セキュリティーでビジネスの好循環を生む
サイバーレジリエンス実現の要諦とは

　IPA（情報処理推進機構）の「情報セキュリティ10大脅威」のトップは、ここ数年ランサムウエアだ。その他の脅威も実はランサムウエアに関連したものが多く、攻撃の広がりと根深さを思い知らされる。

　最近はそこに生成AIを悪用する手口も加わった。巧妙な誘導文やボイスメッセージの作成、マルウエア開発などに悪用される。学習を繰り返した生成AIはCAPTCHA（キャプチャ）認証を突破し、脆弱性を突く攻撃シナリオまで作成するという。企業が利用する生成AIも狙われる。AIモデルや学習データの窃取や破壊、誤ったデータを与えて学習させる「データポイズニング」などのリスクはその一例だ。

　攻撃によって企業が被る被害は甚大だ。情報や金銭の搾取に加え、復旧や調査に多大なコストと時間がかかる。社会的信用の低下を招き、株価や売り上げのダウンも避けられない。「サイバー攻撃はビジネス・経営上の利害に直結しています。セキュリティーは『コスト』ではなく、ビジネス変革・強化のための『投資』ととらえるべきなのです」と日立ソリューションズの扇 健一氏は話す。

　こうした観点から「サイバーレジリエンス」の重要性が高まっている。「これは攻撃を受けても、侵害範囲を最小限に留め、迅速に回復する能力のこと。ビジネスを止めずに、事業を継続できるようになります」と扇氏は語る。

　サイバーレジリエンスを実現するためにNIST（米国国立標準技術研究所）は4つのポイントを提唱する。サイバー攻撃に対する準備態勢を維持する「予測力」、被害を局所化し事業機能を維持する「抵抗力」、被害から迅速に復旧する「回復力」、再発を防止し組織を改善・強化していく「適応力」だ（図1）。

　NISTが提唱する4つのポイントを備えるためには、まず“敵を知り己を知る”ことが重要だ。脅威や攻撃の手口を知り、OSやソフトウエアは常に最新の状態を保ち、ウイルス対策を導入する。パスワードの強化、共有設定の見直しも必要となる。

　やるべきことは明確なのに、被害は後を絶たないのはなぜか。システムの脆弱性が放置されていることが多いのがその理由の１つだ。多くの企業・組織では、システムが多様化・複雑化し、全体像を把握することが難しくなっている。その結果、シャドーITが残存したり、パッチ適用が追い付かなかったりといったことが起きるわけだ。

　脆弱性放置の課題を解決する指針となるのが「CAASM（Cyber Asset Attack Surface Management）」である。これは「サイバー資産攻撃対象領域管理」といわれる、サイバー攻撃のリスクを軽減するためのセキュリティフレームワーク。「これを活用することで、組織の資産や脆弱性を絶えず監視・可視化し、分析・管理することが可能になります」と扇氏は話す。

　サプライチェーンのリスクに備えることも必要だ。どんなに自社のセキュリティーを強化しても、グループ会社や取引先の対策が不十分だと、そこが狙われる。対策が手薄なところから侵害し、重要資産を持つ本社や拠点に攻撃を拡大していく。これがサプライチェーン攻撃の手口だ。

　IPAが公開する「サイバーセキュリティ経営ガイドライン」の最新版でも、サプライチェーン全体を意識したサイバーセキュリティー対策を求めている。「『中小企業だから、うちは大丈夫』という意識を捨て、企業規模を問わず、早急な対策が必要です」と扇氏は訴える。

　ダメージを局所化する対策も欠かせない。攻撃者は侵入後すぐに本格的な攻撃を仕掛けるわけではない。組織内のネットワークを横展開していくラテラルムーブメントという活動を行い、情報資産を探索したり、侵害範囲を拡大したりしていく。「この段階で攻撃を検知・阻止できれば、侵入を許したとしても事業への被害を局所化できます」と扇氏は述べる。

　ダメージを局所化すれば、迅速な事業復旧が可能になるが、それだけでは十分ではない。復旧に備えてバックアップシステムやバックアップデータも保護する必要がある。「セキュリティーに対する従業員の意識やリテラシーの向上も不可欠です」（扇氏）。一人ひとりがセキュリティーを意識し、ポリシーに沿った運用を順守することで、組織としてのサイバーレジリエンス力が向上していく。

　日立ソリューションズでは、こうしたサイバーレジリエンスの実現を支援する多様なソリューションを提供している。

まず「情報資産・脆弱性管理ソリューション」は、組織全体の情報資産とセキュリティー対策状況をリアルタイムに可視化し、対策優先度の高い脆弱性を自動的に把握するソリューション。管理漏れや未承認のシャドーITも検出し、一元的に管理する。

　「CAASMに沿った運用で、効率的・継続的な脆弱性対策を実現し、サイバーレジリエンスの予測力と抵抗力を強化します」と扇氏はメリットを述べる。OTデバイスが存在する工場環境や、オフィス内のエンドポイントのみ管理したいなど、要件に合わせた柔軟な対応も可能だ。

　サプライチェーンのリスク対策には、海外も含めた拠点やグループ会社のセキュリティー状況の把握が欠かせない。そこで有効となるのが「企業セキュリティレーティングサービス」だ。これは組織内のリスクやセキュリティー対策状況を多角的にレーティング（評価）し、数値化するとともに対策の優先度も示すもの。公開サーバーの脆弱性、闇サイト・ダークサイトでの公開情報、通信パケット分析による感染疑いなどを総合的かつ継続的に評価する。

　「複数の組織のレーティング結果を比較することで、サプライチェーン内のどの組織にリスクが潜んでいるのかも可視化できます」と扇氏。また、取引先の対策を促すために「取引先セキュリティ評価支援サービス」も提供している。こちらは評価基準の作成、実際の評価作業と改善提案などを幅広く支援するサービスだ。

　脅威をいち早く検知・対処するには、エンドポイントの脅威を継続的に監視する「EDR（Endpoint Detection and Response）」、その運用をマネージドサービスで提供する「MDR（Managed Detection and Response）」などが有効な手立てになる。同社は実績のあるEDR／MDRソリューションを豊富に提供しており、その導入から効果の最大化まで支援する。

　このほか、バックアップの保護と被害からの迅速な回復を実現する「データ回復ソリューション（「Hitachi Virtual Storage Platform」や「Rubrik」と連携）」や従業員のサイバーレジリエンス教育、疑似攻撃でインシデント対応の訓練を行うサービスなども提供している。

　「これらのソリューションを活用することで、サイバーレジリエンスの実現に全方位的に対応できるのはもちろん、お客様のニーズやリスク度に応じて必要な対策から着手することも可能です」と扇氏は語る。そのためのアセスメントや提案も行うという。

　セキュリティーは「コスト」ではなく「投資」であることは冒頭で触れたが、サイバーレジリエンスは投資に対する「リターン」も大きい。サイバーセキュリティーに対する市場の見方も変わってきているからだ。

　投資家は危機管理の観点から事業継続性の高さを評価し、取引先や消費者の信頼も厚くなる。市場で高い評価を受ける企業には自然と優秀な人材も集まる。「企業の成長を後押しする好循環が期待できるのです」と扇氏は強調する。実際、ESG投資の評価軸にサイバーレジリエンスを加える動きが広がりを見せている。危機管理の要素も含むサイバーレジリエンスは、経営戦略の一環として考えるべきテーマだといえるだろう。

　今後も日立ソリューションズは全方位的なポートフォリオでサイバーレジリエンス強化を実現し、ビジネスのためのセキュリティーを支援していく考えだ。