波及効果：サイバー レジリエンスを自社だけで完結させてはいけない理由

世界は日ごとに危険になってきています。AIを悪用したサイバー攻撃や迫りくる量子コンピューティングの脅威、さらには地政学的緊張やサプライ チェーンの激しい変化まで、外部からの力があらゆるビジネスに衝撃を与えています。事業継続性と俊敏性を追求する組織にとって、こうした混乱に事後的に対応するだけではもはや十分ではありません。レジリエンスは、内部の防御メカニズムから、外部向けの設計原則に進化する必要があります。

組織がこうした外部からの圧力にどのように対応しているのか理解を深めるために、Zscalerは14か国のITリーダー1,750人を対象に調査を実施しました。サイバー レジリエンスへの取り組みや投資は高い水準にあるものの、調査結果では重大なギャップが示されました。組織の信頼感は、内部システムを制御できているという認識を反映していることが多く、外部要因による混乱への真の備えへの信頼とはなっていません。世界のITリーダーの過半数(61%)は、自社のレジリエンス戦略が依然として内向きすぎると認めています。

今年のレポート「波及効果：レジリエンスに優れたサイバーセキュリティの証」では、真のレジリエンスは、パートナー、プラットフォーム、サプライ チェーンといった依存関係にある外部の層全体に波及する必要があり、それにより外部の衝撃を吸収および軽減でき、事業運営の不安定化が避けられると論じています。組織の壁を越えたResilience by Designアプローチを採用することで、組織は避けられない事態に耐える機能を導入することができます。

重大なギャップ：内向きの視点が機能しない領域

内向きのセキュリティは、組織を4つの主要な領域でリスクにさらします。まず、サードパーティーへの依存は脆弱性の大きな原因となっています。68%がサードパーティーへの依存度を高めていますが、レジリエンス戦略を更新しているのは半数未満であり、リスク管理の導入率も50%未満にとどまっています。この重大なギャップにより、昨年は60%の組織がサプライヤーに起因する重大な障害を経験しました。さらに憂慮すべきなのは、サードパーティーの侵害に対してサイバー保険が適用される組織が半数(54%)に過ぎないことです。2つ目に、進化するテクノロジーには課題があります。ITリーダーの52%は、自社の現在のセキュリティでは、エージェント型AIや量子コンピューティングなどの既存の脅威や新たな脅威を防御できないと感じています。42%がエージェント型AIをテストし、34%が導入しましたが、その半数はガバナンスなしで導入していました。10人中7人は「シャドーAI」の使用状況を把握できておらず、56%が機密データの漏洩を懸念しています。さらに、現在盗まれたデータが3～5年後に危険にさらされる可能性があることを60%が認識しているにもかかわらず、57%はポスト量子暗号(PQC)をセキュリティ戦略に組み入れていません。3つ目に、マクロ経済の圧力が急速な変化を迫っています。ITリーダーの74%が、マクロ環境によって急速な方向転換を余儀なくされていることに同意しています。計画は増加していますが(規制順守71%、データ ローカライズ69%)、それでも多くは依然として事後対応となっています。

外国の技術への依存は、主権に関する政策や規制をめぐる議論に影響を及ぼしており、積極的な変化を促す要因となっています。Zscalerの調査によると、ITリーダーはこのリスクを積極的に軽減しています。79%が外国の技術への依存状況を評価しており、10人中6人は過去1年間に新しい/進化する主権要件に準拠するためにサイバー レジリエンス戦略を更新しています。昨年は、60%がNIS2、DORA、GDPRなどの規制の変更に対応してサイバー レジリエンス戦略を更新しました。

最後に、従来のアーキテクチャーは依然として大きな障壁となっており、81%が依然として従来のシステムに相当程度または中程度に依存しています。回答者の64%も、現在のインフラが障害への効果的な対応を妨げていると認めており、59%はアーキテクチャーがビジネスの変化に追いついていないと述べています。組織が真にレジリエンスに優れた状態になるには、量子技術による混乱、AIのイノベーション、サプライヤーの相互依存をシミュレートするなどの外部ストレス テストを実施し、隠れたリスクを明らかにする必要があります。

Resilience by Designの拡大：3つの対応

セキュリティ ギャップを解消し、保護の「波及効果」を加速させるには、レジリエンスに関する考え方を外部に拡大する必要があります。これには、可視性を優先し、あらゆる領域への予防的なリスク ハンティングの導入が含まれます。内部システムだけでなく、運用リスクを形成する外部要因にまで対応を広げて、内部システムや外部パートナー、サプライ チェーン全体にわたってデータを追跡するのです。この実現には、3つの戦略的な変化が必要です。

• 全体像を把握し、アーキテクチャーの転換を管理可能にすること：鍵となるのは俊敏性ですが、そのためには急速に変化する外部の脅威に対応できる柔軟なアーキテクチャーが必要です。プラットフォーム設計により、こうした適応を簡素化できます。複雑さは俊敏性の妨げとなるため、セキュリティとネットワーク インフラを分離することが、迅速な実現には欠かせません。
• 可視性を優先し、あらゆる領域に予防的なリスク ハンティングを導入すること：事後対応的な脅威ハンティングから予防的なリスク ハンティングに移行し、内部システム、外部パートナー、サプライ チェーン全体にわたってあらゆる場所のデータを追跡します。
• 将来への備えは、飛躍ではなく進化であるため、着実に構築すること：強力で相互運用可能なプラットフォーム アーキテクチャーがあれば、将来への備えは進化へとつながります。たとえば、エージェント型AIの保護は既存の情報漏洩防止(DLP)を基盤とし、ポスト量子暗号への対応は可視化と段階的な更新という管理可能なプロセスです。

外部に波及するレジリエンスの実現

Zscaler Zero Trust Exchangeは、この拡大された外部向けのレジリエンスを実現するように設計されています。クラウドネイティブのセキュリティ プラットフォームとして、以下のことが可能になります。

1. 可視性の優先：データ セキュリティ、AIセキュリティ、サードパーティーのセキュリティを強化する単一のオーバーレイ セキュリティ プラットフォームにより、請負業者やサプライ チェーンを含むリスク領域全体にわたってエンドツーエンドの制御が可能になります。
2. プラットフォーム アプローチによる簡素化：セキュリティをネットワーク インフラから切り離すことで、安全なアイデンティティーベースの接続が可能になり、組織は状況の変化に応じて市場やデータ フローを迅速に再構成できるようになります。データ センターがヨーロッパ内の25か所に置かれているため、主権要件にも対応します。
3. ゼロトラストに基づいて迅速に適応する機能の提供：生成AIセキュリティやポスト量子暗号の可視化といった機能を、単一のダッシュボードから簡単に有効化できる進化の道筋を提供します。統合された制御という基盤に構築することで、長期的な備えを実現します。

現在のサードパーティー依存型の経済において、組織のレジリエンスは、依存するエコシステムの強さによって決まります。組織がサプライヤー、請負業者、共有プラットフォーム全体にわたる制御を設計し、継続的に検証していない場合、パートナーのインシデントが組織本体の障害につながってしまいます。

不確実性のなかで成功するには、内部からレジリエンスを構築し、事後対応的な対策から予防的かつ意図的な行動に移行する必要があります。

強固な基盤の上にレジリエンスを構築することで、その保護効果が外部に波及し、外部からの衝撃の影響を軽減し、制御できるようになります。

ガイダンスが必要な場合は、組織内での波及効果を高めるためにZscalerにお問い合わせください。また、こちらからレポート全文をご覧いただけます。