陣がプレッシャー下でいかに迅速に足並みを揃えるか、法務と広報が急変する状況でメッセージをいかに同期させられるか、チームがサイロを越えて情報をいかに効果的に共有できるか。こうした要素を自動で報告することはできません。

サイバーレジリエンスとは、意思決定、調整、適応力に関するものです。これを評価するには、体系的な方法論、すなわち極限状況下で人とプロセスがどのように機能するかを演習し、観察し、測定する手法が組織に必要です。ここで机上演習が極めて重要となります。

机上演習は、しばしばコンプライアンス要件や基本的なインシデント対応訓練として扱われます。一方、適切に設計された場合、レジリエンスを構築し測定する最も実践的な手法の一つとなり得ます。

技術的なシミュレーションとは異なり、机上演習は人と意思決定に焦点を当て、参加者を現実的なシナリオに置きます。不確実性、トレードオフ、競合する優先事項を乗り越えることを強制するのです。

これを効果的に行うには、シナリオは「通常の」サイバーインシデントを超え、復旧が遅延し、データの信頼性が疑問視され、外部からの圧力が高まる状況下で組織が機能する能力をテストすることを目的とすべきです。

強固なレジリエンス演習では、段階的にエスカレートさせます。

ある時点で、テクノロジーだけでは状況を迅速に解決できないことが明らかになります。

ここで演習の本質が明らかになります。

法務部門は完全な事実関係が把握できない中で、通知義務とリスクの暴露を評価します。財務部門はシステムが利用不能な状態でも事業への影響を評価します。内部コミュニケーション部門は従業員の不安や噂の管理に当たります。外部コミュニケーション部門は透明性と法的リスク、評判リスクのバランスを取る。経営陣は時間的制約のもとで重大な判断を下します。

価値は「完璧な」答えを見つけることではなく、組織が迅速かつ一貫性を持って決断的に連携できるかどうかにあります。

適切に設計されたサイバーレジリエンスの机上演習は、純粋に技術的なテストでは得られない知見を明らかにします。また、以下のような経時的に追跡可能な測定指標も生み出します。

これらの指標により、組織は「準備は整っていると思う」という段階から脱却し、具体的な改善計画の策定へと進むことが可能となります。

インシデントの発生確率と影響を低減し、時間を稼ぎ、混乱を最小限に抑えるための「予防」は、あらゆるサイバーセキュリティ戦略の中核であり続けるでしょう。一方、レジリエンスがあれば、スピード、不確実性、複雑性によって予防策だけでは困難な状況においても、組織が確実に機能し続けることが可能になります。

サイバーレジリエンスは、一度きりのプロジェクトではありません。あらゆる事業継続計画の分野と同様に、継続的な実践、改善、そしてリーダーシップの関与が求められます。組織が進化するにつれて、机上演習は繰り返し実施され、適応され、拡大されるべきです。

最もレジリエンスの高い組織とは、完璧な防御を備えた組織ではなく、失敗を想定した訓練を積み、そこから学びを得た組織です。IT部門がシステムを復旧した時点でサイバー演習を終了させてしまう場合、それはセキュリティの検証であって、レジリエンスの検証ではありません。予防策を基盤として構築し、それが不十分となる瞬間を想定した訓練を実践する必要があるのです。