Resilient by Design:リアクティブなインシデント対応からプロアクティブなサイバー戦略への移行

レジリエンスをセキュリティの構造に組み込む方法

IT部門は、テクノロジーの急速な進化への対応を試みるなかで、イノベーションとデジタル化という大きなプレッシャーに直面し続けています。同時に、従来のアーキテクチャーやハイブリッド ワークなどの内部条件、さらには業界規制の強化やサイバーセキュリティの脅威の急増といった外部条件により、組織の保護をめぐる課題はこれまで以上に複雑化しています。

現実的には、サイバー攻撃、ブラウンアウト、ブラックアウト、あるいはそれ以上の重大なセキュリティ障害を避けることは、もはや不可能だと考える必要があります。つまり、インシデントの被害から可能な限り迅速かつ効率的に回復し、被害自体を軽減できるサイバー レジリエンス戦略が必須となります。

今、IT部門は既存のサイバー レジリエンス戦略を検証し、この新しいデジタル時代の目的にかなったものになっているかどうかを見直す必要があります。では、死角はどこにあるのでしょうか？そして、セキュリティ アプローチを変更することでどのようにその死角を埋め、競争優位性を強化できるのでしょうか？

見当違いの自信

2024年12月、Zscalerは世界12か国1,700人のITリーダーを対象に業界横断的な調査を実施し、現在の組織におけるサイバー レジリエンスの状況を明らかにし、『レジリエンス ファクターの最大化：今後のサイバーセキュリティに「Resilient by Design」が不可欠な理由』と題したレポートにまとめました。このレポートでは、ITリーダーの約3分の2 (60%)が今後12か月以内に重大な障害シナリオの発生を予想しており、45%が過去6か月間にすでに経験していることが明らかになっています。

この調査データは暗い現実を示す一方、ITリーダーがこのようなインシデントに対応するためのレジリエンス戦略に自信を持っていることも示唆しています。回答者のほぼ半数(49%)は組織のITインフラが高いレジリエンスを備えていると考えており、現在のサイバー レジリエンス対策が少なくともある程度効果的であると考える回答者の割合は94%と大幅に高くなります。これがITリーダーの認識です。危機を回避することができ、あらゆる事態に対応する備えができていると考えて安心していられます。しかし、より詳しく見ていくと、その土台の危うさが浮かび上がってきます。

実際、このレポートの調査結果からは、こうしたサイバー レジリエンス戦略における憂慮すべき矛盾が明らかになりました。また、いつか必ず直面する新たな脅威への対応に関する一部のITリーダーの自信は見当違いである可能性が示唆されています。たとえば、さまざまな業界のサイバーセキュリティ関係者がAIを悪用したサイバー攻撃の潜在的な脅威について認識しているにもかかわらず、組織のサイバー レジリエンス戦略がこうしたテクノロジーの台頭に合わせた最新のものになっていると回答したITリーダーはわずか45%にどとまっています。さらに詳しく調べると、サイバー レジリエンス戦略を過去6か月間見直していなかったと認める回答者は5分の2 (40%)に上りました。

レジリエンスの重要性に対する経営陣の認識不足

この現実との乖離について詳しく見てみると、レジリエンス対策が遅れている主な理由の一つとして浮かび上がってくるのが、経営陣からの投資不足です。多くの回答者は、堅牢なサイバー レジリエンスを実現することの重要性の高まりを経営陣が理解していると答えたものの、それが経営陣の最優先事項であると感じている回答者の割合はわずか39%でした。投資額がニーズの高まりに対応できていないことに同意する回答者は約半数(49%)、CISOがレジリエンス計画に積極的に参加していると回答したITリーダーはわずか44%、サイバー レジリエンス戦略が組織の全体的なレジリエンス戦略に含まれていると答えた回答者の割合はわずか36%であることも、この状況を反映しています。

サイバー レジリエンス戦略が脆弱なことで起こる潜在的な影響を経営陣が理解していなければ、IT部門は常に苦しい対応を迫られることになります。IT部門が組織内の考えられるすべての脆弱性について脅威ハンティングを行い、より広範なビジネス戦略に沿ったレジリエンス戦略を構築できるようにするには、投資の拡大が必要です。サイロ化したサイバー レジリエンス戦略は目的にかなわず、従来のレジリエンス戦略のなかでビジネスに不可欠なテクノロジーが優先されなければ、障害の長期化につながる可能性があります。

「Resilient by Design」アプローチの構築

サイバー レジリエンスのリスクを軽減するためには、セキュリティ ソリューションの構造そのものに可視性と制御を組み込む必要があります。これを実現するのが、「Resilient by Design (設計によるレジリエンス)」と呼ばれるアプローチです。障害に備えて計画を立てることで、各部門が即座に対応をとれる態勢を整えます。具体的には、どの領域でどのような障害シナリオが想定されるのかを把握し、深刻なインシデントへの発展を阻止するための補助的なテクノロジー ソリューションを準備します。まさにこの点で役立つのがZscalerのZero Trust Exchangeです。このクラウド セキュリティ プラットフォームとそのサービスのDNAには「Resilient by Design」のアプローチが組み込まれており、組織はただリスクを経験してそれに反応するのではなく、リスクをより適切に予測、軽減できるようになります。従来のセキュリティ関係者にとって、これはどのような状況でも可用性、機密性、完全性を確保できるようになることを意味します。

「Resilient by Design」アプローチに対応し、リスクの軽減、攻撃対象領域の最小化、初期侵害やラテラル ムーブメント、データ流出の阻止を実現するZscalerのサービスを以下に紹介します。

• Zscaler Internet Access™ (ZIA™)は、ユーザー リスク スコアリングを通じ、さまざまなリスク要因に基づく動的なアクセス制御ポリシーを設定できます。最新の脅威インテリジェンスを考慮に入れながら、リスク スコアが高いユーザーによる機密性の高いアプリケーションへのアクセスを制限します。
• Zscaler Private Access™ (ZPA)™は、適応型アクセス ポリシーによって、リスクの高いユーザーやデバイスのポスチャーの変化を継続的に評価し、これらのセキュリティ イベントに基づいてユーザーやデバイスごとにポリシーを適用します。
• Zscaler Data Protectionは、SaaSやパブリック クラウド アプリケーション全体にわたり、転送中データおよび保存データに統一されたセキュリティを提供することで、ランサムウェア攻撃による潜在的な被害だけでなく、データが持ち出されるリスクも低減させます。
• Unified Vulnerability Managementは、統合されたセキュリティ データとビジネス コンテキストを活用して、リスクの優先順位付けや修復ワークフローの自動化を実現するとともに、動的なレポートとダッシュボードを提供します。
• Risk360™は、Zscalerのシステムの構成に関するインサイトを提供し、組織のリスク ポスチャーを改善するための変更を提案します。Zscalerのセキュリティ クラウドとサードパーティーのソースからのテレメトリーを活用することで、組織全体のリスクを定量化および可視化するとともに、Active Directoryの設定ミスを検出し、公開資産のセキュリティ ギャップを特定できます。
• Zscaler Deceptionは、リアルなデコイを環境全体に展開して活動中の攻撃者をおびき寄せ、検出し、阻止します。

まとめ

現在のビジネス環境では、サイバー レジリエンスにいっそう注力し、適切な投資を行って組織全体に適用することが求められています。しかし、こうした取り組みはサイロ化した環境では実施できません。セキュリティ戦略に最初から組み込み、予防と同じように重視する必要があります。

「Resilient by Design」のアーキテクチャーは、迅速な封じ込め、効果的な対応、障害シナリオ発生時の中断の最小化を可能にするツールを提供し、脅威に対する検知と対応という従来のアプローチからの脱却を後押しします。この原則を採用することで、どのような課題にも対応できる態勢が整い、IT部門は困難な状況を切り抜け、状況に応じて運用を調整しながら、自信を持って前進できるようになるでしょう。