サイバーレジリエンス構築に向けた
「リーダーシップ」の重要性とは

DXが進展する昨今、ひとたび障害やサイバー攻撃によってダウンタイムが生じると、事業への影響が甚大なものになりつつある。速やかに復旧し、インパクトを最小限に抑えていくための鍵が「サイバーレジリエンス」だ。このサイバーレジリエンスを構築するうえで、特に経営層による、「リーダーシップ」が重要な要素になるという。本稿では、サイバーレジリエンスの実現に必要なポイントついて、サイバーディフェンス研究所の名和利男氏とSplunk Services Japan合同会社の野村健氏に聞いた。

障害や攻撃によるダウンタイムによる損失額は年平均115億円

 否応なしにDXが進み、あらゆるビジネスがITに依存する現在。万が一、システム障害や、サイバー攻撃を受けてシステムが停止してしまうと、その被害は計り知れない。

 たとえば昨今、ランサムウェア感染の影響を受けて工場やプラントが操業停止にまで追い込まれたケースが複数発生していることを見ても、その影響の大きさは実感できるだろう。事実、Splunkの調査によると、システム障害やサイバー攻撃などが原因となって生じたダウンタイムによる損失額は、年間平均で約115億円に上っている。

サービス停止などに伴うダウンタイムコストは年々増え続けている
サービス停止などに伴うダウンタイムコストは年々増え続けている

 当然のことながら、サイバー攻撃をゼロにするのは難しく、いくら対策を講じたとしても、人的ミスや設定の不備をゼロにすることはできないし、攻撃側は常に手を変え品を変え、繰り返しやってくる。そんな中、被害を最小限にとどめる考え方として注目されているのが「デジタルレジリエンス」だ。

Splunk Services Japan合同会社 
日本法人 社長執行役員
野村 健氏
Splunk Services Japan合同会社
日本法人 社長執行役員
野村 健氏

 デジタルレジリエンスとは、被害に遭わないようにすることではなく、被害が生じないよう予測や予防策も講じるとともに、サービス中断につながるような被害が起きても、その事象を速やかに検出し、対応し、復旧させるための「回復力」を持つことが最重要であり、その結果ダウンタイムを最小限に抑えることを指している。

 不確実なこの時代において障害や危機は避けられないが、復旧に数日かかるのか、あるいは数分、数十分で対応できるかによってビジネスインパクトは大きく異なる。サイバー攻撃に備えたサイバーレジリエンスをいかに高めていくかは、もはや経営課題と言えるだろう。

「状況認識」ができていないがゆえに劣る日本企業の復元力

 サイバーセキュリティの専門家として数々の企業を支援してきた名和 利男氏によると、日本企業のサイバーレジリエンスは他国に比べそれほど遅れているわけではないという。ただ、事案が発生した際の「復元力」に関しては、やや見劣りする部分があるとのこと。

 「日本は、組織中枢の方々の状況認識レベルが他国とは違っています。自組織、セキュリティコントロールが及ぶ範囲は何とかできているのですが、海外拠点や委託先といった部分については現場任せとなり、ひとたびインシデントが発生してしまうと、どこから手を付け、どう指示すればいいのかがわからない状態にあります。この課題を解消してサイバーレジリエンスを高めるには可視化、つまり『リアルタイムで全体を見渡す能力を持つこと』が重要です」(名和氏)

 逆に、日本の組織が復元力を鍛えていった好例もあるという。それは、2011年の東日本大震災の経験だ。あの悲惨な災害を経験した多くの人が、「この先、何が起こり得るのか」を想像し、個人、組織、国家レベルで何が必要かを考え、適切なプロセスや慣習を整備してきた。それと同様に考えると、サイバーに関しても、どれほど重大なことが起こりうるかを想像し、状況を認識していくことによってはじめてレジリエンスが実現できるのだ。

 名和氏の指摘を踏まえてSplunk Services Japan合同会社 日本法人 社長執行役員 野村 健氏は、「クラウド活用やシステムの分散化といった環境変化も相まって、これまで以上に『防御が破られてしまったときに、いかに被害の拡大を防ぎ、いち早く元の状態に戻せるか』が問われています」と述べる。

サイバーレジリエンスの構築を阻む3つの要因

 Splunkの調査によると、主に3つの要因によってサイバーレジリエンスの構築が阻まれているという。一点目は、ツールやチームが縦割りとなる「サイロ化」。二点目は「セキュリティ人材」の確保や育成の問題。そして三点目は「リーダーシップ」の問題だ。

 システムが拡大し、複雑化するにつれサイロ化も進展してきた。「組織内でデータが流通・共有されないため、いざインシデントが発生しても適切に情報が伝わらず、結果として上からも適切な指示が下せなくなってしまいます」と名和氏は懸念を示した。

サイバーディフェンス研究所
専務理事 上級分析官
名和 利男氏
サイバーディフェンス研究所
専務理事 上級分析官
名和 利男氏

 続けて野村氏は、「攻撃の件数が増加している今、脅威の侵入を徹底的に防ぐよりも、可視化されたログを組織全体で共有し、部門を超えたコラボレーションを行うことによって、被害の最小化と回復時間の短縮が可能になります。さらに、AI、機械学習、自動化ツールといった技術を駆使することで、人海戦術を避け、属人化を排除し、人材の再配置を最適化することができます」とした。

 二点目のセキュリティ人材不足は、十数年にわたって指摘されてきた課題だ。「日本では、セキュリティ人材をどう育成するかという方法論の議論にとどまっており、インシデントが起きた際にどういう任務を課し、どんなアウトプットを期待しているのかという機能や能力といった観点が抜け落ちてしまっています」(名和氏)

 人材の売り手市場が続く中、いかにセキュリティ人材を育成、内製化していくかが鍵になっている。

 「ひと言にセキュリティ人材といってもビジネス部門のことがわからなければ適切な対応が行えません。そのため、人を流通させる意味でも、社内のいろいろな部門を経験させるリスキリングが重要になります。しかし、現状では、人材そのものが不足しているため、特定の人材にセキュリティ業務を固定化させざるを得なくなり、適切にローテーションを行える体制を整備できずにいます。当面はMSSPのサービスを活用したり、AIや機械学習によるワークフローの自動化したりして、人材の再配置を行うとともに教育に費やす時間を創出することが求められます。また、どのようなセキュリティ教育を行えばいいのかわからない、といった悩みを抱えている方もいることでしょう。例えば、Splunkでは各種教育メニューを提供しており、これらを活用することでセキュリティ人材の育成、内製化が可能になります」(野村氏)

 三点目のリーダーシップについては、2021年9月に閣議決定された「サイバーセキュリティ戦略」においても、経営層の意識改革が重要な施策として位置づけられている。ただ、具体的な方針があるわけではなく、結局のところ多くの企業の経営層は、「うちのセキュリティは大丈夫か? しっかりやってくれ」と、現場に丸投げする状態が続いているようだ。これではリーダーシップに欠けていると言わざるを得ない。

 「リーダーシップを発揮するには、まず、今何が起こっているかをリアルタイムで知ること、そして、その起きていることに先んじて行動することが必要です。もしツールやチームのサイロ化が障害になっているのであれば、それを打ち砕くことも最高レベルの意思決定層の仕事ですし、セキュリティ人材育成への投資、適切なトレーニングの機会、あるいは外部アドバイザーを雇って学ぶ環境を作るのもリーダーシップです。そして、自らの意思決定時にはインテリジェンスなども組み合わせて、現状を正確に把握し、最適な手段や方向性を示す必要があるのです」(名和氏)

 Splunkの調査によると、レジリエンスの強化に向けて可視性の向上が重要だと捉える組織は、日本ではアジア太平洋地域の平均よりも9ポイント低い37%にとどまっている。「組織のリーダーが投資の優先順位、組織の優先順位を変えていくことが大切ではないかと考えています」(野村氏)

 サイバーレジリエンスを阻む3つの要因の中でも、特に優先すべきはリーダーシップの問題だ。

 「リーダーシップがないままサイロ化を解消しようとしても、調整ばかりで時間がかかり、最終的に妥協案で終わる可能性があります。人材育成に関しても、ヒト、モノ、カネを握っているリーダーの関与は不可欠です。リーダーシップの改革が9割と言っても過言ではないくらい、優先すべき課題なのです」(名和氏)

 続けて野村氏は、「現場にいるとどうしても自分の組織だけに目がいきがちで、横の組織を見づらい体制になってしまいます。組織を超えた働きかけは難しく、やはりリーダーが自分の言葉でメッセージを発信し、優先順位を変えていく必要があるでしょう。ビジネスサイドが危機感を持つことと同時に、セキュリティを統括する部門もまた自社のビジネスを理解する必要があります。セキュリティ部門とビジネス部門の両方を統括していくには、やはりリーダーシップが鍵になります」(野村氏)

決定権を持つ経営層が主導しないとサイバーレジリエンスは上手くいかない
決定権を持つ経営層が主導しないとサイバーレジリエンスは上手くいかない

サイバーレジリエンス構築の第一歩は「可視化」

 地政学的リスクが高まる現在では、生産そのものが停止し、大きなビジネスインパクトが生じ得ることが認識されつつある。これを受け、従来のスタイルから脱却し、海外拠点やサプライチェーンも含め、どうサイバーレジリエンスを高めていくかについての検討が多くの企業・組織で始まっている。

 「考え方やシステムの変革は急務になっていますが、企業ごとに進捗はばらばらです。変革のためには、まずは『現状の可視化』を行うべきです」(名和氏)

 組織の現状が「見えていない」ことに気付くことができれば、トップはおのずと可視化の方法を真剣に検討するだろう。今の状況がわかれば、意思決定が迅速になり、どの部分を自動化していくかの判断もつきやすくなるはずだ。

 ただ野村氏によると、中には「現状を直視することを怖がる」企業もあるという。例えば、ペネトレーションテストを実施し、あちこちに脆弱な穴が見つかったことを示しても、対処できる人がいないために、放置し続けてしまうケースもあるそうだ。

 「現状を理解するには正確なデータが必要です。単なる攻撃のログだけでなく、そこにコンテキストを与えて提示するSplunkのソリューションは非常に有効です。現場へのセキュリティを丸投げする体質から脱却していくには、まずは現状を可視化できるソリューションの力を借りるべきなのです」と名和氏は述べ、話を締めくくった。

 
日本企業のサイバーレジリエンスについて、熱く討論する2人
日本企業のサイバーレジリエンスについて、熱く討論する2人
提供:Splunk Services Japan合同会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2023年8月31日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]