セキュリティ界の先駆者ニコ・ヴァン・ソメレン氏が語る、新時代に必要な「復旧能力」とセキュリティ統制

3次元で捉えるリスク対策の方程式、すべて網羅できているか？

──日本では「レジリエンス＝回復力」という解釈が最も浸透しているかと思います。この解釈には相違はありませんか？

ソメレン氏：それほど違いはありませんが、あえて厳密に言うならば「悪い状態から良い状態に戻る能力」という解釈が最も適当かと思います。なぜこの能力をAbsoluteが重視しているのか説明させてください。

　組織全体のリスクを考える際には、主に3つの要因に着目します。1つ目は、「システムが侵害される確率」です。そして2つ目は、「侵害されるシステムの数」です。1台のコンピューターなのか、それとも1000台のコンピューターなのか、といった具合に。3つ目は、「良い状態に戻るまでにかかる時間」です。これらの「確率・影響・復旧時間」を掛け合わせたものが総リスクとなります。

　このうち、最も多くの組織が投資を行ってきたのは「確率」を下げるための対策です。そして昨今では、システムに侵入された際の攻撃の拡大、いわゆる「影響」を抑えるための対策も進んできました。

　しかし、「復旧時間」という次元を押し下げなければ、組織全体のリスクスコア改善において、主要なガバナンスの要素を見逃すことになります。逆にレジリエンスの構築さえできていれば、サイバー攻撃によってシステムがダウンした場合でも、あるいはセキュリティベンダーがユーザーに間違ったパッチを配布してしまうなんて事態を想定しても、組織のリスクスコアを大幅に改善することができます。

──セキュリティを揺るがす要因は、必ずしも外部からの攻撃だけとは限りませんからね。それにしても、復旧能力の確保自体は昔から大切だと言われてきましたが、過去と現在とでは、少し意味や範囲が異なるようですね。

ソメレン氏：かつてのレジリエンスとは、津波によるデータセンターの浸水や、主要インフラに発生した障害からの復旧などを考えるのが一般的でした。

　しかし今は、個々のエンドポイント、個々のアプリケーションレベルできめ細かいレジリエンスを構築しなければなりません。もちろん大災害などへの対策は重要ですが、現在の組織は1つの大きなモノリスではなく、「接続された小さなシステムの集合体」であることを忘れてはなりません。1つの小さなシステムへの影響が、他の多くのシステムへと波及する可能性があるのです。