レジリエンス実現に必要な4つの力
さらに参考にすべきものとして、扇氏はNIST(米国立標準技術研究所)が公開している『NIST SP800-160 Vol.2 Rev.1(Developing Cyber-Resilient Systems: A Systems Security Engineering Approach)』を挙げる。これによれば、企業がサイバーレジリエンスで備えるべきは①予測力、②抵抗力、③回復力、④適応力となる。
「①予測力」とは、簡単に説明すると、脆弱性診断や最新のOS、セキュリティパッチをあてるなどの予防策、診断やアセスメントなどの現状把握を指す。そして「②抵抗力」とは、実際に攻撃に遭った際の“ダメージの局所化”だ。例としては、共有設定やアクセス権設定、EDR(Endpoint Detection and Response)による侵害の早期検知と被害環境の迅速な隔離などがある。
「③回復力」には、データのバックアップやリストアなどがある。データやシステムが被害に遭っても、いかに迅速に復旧・切り替えできるようにするか。特に、いざ事業停止の危機に陥った際、本当にリストアができるか検証や訓練をしておいたほうがよいと扇氏は警鐘を鳴らす。最後の「④適応力」は、社員の教育や組織力強化によって向上させるものだ。
ここまでを紹介したうえで、扇氏は特に推奨する②抵抗力の強化施策として、EDRの活用方法見直しを勧める。ウイルス対策ソフトに比べ、EDRはエンドポイントを常に監視し、感染してもその端末を隔離させる、感染範囲や感染日時を確認するなどといった対応が可能だ。しかし、「ただEDRを導入するだけで、大量のログやアラートに埋もれてしまい適切に運用できていないところもあります」と扇氏。たとえば、感染範囲や感染日時から迅速にリストアすべきバックアップデータを探し出す、海外や地方拠点など遠隔地の端末を緊急隔離するなど、EDRを効果的に活用できるよう、既に導入している企業でも今一度の見直しが必要だと指摘する。
企業のセキュリティ課題、状況を最適化する支援
セキュリティの分野は、一度被害に遭えば経営に甚大な影響を及ぼすリスクがありつつも、何も起こらないうちは、対策自体が直接利益や効果を生み出すものではない。こうした理由から、なかなか積極的に投資できなかったり、スムーズに対策を進められなかったりする企業も多い。加えて、セキュリティ人材の不足が問題視されている。
こうした問題の根底として、扇氏は「リテラシーの問題があるのでは」と話す。組織の中に推進者がおらず、取り組みが形にならない、人材育成が進まない、予算が認められない……。そうした背景には、サイバーレジリエンスの重要性について意識や理解が十分でないことが考えられるとした。
日立ソリューションズは、こうした各種課題に対応できるよう幅広いサービスを用意している。扇氏は「私たちは、20年以上のコンサルティング経験を活かし、全体を俯瞰して診断するサイバーレジリエンスの現状分析サービスや、約70種類の豊富な支援サービスの中から、お客様に最も適したものを柔軟に提案できます」と自信を見せる。実際、取り扱う製品やサービスのラインナップは実に多く、日本でトップレベルといえるだろう。
たとえば、予測力に該当する情報資産・脆弱性管理ソリューションは、社内ITだけではなく、工場のOT資産も含めて自動的に全体を可視化し、脆弱性を検出・収集・可視化できる。サイバーレジリエンスの強化に大きく寄与するはずだ。
また、ゼロトラストセキュリティの支援では部分的なツール導入にとどまらず、エンドポイントセキュリティ、ネットワークセキュリティ、アカウント管理、アプリケーション保護などを組み合わせて、総合的なゼロトラストセキュリティ対策を実現する。さらに、データ回復ソリューションであれば、バックアップの設計・保護から、EDRとの連携で迅速なデータ回復が可能な環境を構築するまで一連の流れを提供する。
セキュリティコンサルティングとして、同社のエキスパートがインシデント対応、リスクアセスメント、セキュリティ戦略策定などの課題解決を伴走型で支援するものや、マネージドセキュリティサービスとして、インシデントの監視やリスク軽減のための設定などを支援するもの。さらには、2024年中に施行される見込みのEUサイバーレジリエンス法にも対応した、製品ライフサイクル全体にわたるセキュリティを実現するなどといったサービスも同社は取り揃えている。
