サイバーレジリエンスを実現したいなら“3つのコミュ力”を鍛えよう

「サイバーレジリエンスのためのコミュニケーション」（出典：IPA「サイバーレジリエンスのためのコミュニケーション」の表紙）

　「ITmedia エンタープライズ」でも頻出の「サイバーレジリエンス」という考え方があります。情報処理推進機構（IPA）の定義では、サイバーレジリエンスを「部署・部門のサイバーセキュリティに関する対応力・回復力を強化し、企業組織全体の強靱化を図ること」とされています。

　もはやサイバー攻撃者に侵入させないということはほぼ不可能に近く、いくら対策を打ったとしても脆弱（ぜいじゃく）性や設定ミス、そして人の不注意を狙い、高度な技術と“欺術”でシステムに入り込み、そこから淡々と攻撃を実行しています。

　私たちはその現状を認識し、それを前提とした防御を考えなくてはなりません。最終的な攻撃者のゴールの手前で止めることに加え、被害をいち早く認識し、破壊、侵害を受けた事業を元通りに戻す力が、サイバーレジリエンスだと筆者は考えています。そのためにはいち早く侵害を認識する検知力、そして侵害の現状を把握し、元に戻すための仕組みを淡々と実行していくことが重要でしょう。

　ただ、サイバーレジリエンスの難しいのは、サイバーレジリエンスのための機器やソリューションが売っているわけではない点です。何らかの“ハコ”を置けばレジリエンス力が付くというものであればどれだけ幸せなことか。つまり“銀の弾丸”がないこのサイバーレジリエンスの力を付けるために、何をすればいいのか分からない方も多いはずです。

　そこで今回はIPAが公開した、新たな資料を紹介したいと思います。

●サイバーレジリエンスには「コミュニケーション」だ

　IPAが2024年8月に公開した資料は、その名も「サイバーレジリエンスのためのコミュニケーション」。このタイトルだけでも、サイバーレジリエンスに何が必要なのかが分かる、大変有用な資料です。

　何らかのインシデントが発生したときには、組織内でさまざまな役割を持つメンバーたちが、復旧を目指し一丸となる必要があります。しかしそれはセキュリティ担当者だけがいくら頑張ってもうまくいくものではなく、原因特定のために現場からの情報を集めたり、原因を特定してそれを根絶したり、さらには対外的なコミュニケーションとして記者会見を開いたりする場合もあるでしょう。これらのどれか一つが欠けても、事業を再開することは困難です。

　本書は基本的にはセキュリティ担当者に向けて書かれています。しかしその内容は技術的なことよりも、異なるステークホルダーの間でどう情報を共有するか、コミュニケーションにおいてどのような障害が発生するかを中心にまとめられています。本書に含まれる挿絵を一つだけ紹介しますが、この内容を見るだけでも、セキュリティ担当者は本書の狙いをすぐに理解できるのではないかと思います。