サイバーレジリエンスとは、企業がサイバー攻撃や情報セキュリティ上の脅威に直面した際に、被害を最小限に抑え、迅速に元の状態に回復し事業を継続することを指します。

企業のシステムに対するサイバー攻撃の脅威は、世界的に高まりを見せています。企業の安全性向上のためには、セキュリティ対策への取り組みが欠かせません。

IT化が進んでいる今、サイバーレジリエンスへの取り組みはどの企業にとっても欠かせないものといえるでしょう。

本記事では、サイバーレジリエンスの定義や必要性、対策のポイントについて解説します。

目次
サイバーレジリエンスとは？その定義
EUサイバーレジリエンス法とは
サイバーレジリエンスが必要な理由
サイバーレジリエンスを踏まえたセキュリティ対策の5つのポイント
サイバーレジリエンスを高める施策
サイバーレジリエンスは事業継続性にも関わる重要な要素

サイバーレジリエンスとは、サイバー攻撃を受けた際にその影響を最小限にとどめ、迅速に元の状態に回復し、事業を継続することです。

そもそも、レジリエンスという言葉は、「弾力性」「回復力」「復元力」などを意味しています。

サイバー攻撃への備えとして「防止」に力を入れていた企業が多く見られました。しかし、サイバー攻撃は世界的な広がりを見せており、どれほど「防止」に力を入れても、全てを防ぎきることは困難です。

そのため、セキュリティ対策の強化や従業員教育にとどまらず、バックアップや災害復旧サイトの準備などを行い、たとえ攻撃を受けた場合でも被害を最小限に食い止めるための取り組みが欠かせません。

サイバーレジリエンスは、企業全体のリスクベース戦略の1つであり、事業継続性に関わる重要な要素と位置付けられています。

EUサイバーレジリエンス法とは、欧州連合（EU）が2022年9月に草案を提案した法案です。2024年に施行、2027年中の運用を予定しています。

EUとして初のサイバーセキュリティー認証の枠組みで、デジタル製品のサイバーセキュリティー強化を目的としています。

IoT機器、スマートフォン、ソフトウェアなど幅広い製品を対象とし、製造業者に対して厳格なセキュリティ要件の遵守を求めるものです。主な要求事項として、ソフトウェア部品表（SBOM）の作成、脆弱性への対応、セキュリティ更新プログラムの提供などが挙げられます。

適合性評価の方法は、製造者自身が評価する「自己評価」と、独立した認証機関による「第三者認証」の2つです。

一般的なサイバーレジリエンスは全ての企業に向けたリスクベースアプローチですが、EUサイバーレジリエンス法は、デジタル製品を扱う企業に特化しているのが特徴です。

参照：日本貿易機構（ジェトロ）「EU、デジタル製品にサイバーセキュリティー対応を義務付ける法案に政治合意」

IT化が進んだ現代では、多くの企業にとって、サイバー攻撃は大きな脅威となっています。そのような環境下で、サイバーレジリエンスが必要な理由としては主に次の3つが挙げられます。

• サイバー攻撃による被害を最小化させるため
• ステークホルダーとの信頼関係の維持のため
• 内部不正の防止のため

詳しく見ていきましょう。

サイバー攻撃の被害は、詐欺や情報漏えい、業務停止などの直接的なものだけにとどまりません。企業の信頼低下を招き、結果として株価の下落や純利益の減少などの間接的な被害をもたらすことも多く見られます。

サイバー攻撃の手法は日々進化しており、全ての攻撃を完全に防ぐことは困難です。被害を最小限に抑えるためにも、サイバーレジリエンスによる攻撃の早期検知と迅速な対応が欠かせません。

また、サイバーレジリエンスの一環として定期的なバックアップと暗号化を行うことで、データ損失や漏えいリスクの軽減、事業継続性の確保が見込めます。

先述したように、サイバー攻撃によって株価の下落や純利益の低下につながることも少なくありません。

IPA（独立行政法人情報処理推進機構）によれば、日本国内でインシデントに関する適時開示を行った企業において、「平均10％の株価下落」と「平均21％の純利益減少」が見られたという報告があります。

そのため、サイバーレジリエンスに取り組んでいない企業に対して信頼できないと考える投資家が現れることも考えられます。ステークホルダーとの信頼関係を維持するためには、サイバーレジリエンスへの取り組みを明示することが重要です。

参照：独立行政法人情報処理推進機構（IPA）「プラクティス・ナビ｜サイバー攻撃による企業活動への影響」

情報セキュリティの脅威は、社内に紛れていることも少なくありません。

サイバーレジリエンスは外部不正だけでなく、従業員による情報漏えいや内部不正の抑止に対しても、効果を発揮します。

例えば、重要情報へのアクセスを制限やデータの暗号化、監視システムの導入などを行うことで、不正行為の機会を軽減できます。

また、フィッシング攻撃の識別方法や安全なパスワードの管理方法など、情報セキュリティに関する定期的な従業員教育が意識の向上につながります。

サイバー攻撃から企業を守り、万が一の被害を受けた際に早期復旧を行うためには、サイバーレジリエンスを踏まえたセキュリティ対策が必要です。

サイバーレジリエンスの取り入れ方はいくつもあります。ここでは押さえるべき主なポイントを5つ紹介します。

• 情報資産の洗い出し
• リスク評価の実施
• システムの安全性の維持
• サイバー攻撃の被害拡大の抑止
• 事業再開に向けた事前対策

各ポイントについて、詳しく見ていきましょう。

情報資産とは、販売情報や顧客情報をはじめとした、企業や組織が所有している情報全般を指します。データ、記録メディア、紙媒体の資料など情報の形状は問いません。

これらの情報資産は流出や漏えいを防ぐべき大切な資産であり、適切な管理が求められます。

そのためにはまず、企業内の情報資産を洗い出し、記録している媒体を全て把握することが大切です。各情報資産の管理方法や使用方法、所有者などを洗い出しましょう。

なお、企業の情報資産は毎日のように増えていきます。そのため、定期的なチェックと情報更新が欠かせません。

関連記事：アビタス CISA®「情報資産とは？ 重要性や取り扱いリスク、管理方法やセキュリティ対策を解説」

次に、洗い出した情報資産のリスク評価を行います。リスク評価とは、各資産に対する脅威と脆弱性を特定し、それぞれの影響度を分析することです。

主なリスク例として、情報漏えい、改ざん、破壊などが挙げられます。それぞれの発生確率や実際にリスクが生じた場合の影響の大きさを評価します。

主なリスク評価方法として、数値や統計を用いて客観的にリスクを評価する定量評価や、主観的に評価を下す定性評価などがあります。

リスク評価の度合いによって、適切な対策を検討することが大切です。

サイバーレジリエンスのためには、システムの安全性を維持することが重要です。

なかでも、クラウドサービスやネットワークに接続している機器であるエンドポイントには注意が必要です。

クラウド環境の場合、不適切な設定を行うとサイバー攻撃の危険性が向上します。適切な設定を心がけましょう。

また、テレワーク環境を導入した場合、エンドポイントが社外に多数存在することになります。システムの安全性を維持するために、テレワークを導入する際は、高度なセキュリティ設定や監視システムの導入を検討しましょう。

サイバーレジリエンスではサイバー攻撃を防止するだけでなく、万が一攻撃を受けてしまった際の被害を最小限に食い止めることが重要です。

攻撃を受けた際に被害を最小限に抑えるためには、ネットワークを小さな単位に分割し、その区切りごとに許可されたデバイスやユーザーのみがアクセスできるセキュリティ制限を行う、マイクロセグメンテーションなども有効です。

脅威検知システムの導入やデータのバックアップ、暗号化などと組み合わせることで、より強固なサイバーレジリエンスの実現が期待できます。

サイバーレジリエンスにおいては、サイバー攻撃を受けてしまった場合に被害を最小限に抑えることに加え、復旧時間を短縮し、迅速に事業をさせるという点も重要となります。

復旧時間を短縮するためには、事前対策が欠かせません。主な具体例を紹介します。

• サーバーやネットワーク機器、ストレージなどのハードウェアの二重化
• サブシステムの運用と手動プロセスの確立
• 定期的なバックアップとデータの世代管理
• メインシステムが攻撃された際でもクラウドや遠隔地などのバックアップシステムを隔離・保護する体制の確立
• 予備PC・モバイルデバイスなどの準備

コストや企業体制、情報の重要度を考慮した上で、適切な対策を講じましょう。

サイバーレジリエンスは、リスクごとに影響度を測り、リスクに応じた対応策を取るリスクベース戦略の一環といえます。

サイバーレジリエンスの効果を高めるためには、ガバナンスやリスク管理、情報資産の把握、データ所有権の理解、インシデント管理などが必要です。

セキュリティ上の脅威や脆弱性を把握することに加え、リスクの重要度や万が一攻撃が防ぎきれなかった場合の影響を予測した上での管理が求められます。

ここでは、サイバーレジリエンスを高めるための施策として特に重要な、情報セキュリティガバナンスの確立と情報システム監査の実施について解説します。

情報セキュリティを適切に管理することを目的としてルールや方針を定め、組織内で徹底させる管理体系を「情報セキュリティガバナンス」といいます。

情報セキュリティ対策の実施だけでなく、インシデント検知能力の向上、対応、復旧などに取り組みます。情報管理の安全性を確保し、リスクを軽減するために欠かせない仕組みです。

情報セキュリティガバナンスの確立は、サイバーレジリエンスの基礎となります。

関連記事：アビタス CISA®「情報セキュリティガバナンスとは？定義や効果、フレームワークを解説」

サイバーレジリエンスを高めるためには、情報システム監査の実施も欠かせません。

情報システム監査とは、情報システムのリスクを適切にコントロールするための手段の1つです。具体的には、情報システムの信頼性・安全性・効率性を検証し評価することを指します。

単なるチェックにとどまらず、不備があった場合は経営者に改善を促すことも必要です。

情報システム監査を適切に行うためには、専門的な知識やスキルが求められます。また、監査を進めるためには、CISA®（公認情報システム監査人）資格取得者の存在も有効です。

関連ページ：アビタス CISA®「公認情報システム監査人（CISA®） とは？資格の概要や魅力を解説」

まずは無料の説明会にご参加ください。

サイバー攻撃を受けるリスクは年々高まりを見せており、サイバーレジリエンスはITを扱う全ての企業にとって欠かせない、企業全体のリスクベース戦略の1つです。

サイバーレジリエンスは、サイバー攻撃を防ぐだけでなく、万が一攻撃を受けた際の被害を最小限に抑え、できるだけ早く復旧することも目的としているのが特徴です。

サイバー攻撃を受けると、ステークホルダーからの信頼の低下、利益や株価の低下など多くのダメージにつながる可能性があります。

サイバーレジリエンスを導入することは、事業継続性にも関わる重要な要素といえるでしょう。

情報セキュリティ監査に役立つ、CISA®の資格取得を目指すならアビタスを検討してみましょう。

アビタスのCISA®プログラムは、2007年4月の開講以来多くの合格者を輩出し続けています。

最新の試験情報を踏まえた分かりやすいオリジナル教材を利用することで、約75％という圧倒的な合格実績を誇っています。

ライブ講義に出席する「通学コース」とWeb上で学ぶ「eラーニング限定コース」があり、自分に都合の良いほうを選択できます。

効率よく学習できるよう充実した学習ツールを準備しており、最短250時間での合格が可能です。

アビタスではオンラインによる無料説明会を実施しています。興味のある方はお気軽にご参加ください。

CISAについてもっと知りたい方はこちら