レジリエンスという言葉には、復旧力、耐久力、抵抗力などの意味がありますが、このようなロバスト性を獲得するための組織的な性質や仕組み、と言い換えることができるかもしれません。
政府が使う用語だと、「しなやかな組織対応能力」もこれに類する言葉だと思います。
ーーレジリエンスを獲得するためには何が必要でしょうか。
森島氏:「ダメージコントロール」と「事業継続管理」の両面から考える必要があります。
ダメージコントロールはもともと軍事用語で、敵の攻撃が着弾することを前提に、「どれだけ被害を抑えることができるかという観点で行う取り組み」のことです。
例えば、空母には側壁のないオープンハンガー(開放型格納庫)を有するものがありますが、これによって被弾時の爆風を逃がし、結果として被害を抑えることを目的としています。また、被弾時の消火や応急修理などの対応を行う部隊が待機しています。
セキュリティでも同じで、攻撃が成功した場合でも被害の拡大を防ぐような仕組みを、平時から構築することが重要です。
これには、セグメント間の不要な通信を遮断することや、共有フォルダのアクセス権を最小限に維持できるような取り組みをすることが含まれます。
また、被弾時の対応部隊にあたるものがCSIRTです。
活動目的に沿って「どうやって攻撃されたことを検知するのか」「検知からCSIRTへの移行はどうするのか」「インシデント対応時にCSIRTはどのような権限を付与されるのか」「誰が最終的な意思決定者なのか」「内外の情報連携はどうするのか」といったことを、事前に決めておく必要があります。
ーー事業継続管理についてはいかがでしょうか。
森島氏:事業継続計画の基本的な策定方針は、事業を継続するためのリソースが失われたときの対応の検討です。
例えば、従業員が出社できなくなったときにどうするか、ITインフラが使えなくなったときにどうするか、委託先から業務提供を受けられなくなったらどうするか。
こういった、可用性が失われる可能性のあるリソースごとに、その対応を決めることによって、事業継続を脅かす未知の事象に対しても対応できるようにするわけです。
