{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
サイバー攻撃を「防ぎ切る」ことを目標とした時代は終わりつつあり、サイバー攻撃による事業影響を最小限に抑え、事業継続性の維持・早期復旧のための機能を備える概念として「サイバーレジリエンス」が注目されています。
近年の攻撃は、既存の防御策を巧妙にすり抜け、気付かないうちに内部へ侵入しているケースや、侵入後に事業の根幹に関わる重要システムを停止に追い込むケースが多く見られます。「侵入されないこと」に加え、「万が一侵入されてしまっても、いかに事業を継続させるか/どれだけ早く事業を復旧できるか」が重要なポイントとなります。
本稿では、サイバーレジリエンスの観点から、事業影響を最小化するインシデント対応の設計と実践方法について提言します。
1. サイバーレジリエンスが重視される背景――完全防御が不可能な時代
攻撃の高度化に伴い、「侵入は避けられない」という前提で対策を講じることが現実的になりつつあります。しかし、多くの企業では依然として「侵入前提の備え」が十分とは言えない状況です。その背景には、企業を取り巻く事業・システム環境そのものがかつてないスピードで複雑化しているという構造的な問題があります。例えば次のような変化が挙げられます。
- サプライチェーンを含む業務・システム環境の複雑化により、全体像の把握が困難になっている
- ゼロデイ攻撃や標的型攻撃など、防御をすり抜ける高度な攻撃が継続的に増加している
- クラウド利用の拡大やOTシステムのネットワーク化により、管理すべき領域と責任範囲が飛躍的に拡大している
こうした要因が重なることで、従来の「侵入させない」ことを前提とした防御モデルは限界を迎えており、「侵入された後どう被害を最小化するか」というレジリエンスの視点が重要性を増しています。
2. 被害拡大を防ぐための「封じ込め(切り離し)」の課題
サイバー攻撃によるインシデント対応は本来、初動調査・封じ込め・復旧・事後対策までの一連のプロセスです。中でも封じ込め(切り離し)は被害拡大を防ぐための重要な対応である一方、事業停止に直結するため最も迷いが生じやすい領域です。対象サービスやシステムの切り離しは被害拡大の抑止に繋がりますが、事業停止・顧客影響(サービス停止に伴う契約違反の法的リスクを含む)など、事業影響およびそれに付随する追加の対応コストが発生します。
上記の懸念から判断に迷いが生じ、結果として対応が遅れることで以下のような事態を招くケースが実際に発生しています。
- 生産ラインの長期停止
- 取引先との契約停止
- ブランドイメージの低下
- 株価・企業価値への影響 など
図表1:サイバー攻撃に対する対応の課題
3. 封じ込め(切り離し)に必要な考え方――「判断の標準化」が鍵
被害拡大を防ぐためには「迅速な切り離し」が不可欠です。しかし、事前準備が不十分な場合、対応は現場レベルの個別判断に依存し、切り離しによる事業影響を把握できないまま意思決定が行われてしまうケースが多く存在します。その結果、サイバー攻撃そのものの影響に加え、拙速または遅延した切り離しによる追加的な事業影響が発生することになります。
こうした状況を避けるためには、「事前に事業影響を定量化し、切り離し判断を標準化する」という考え方が重要となります。切り離し判断は単なる技術的判断ではなく、事業継続・顧客対応・法的影響を踏まえた「経営層および事業部門の意思決定」が重要であり、組織横断の合意形成が求められる領域です。現場レベルで単独の判断を行うのではなく、経営層・事業部門と共通の基準を持つことで、有事の意思決定を迅速かつ正確に行うことが可能となります。
図表2:サイバー攻撃への対応に係る考え方の変化
| 従来の考え方 | 現在求められる考え方 |
|
|
|
|
|
|
4. 事前に整理すべきポイントごとの論点例
事業継続・停止の両面におけるリスクバランスを正確に捉え、最適な判断が下せるように、自社の業務・システム環境に即した事前準備が求められます。図表3・4に示すように、事前の整理ポイントおよび論点例に対して、事業影響度と技術的深刻度を軸に、定量・定性の両面において一定の考え方を整理することで、有事の際の経営判断スピード・正確性の向上が期待できます。
図表3:事前に整理すべきポイントに対する論点例
| 事前の整理ポイント | 論点例 |
| ① 業務マッピング (業務―システム依存関係の可視化) |
|
| ② 切り離しによる事業影響・コストの定量化 |
|
| ③ 優先度設定と判断の閾値 |
|
図表4:判断軸の作成イメージ
5. まとめ
サイバー攻撃の高度化により、「防御」だけで事業を守ることはますます困難になっています。サイバーレジリエンスを確保するためには、有事の判断を「感覚や経験」ではなく、「事前に整理された基準」で行える状態をつくることが不可欠です。
- 守る対象(業務・システム)と構造の可視化
- 切り離しによる事業影響・コストの定量化
- 判断の閾値と権限を明文化した仕組み
多くの企業では、検討は進んでいるものの、「自社の業務環境に適した判断基準になっているか」という視点での検証はまだ十分とは言えません。
PwCでは、既存のセキュリティインシデント対応計画・規定類・体制の棚卸しから、「実際に判断できるレベルに落とす」ための支援を行っています。
今ある仕組みが使える状態かどうかを、改めて確認してみることが重要なタイミングに来ています。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
