「ITmedia エンタープライズ」でも頻出の「サイバーレジリエンス」という考え方があります。情報処理推進機構(IPA)の定義では、サイバーレジリエンスを「部署・部門のサイバーセキュリティに関する対応力・回復力を強化し、企業組織全体の強靱化を図ること」とされています。
もはやサイバー攻撃者に侵入させないということはほぼ不可能に近く、いくら対策を打ったとしても脆弱(ぜいじゃく)性や設定ミス、そして人の不注意を狙い、高度な技術と“欺術”でシステムに入り込み、そこから淡々と攻撃を実行しています。
私たちはその現状を認識し、それを前提とした防御を考えなくてはなりません。最終的な攻撃者のゴールの手前で止めることに加え、被害をいち早く認識し、破壊、侵害を受けた事業を元通りに戻す力が、サイバーレジリエンスだと筆者は考えています。そのためにはいち早く侵害を認識する検知力、そして侵害の現状を把握し、元に戻すための仕組みを淡々と実行していくことが重要でしょう。
ただ、サイバーレジリエンスの難しいのは、サイバーレジリエンスのための機器やソリューションが売っているわけではない点です。何らかの“ハコ”を置けばレジリエンス力が付くというものであればどれだけ幸せなことか。つまり“銀の弾丸”がないこのサイバーレジリエンスの力を付けるために、何をすればいいのか分からない方も多いはずです。
そこで今回はIPAが公開した、新たな資料を紹介したいと思います。
●サイバーレジリエンスには「コミュニケーション」だ
IPAが2024年8月に公開した資料は、その名も「サイバーレジリエンスのためのコミュニケーション」。このタイトルだけでも、サイバーレジリエンスに何が必要なのかが分かる、大変有用な資料です。
何らかのインシデントが発生したときには、組織内でさまざまな役割を持つメンバーたちが、復旧を目指し一丸となる必要があります。しかしそれはセキュリティ担当者だけがいくら頑張ってもうまくいくものではなく、原因特定のために現場からの情報を集めたり、原因を特定してそれを根絶したり、さらには対外的なコミュニケーションとして記者会見を開いたりする場合もあるでしょう。これらのどれか一つが欠けても、事業を再開することは困難です。
本書は基本的にはセキュリティ担当者に向けて書かれています。しかしその内容は技術的なことよりも、異なるステークホルダーの間でどう情報を共有するか、コミュニケーションにおいてどのような障害が発生するかを中心にまとめられています。本書に含まれる挿絵を一つだけ紹介しますが、この内容を見るだけでも、セキュリティ担当者は本書の狙いをすぐに理解できるのではないかと思います。
インシデント発生時、検知から対応の流れの中にはさまざまな作業項目が発生します。本書でも「図 3.2.1 IT 環境のサイバーインシデント対応フロー図」として、それがダイヤグラムで分かりやすく表示がされています。特にコミュニケーションの問題が発生しやすい部分が明記されていることは注目してほしいと思います。
SIRT(Security Incident Response Team)がインシデント発見当事者や経営層、システム担当者と会話するに当たり、どのようなやりとりが実施されるか、そこで発生するコミュニケーションでの留意点、平常時におけるコミュニケーションでどのようなことに注意すべきかなど、大変有用な情報がまとめられています。
加えて、本資料ではIT環境だけでなく、製造業におけるOT環境に関しても、かなりの分量が割かれています。特に工場などは、IT部門などとコミュニケーションプロトコルも用語も異なる世界であり、インシデント発生時には思った以上に意思疎通が難しいはずです。事前につまずきやすいところを確認できるという意味でも、本書はチェックしておく価値があるでしょう。
●重要なのは「平時」の作業
本書では、ステークホルダーごとの「平常時のコミュニケーション」がまとめられていることからも分かるように、インシデント発生時だけではなく、平時から準備を怠ってはならないというメッセージが発せられています。サイバーレジリエンスを実現するための3つの要素として、本書では以下が挙げられています。
・サイバーインシデント対応フロー改善のためのコミュニケーション
・共通認識醸成のためのコミュニケーション
・事業リスク理解のためのコミュニケーション
これを実現するには、やはりインシデント発生前に、しっかりとインシデント対応ができるよう、訓練をしておく必要があるでしょう。既にBCP(事業継続計画)が作られている組織であれば、サイバー攻撃を受けインシデントが発生したという仮定の下、各部署がどのように動き、情報が流れ、コミュニケーションが取れるかどうかを把握するためにも、訓練が最適かと思います。
以前、アイティメディアの主催セミナー「ITmedia Security Week 2023 冬」でも、IPAの青山友美氏が「ランサムウェア対応時のリスクコミュニケーションと机上演習を利用したインシデントへの備え」という講演を実施していました。
講演では、まずは各部署のメンバーを集め、机上で訓練をすることを推奨していました。ここでは机上訓練における誤解や、その時に活用できる「産業サイバーセキュリティセンター」(ICSCoE)のプログラムなどが紹介されていますので、ぜひご参照ください。
今回も無料で公開されている有用な資料を紹介しました。このような資料が次々と公開されているということは、それだけサイバーセキュリティ対策が“待ったなし”の状態であることをうかがわせます。サイバー攻撃はいつやってくるか分からないという状況を超え、もしかしたら既に侵害されている可能性すらあります。「その日」が来る前に、準備できることはしておきましょう。まずは本書の目次だけでもチェックしてみてください。
筆者紹介:宮田健(フリーライター)
@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。