サイバーレジリエンス【cyber resilience】cyber resiliency

サイバーレジリエンスとは？

サイバー攻撃やシステム障害が発生しても影響を最小限に抑え、迅速に復旧し、事業やサービスを継続できる能力のこと。従来の防御や予防だけでなく、被害の最小化と迅速な復旧に重点を置く考え方である。

従来の情報セキュリティ対策は、不正アクセスやマルウェア感染などの脅威を「防ぐ」ことに重点が置かれてきた。しかし、近年では攻撃手法の高度化や巧妙化により、完全に侵入を防ぐことは困難であるとの前提に立つ考え方が広がっている。

サイバーレジリエンスは、この前提のもとで、攻撃を受けた場合でも被害を限定し、業務停止や社会的信用の失墜といった二次的影響をなるべく抑えながら、速やかに正常な状態へ回復するための総合的な対応力を意味する概念である。具体的には、攻撃を受けた際の早期検知体制の整備や、代替システムへの切り替え手順の確立や予行演習、データのバックアップからの迅速なリストアなどがその要素に含まれる。

技術的対策だけでなく、組織体制の整備、従業員教育、事業継続計画の策定、外部機関との連携も重要な構成要素である。クラウドサービスやIoT機器の普及、サプライチェーンの複雑化により、組織の情報資産は多様な環境に分散しており、自組織のみならず、委託先や関連事業者を含めた全体の耐障害性を高める視点も求められる。

欧州連合（EU）では製品やデジタルサービスに対するレジリエンス確保を目的とした法制度の整備も進められている。サイバーレジリエンスは技術分野にとどまらず、企業価値を保護し、顧客や取引先からの信頼を維持するための基盤として、経営やガバナンスの観点からも重要な概念となっている。

🔰よくある質問

サイバーレジリエンスとは何ですか？
サイバーレジリエンスとは、サイバー攻撃や障害が発生した際に、被害を最小限に抑えながら業務を継続し、迅速に回復する組織の能力のことです。攻撃を完全に防ぐことが難しい前提に立ち、「やられても立ち直れる強さ」を目指す考え方です。
サイバーセキュリティとどう違いますか？
サイバーセキュリティが主に攻撃を「防ぐ」ことに重点を置くのに対し、サイバーレジリエンスは攻撃を受けた後に「耐えて回復する」ことまでを含む広い概念です。完全な防御は不可能という現実を踏まえ、事後の対応能力も重視する点が特徴です。
なぜ今サイバーレジリエンスが注目されているのですか？
ランサムウェアや標的型攻撃など高度なサイバー攻撃が増加し、どれほど対策を講じても侵害を完全に防ぐことが困難な時代になっているためです。特に、社会インフラ機関や金融機関では、攻撃を受けても事業を止めない能力が社会的に求められるようになっています。
サイバーレジリエンスを高めるには何をすればよいですか？
インシデント対応計画の整備、定期的なバックアップの取得と復元訓練、システムの冗長化、従業員へのセキュリティ教育、攻撃を想定した演習（レッドチーム演習など）の実施などが代表的な取り組みとして挙げられます。技術的対策と組織的対策の両輪で進めることが重要です。
サイバーレジリエンスに関する国際的な基準はありますか？
はい、いくつかの国際的なフレームワークが存在します。米国立標準技術研究所（NIST）が公表している「NIST CSF」（サイバーセキュリティフレームワーク）や「SP 800-160」などがよく参照されています。日本でも金融庁のガイドラインや経済産業省の指針においてサイバーレジリエンスの考え方が取り入れられています。