サイバーセキュリティの要となる「レジリエンス」とは結局何なのか

予想もしていなかったITの障害やサイバー攻撃に見舞われる可能性をどう見積もればよいのだろうか。放置してはいけないことはもちろんだが、スタンスが定めにくい。

[Matt Ashare，CIO Dive]

　調査会社のWakefield ResearchがITとビジネスのリーダー1000人を対象に実施したPagerDutyの調査によると（注1）、大半の経営幹部は、今後1年以内に自社でCrowdStrikeが引き起こしたようなWindowsが起動しなくなるような大規模なIT障害が発生する可能性が高いと予想した。

レジリエンスとは結局何なのか

　報告書によると、CrowdStrikeのFalconセンサーの不具合に関連して2024年7月に発生したグローバルなIT障害は警鐘となった。回答者の約9割は「これまで自社がセキュリティを優先するあまり、サービス障害への備えを十分にしていなかったことに気付いた」と述べている。ではどうすればよいのだろうか。

　インシデント対応プラットフォームを提供するPagerDutyのエリック・ジョンソン氏（最高情報責任者）は、報告書の中で次のように記した。

　「世界中の経営幹部が、重大なインシデントを念頭に置いてリーダーシップの優先事項を見直している。調査対象者の全員が『将来のサービス障害に備えることへの関心を高めている』と回答した」

　企業ITにおいて低頻度で発生するサービス障害は珍しいものではない。広く利用されている「Microsoft 365 Productivity Suite」は、2024年12月10日に軽微な障害を経験した（注2）。同年11月25日には「Microsoft Teams」と「Microsoft Outlook」に影響を与えるより広範な問題が報告されていた（注3）。

　CrowdStrikeのインシデントのような大規模かつ深刻な障害はまれだが、いざ発生するとビジネスの運営に大規模なリスクをもたらす。

　CrowdStrikeによる不具合のあるアップデートは、数百万台のWindowsベースのシステムをクラッシュさせ、数千便の商業航空便を欠航させた。このインシデントは金融取引の遅延を招き、Fortune 500企業に推定50億ドルの直接的な損失をもたらしたとされている（注4）。

レジリエンスへの関心が高まる

　2024年7月に発生した世界的なIT障害は、現代のシステムがどれほど密接に結び付いているかを浮き彫りにした。この出来事を通じて、運用の強靭（きょうじん）性を高めることや、障害を事前に予測し、発生時に迅速に対応できるような戦略を備える必要性が重要だと認識されるようになった」（ジョンソン氏）

レジリエンスとは

　サイバーセキュリティの文脈ではレジリエンスとはサイバー攻撃や情報漏えいなどの脅威に対して、組織が持つ「耐える力」と「立ち直る力」を指す。サイバー攻撃を受けた際に、被害を最小限に抑え、迅速に業務を復旧させる能力を含む。サイバーレジリエンスを確立することで、顧客やステークホルダーからの信頼性が向上し、攻撃を受けた場合の経済的損失を軽減できる。

　サイバーレジリエンスの中核概念は4つある。

　第一に予測力と適応力だ。サイバーレジリエンスには、サイバー攻撃のリスクを予測し、変化する環境に適応する能力が必要だ。組織が新たな脅威に対しても柔軟に対応できるようになる。

　第二に事業継続性だ。サイバーレジリエンスは事業継続計画（BCP）と密接に関連している。これはCrowdStrikeの事例に関連が深い。サイバー攻撃が発生した場合でも、業務を継続し、迅速に復旧するための計画が必要だ。

　第三に包括的なアプローチだ。サイバーレジリエンスはテクノロジーやプロセス、人的要素を統合したアプローチを必要とする。組織はサイバー攻撃に対する防御だけでなく、攻撃後の回復も考慮しなければならない。

　第四にリスク管理がある。組織はサイバーリスクを特定し、評価することが重要だ。外部の攻撃だけでなく、内部の脅威にも目を向けなければならない。（キーマンズネット編集部）

　企業向けのソフトウェアソリューションを提供するAdaptavistの調査によると、この危機は技術専門家の行動を促進する警鐘となり（注5）、セキュリティ意識の向上やソフトウェア更新プロセスの見直しにつながった。分散型SQLデータベースを提供するCockroach Labsによると（注6）、クラウド部門とエンジニアリング部門の経営幹部は、自社のIT回復力を再評価し、懸念すべき点があることを認識したという。

　これにより、経営陣の中で警戒する動きが広がった。

　PagerDutyの調査における回答者の83％は、CrowdStrikeのインシデントが想定外の事態であり、サービス障害への備えに不十分な点があることを露呈したと認めた。半数以上は「この危機をきっかけに、システムやプロトコルへの一度限りの投資ではなく、継続的に備えを評価し見直す動きが進んでいると感じた」と回答した。

　このような戦略により、運用の回復力（レジリエンス）がサイバーセキュリティ対策とより緊密に連携するようになり、ITとビジネスのリーダーにとって常に最優先の課題となるセキュリティ強化にも寄与している（注7）。

　「インシデント対応の基本的な要素は共通している。だが、それぞれのインシデントの特性に応じて対応することが、効果的な復旧と影響の最小化には不可欠だ」（ジョンソン氏）

出典：Executives see another CrowdStrike-level IT outage on the horizon（CIO Dive）
注1：Not ‘If’ but ‘When’: 88% of Execs Expect an Incident as Large as the July Global IT Outage Within the Next Year（PagerDuty）
注2：Microsoft 365 Status（X）
注3：Microsoft 365 Status（X）
注4：CrowdStrike disruption direct losses to reach $5.4B for Fortune 500, study finds（CIO Dive）
注5：For IT pros, the CrowdStrike crisis was a ‘call to arms’（CIO Dive）
注6：Tech executives reassess IT resilience in CrowdStrike outage aftermath（CIO Dive）
注7：Cyber risk tops C-suite concerns heading into US election（CIO Dive）