25億ドルの損失を生む脆弱性 企業が直面するレジリエンスの正体

CISOの多くがリスクの分散の他に、コンプライアンスとデータ主権や、ITとOTの融合を実現するために、ハイブリッド環境を高く評価している。ハイブリッド環境の実現を妨げるものは何だろうか。

[David Jones，Cybersecurity Dive]

　企業を支えるITインフラは4つに分かれるという。パブリッククラウドとプライベートクラウド、オンプレミス、他のネットワークから物理的に切り離されたエアギャップシステムだ。

　パブリッククラウドは最も手間がかからず、サービスも豊富だ。だが、それだけに全てのITインフラを任せることが得策なのだろうか。

　XDRプラットフォームに強みのあるTrellixが2025年12月11日（現地時間、以下同）に発表したレポートによると（注1）、セキュリティリーダーの関心事は、レジリエンスを高めてリスクをより適切に管理する手段としてのハイブリッド環境の活用にある。ハイブリッド環境とは、先ほど挙げた4つを組み合わせたものだという。

25億ドルの損失を生む脆弱性　企業が直面するレジリエンスの正体

　最高情報セキュリティ責任者（CISO）の約96％が、規制要件とコンプライアンス要件を満たすための望ましいアプローチとしてハイブリッド環境モデルを挙げた。97％は「データ主権やデータの所在地に関する義務への対応にも、このモデルが有効だ」と回答した。

　Trellixのマイケル・グリーン氏（CISO）は、『Cybersecurity Dive』に次のように語った。

　「CISOは自社のチームやテクノロジー、ビジネスパートナーが利用する各サービスについて、具体的な責任共有モデルを理解する必要がある。そして、最終的には、日々のリスクのうち顧客側に残る責任の管理のために必要な統制を実現させなければならない。そのためには、マルチクラウドやハイブリッド環境全体で機能するよう設計されたツールやガバナンスプロセスを活用して、一貫したセキュリティ体制と可視性を確保する必要がある」

　調査企業Vanson Bourneの年次レポート「Mind of the CISO」は、米国と欧州、中東、アジア太平洋地域のCISOや、リスクとITの領域で同等の責任を有する500人の幹部への調査に基づいて作成された。

　レポートによると、ハイブリッド環境で企業のITを運用すると、サイバー攻撃や局所的な障害が発生した場合の影響から組織を守りやすくなるという。重要な目的は事業継続性の維持であり、現在CISOの約9割はハイブリッド環境での運用に取り組んでいる。

OTとITの融合が大切だというが

　CISOのもう一つの重要な課題は、オペレーショナルテクノロジー（OT）と情報技術（IT）の融合だ。調査回答者の約96％は「OTとITの融合は（電力やガス、鉄道、空港などの）重要インフラを攻撃から守る上で不可欠な要素だ」と回答した。

　このような認識が共有されているにもかかわらず、CISOの5人に2人は「自社の経営層がITセキュリティとOTセキュリティの違いを十分に理解していない」と語る。

　2025年には、大企業が壊滅的な攻撃に見舞われ、数週間、場合によっては数カ月にわたって業務停止に陥る事例が相次いだ。これによりオペレーショナルレジリエンスと事業継続性が重大な懸念事項として浮上したのだ。

　英国の自動車メーカーJaguar Land Roverは、2025年の夏の終わりにサイバー攻撃を受け（注2）、同社の車両生産は同年10月中旬まで1カ月以上にわたって混乱した。このインシデントは、同社の国際的なサプライチェーンに大規模な混乱をもたらし、英国経済に25億ドルの影響を与えた（注3）。

出典：CISOs view hybrid environments as best way to manage risk, compliance（Cybersecurity Dive）
注1：The Mind of the CISO（Trellix）
注2：Jaguar Land Rover begins phased restoration of services following cyberattack（Cybersecurity Dive）
注3：Jaguar Land Rover attack cost British economy $2.5 billion（Cybersecurity Dive）

原文へのリンク