サイバー・レジリエンスとは何か?

サイバー・レジリエンスは、事業継続性、情報システム・セキュリティー、組織のレジリエンスを統合するコンセプトです。すなわち、サイバー攻撃、自然災害、経済低迷などの困難なサイバー・イベントを経験する状況にもかかわらず、意図した結果を提供し続ける能力を表します。言い換えれば、情報セキュリティーの熟練度およびレジリエンスの測定レベルは、組織がダウンタイムをほとんどまたはまったく発生させずにいかにうまく事業運営を継続できるかに影響します。

現代のサイバー脅威は新たな課題をもたらし、従来のセキュリティ対策だけでは不十分な環境を生み出しています。組織は、高度なテクノロジーやテクニックを活用して混乱を引き起こす巧妙な攻撃者に直面しています。脅威アクターとハッカーは、従来の自動化された攻撃方法に頼るのではなく、人間の脆弱性やシステムの弱点をエクスプロイトする傾向が強まっています。

IBMの2025 Cost of a Data Breach ReportおよびPonemon Instituteによると、世界全体の漏洩コストは平均444万ドルに減少しましたが、米国の組織は1件あたり 1,022 万ドルという過去最高のコストに直面しました。こうしたコストがかかる状況ではあるものの、侵害を受けた組織の49%はセキュリティー投資の増額を計画しています。

効果的なサイバー・レジリエンスは、組織的な取り組みによって支えられる企業全体かつリスク・ベースのストラテジーである必要があります。パートナー、サプライチェーンの参加者、顧客まで、組織のエコシステムに含まれる全員に対して、経営陣から推進される協働的なアプローチが不可欠です。リスク、脅威、脆弱性、重要な情報や支持する資産への影響を事前対応的に管理すると同時に、全体的な準備性を強化する必要があります。

効果的なサイバー・レジリエンスには、ガバナンス、リスク管理、データ所有権の理解、インシデント管理も含まれます。これらの特徴を評価するには、経験と判断力も必要です。

さらに、組織はサイバーリスクと、達成可能な機会および競争上の優位性とのバランスをとる必要もあります。組織は、費用対効果の高い予防が実行可能かどうか、また、サイバー・レジリエンスに対して強力かつ短期的な効果を発揮する迅速な検知と修正を実現できるかどうかを検討する必要があります。

これを実現するために、企業は防止、検出、是正という3種類の管理の間で適切なバランスを見つける必要があります。これらの管理は、組織のサイバー・レジリエンスを脅かすインシデントを防止、検知、修正します。

サイバー・レジリエンス戦略は、組織が次のようなメリットを達成するために役立ちます。

• 財務上の損失の軽減

• 運用上の損害の軽減

• 顧客の信頼と事業機会の獲得

• 競争上の優位性の向上

• 事業継続性を確保

攻撃が成功することによる財務上の損失は、株主、投資家、従業員、顧客など、会社の利害関係者からの信頼の喪失につながる可能性があります。

経済的リスクは相当なものです。IBM 2025 Cost of a Data Breachレポートによると、人工知能（AI）をセキュリティ業務で広範に活用している組織は、データ侵害コストを平均190万ドル節約したことが明らかになりました。また、これらの企業は、そのようなソリューションを導入していない企業と比較して、侵害ライフサイクルを80日短縮しました。しかし、適切なアクセス管理なしにAI関連のインシデントを体験した組織は、より高いコストに直面し、管理されたサイバー・レジリエンスのストラテジーが必要であることを浮き彫りにしました。

サイバー・インシデントは、組織の評判や顧客の信頼に深刻な影響を与える可能性があります。堅牢なサイバー・レジリエンス・フレームワークは、組織がインシデントに迅速かつ透明性を持って対応し、長期的な評判への被害を最小限に抑え、利害関係者の信頼を維持する上で役立ちます。

顧客を惹きつけ、ビジネスを獲得するために、国際標準化機構が提供するISO/IEC 27001のような国際的な管理基準に準拠している組織もあります。ISO/IEC 27001は、情報セキュリティー・マネジメント・システム（ISMS）が、従業員情報、財務情報、知的財産、あるいは第三者から委託された情報などの資産のセキュリティーを管理するための条件を規定しています。

米国では、会社はクレジットカードなどの決済処理の前提条件である決済カード業界のデータセキュリティー基準（PCI-DSS）の認定を求める場合もあります。

サイバー・レジリエンスは、それを備えていない会社と比較して組織に競争上の優位性を提供します。企業は、構造化されたアプローチ（脅威インテリジェンスプログラムなど）と標準化されたベスト・プラクティスを作成することで、効果的なオペレーションを構築できます。

同様に、組織はサイバー・レジリエンスのための管理システムを開発することで、業務効率を高めます。そのため、これらのシステムは顧客に大きな価値をもたらし、持続可能な事業上の優位性を生み出します。

サイバー・レジリエンス計画を備えた組織は、セキュリティー・インシデントが発生しているときでも重要なオペレーションを維持でき、ダウンタイムを最小限に抑え、顧客や利害関係者への継続的なサービス提供を担保できます。

組織は、Information Technology Infrastructure Library（ITIL）やNISTサイバーセキュリティー・フレームワーク（NIST CSF）などの実証済みの標準化されたプラクティスを採用することで、サイバー・レジリエンスを構築します。

ITILライフサイクルにおける段階を組み込むことで、組織はプロアクティブなサイバー・リスク管理を可能にし、継続的な事業運営をサポートする強力なサイバー・レジリエンス戦略を構築できます。この方法により、すべての利害関係者を関与させることで、組織全体のコラボレーションも促進されます。

ITILライフサイクルにおける5つの段階は次のとおりです。

1. ストラテジー戦略：このフェーズでは、組織の目標に基づいて、組織とその利害関係者にとって最も重要な情報、システム、サービスなどの重要な資産を特定します。これには、組織の抱える脆弱性とリスクの特定も含まれます。
2. サービス設計：組織は、（それが実践的である場合）管理システムの適切かつバランスの取れた管理、手順およびトレーニングを選択して、重要な資産への危害を防止します。設計フェーズでは、誰が決定し行動する権限を持っているかも特定します。
3. サービスの移行：組織は、設計された制御、手順、トレーニングを本番環境でデプロイし、テストします。この移行フェーズでは、意思決定権限を特定し、脅威が出現したときに誰が行動する責任を負っているのかを定義することで、明確なガバナンスを確立します。
4. サービス運用：運用チームは、有効性、効率性、一貫性を確保するための継続的な管理テストを含め、サイバー・イベントやインシデントを監視、検知、管理します。
5. 継続的なサービスの改善：組織は、刻々と変化する脅威環境から保護するために、適応性を実践する必要があります。インシデントから回復する際は、その経験から学び、必要に応じて手順、トレーニング、設計、戦略を修正する必要があります。

NISTは、民間部門の組織が情報セキュリティーとサイバーセキュリティーのリスク管理を向上させるために従うことができる包括的なガイダンスとベスト・プラクティスを提供します。

このフレームワークは、次の6つの中核的機能で構成されています。

1. ガバナンス：サイバーセキュリティー活動に情報を提供して優先順位を付けるサイバーセキュリティー・ガバナンスとリスク軽減ポリシーを確立し、企業全体でリスクに基づいた意思決定ができるようにします。
2. 識別：サイバー攻撃から効果的に保護するために、最も重要な資産とリソースについて包括的に把握します。この機能には、資産管理、事業環境評価、ガバナンス・フレームワーク、リスク・アセスメント、サプライチェーン・リスク管理が含まれます。
3. 防御：適切な技術的および物理的セキュリティー管理を実施して、重要なインフラストラクチャーを保護するための安全策を策定します。主な分野には、セキュリティのアウェアネスとトレーニング、データ・セキュリティー、データ保護プロセス、保守、保護テクノロジーが含まれます。
4. 検知：サイバーセキュリティー・イベントと進化する脅威に関するアラートを発する対策を導入します。検知カテゴリには、異常とイベントの特定、継続的なセキュリティー監視、堅牢な検知プロセスの確立が含まれます。
5. 対応：サイバー攻撃やその他のサイバーセキュリティー・イベントに対する適切な対応機能を確保します。このストラテジーには、対応計画、利害関係者とのコミュニケーション、インシデント分析、脅威の軽減、プロセスの改善が含まれます。
6. 復旧：サイバー攻撃、セキュリティー侵害、その他のサイバーセキュリティー・イベント後に事業継続性を確保するために、サイバー・レジリエンスのための復旧活動と計画を実施します。このアプローチには、システム、データ、サービスを復旧するための計画と手順を策定して実施するだけでなく、インシデントから学習して将来のレジリエンスを向上させることが含まれます。

以下のツールにより、組織はサイバー攻撃に耐えて回復し、混乱を最小限に抑え、ビジネス・オペレーションを維持できます。

• セキュリティ情報およびイベント管理（SIEM）：SIEMシステムは、集中的なロギング機能を提供し、組織のITインフラストラクチャー全体のセキュリティー・イベントをリアルタイムで分析します。

• IDおよびアクセス管理（IAM）：IAMソリューションは、包括的なユーザー認証とアクセス制御を提供し、許可された担当者だけが重要なシステムとデータにアクセスできるようにします。

• ゼロトラスト・アーキテクチャー：ゼロトラストセキュリティー・モデルは、暗黙の信頼を前提としない原則に基づいて機能し、ユーザーの場所やデバイスに関係なく、アクセス要求を継続的に検証します。

• クラウド・セキュリティ・プラットフォーム：これらの特殊なツールは、ハイブリッドおよびマルチクラウド環境全体のクラウドベースの資産とワークロード向けに特別に設計された保護を提供します。

• 災害復旧（DR）ソリューション：これらのシステムは、重要なデータとアプリケーションの自動バックアップおよび災害復旧機能を提供し、ランサムウェア攻撃などのインシデント発生後の迅速なオペレーションの復旧を担保します。

• 継続的な監視プラットフォーム：これらのソリューションは、セキュリティー体制と脅威のランドスケープをリアルタイムで可視化し、プロアクティブな脅威管理とリスク・アセスメントを可能にします。

• サイバー攻撃シミュレーション・ツール：これらのツールは、現実的な攻撃シナリオをシミュレートして、組織の準備態勢の評価、チームのトレーニング、インシデント対応計画のギャップの特定を行います。

人工知能と生成AIは、サイバー・レジリエンスにとって機会とリスクの両方をもたらします。AIを搭載したセキュリティー・ツールは脅威の検知と対応機能を強化できますが、管理されていないAIシステムは、攻撃者がエクスプロイトできる新たな脆弱性を生み出してしまいます。生成AIツールは、データ・ガバナンスと潜在的な誤用の可能性に関する特有の課題ももたらします。

2025 Cost of a Data Breach Reportの調査結果によると、AI関連のセキュリティ・インシデントを経験した組織の97%に適切なAIアクセス制御が欠けていたことがわかりました。さらに、63％の組織は、AIのデプロイメントを管理したり、不正なAIの使用を防止したりするためのAIガバナンス・ポリシーを策定していません。

セキュリティ・オペレーションに戦略的にAIを実装している組織は、そのようなソリューションを導入していない組織と比較して、大幅なコスト削減とデータ侵害の迅速な封じ込めを実現しています。ただし、成功するにはイノベーションだけでなくセキュリティー・ガバナンスも優先するバランスの取れた導入が必要です。

主な考慮事項には、人間以外の識別情報に対する強力な管理の実施、パスキーなどのフィッシング耐性を持つ認証方法の採用、サイバーセキュリティー・ガバナンスを最初からAIのデプロイメント・ストラテジーに組み込むことが含まれます。このアプローチにより、AIはセキュリティー上の新たな負債を生み出すのではなく、サイバー・レジリエンスを強化するメカニズムとして機能することが保証されます。

新しいテクノロジーがセキュリティーの機会と脅威の両方を生み出すにつれて、サイバー・レジリエンス戦略は進化し続けています。拡張検知および対応（XDR）プラットフォームは、複数のセキュリティ・レイヤーにわたる統合された脅威検知を提供できるように成熟しつつあり、一方でAI搭載の脅威検知システムは、従来のツールでは見逃される高度な攻撃パターンを識別できるように進化しています。AIは人間の専門知識を置き換えるのではなく、それを増幅します。

IBM Institute for Business Value（IBV）の調査「サイバーセキュリティー2028」では、調査対象となった経営幹部の65%が、AIとオートメーションによってITチームとセキュリティ・チームの生産性の高い環境が作り出されていると報告しています。また、62％が統合されたAI機能による大きなメリットをすでに感じていると回答しています。

量子コンピューティングは、現在の暗号化手法を不十分にすることで、サイバーセキュリティーを根本的に変えるでしょう。しかし、これにより、セキュリティ強化のための耐量子暗号と量子鍵の配布も可能になります。

サイバー・レジリエンスを維持するには、中心となるセキュリティーの原則を維持しながら、新たなテクノロジーの統合を最適化するための継続的な適応、戦略的投資、取り組みが必要です。