【情シス必見！】DX時代に必須のサイバーレジリエンスとは？

DX時代において、ITやIoT、AIなどの活用は企業の活動と切り離せないものになりました。一方で、ランサムウエアによる攻撃やさまざまな障害の発生など、重大なインシデントへの対策や対応も必須になっています。今回は話題のサイバーレジリエンスについて、奈良先端科学技術大学院大学　門林先生にお話しいただきました。事例や分かりやすい例えを交えて解説いただいているので、情シスの方だけではなくDXにかかわる経営者、事業部の方も必見です。

※本記事は2022年３月８日～11日にITトレンド主催で開催された「ITトレンドEXPO2022 Spring」のセッションを一部抜粋・編集しお届けします。

登壇者プロフィール

奈良先端科学技術大学院大学　サイバーレジリエンス構成学研究室教授
門林雄基氏
大阪大学大型計算機センターなどを経て、平成29年より現職。同年、「サイバーレジリエンス構成学研究室」を設立。国立研究開発法人情報通信研究機構において20件のサイバーセキュリティ国際標準成立に携わる。

サイバーリスクは全面展開

DX時代にどうやってビジネスを進めるかというときに、やはりサイバーリスクが問題になります。クラウドが止まる、AIの誤検知によるエラーが生じる、ほかにもAIに悪意ある情報を教え込まれて差別発言をするようなチャットアプリができるとか、さまざまな問題があります。どんなITも同じように狙われており、どれが狙われるかは狙われてみるまでは分かりません。

DXはやりたいけれどインシデントや問題が起きるし、どのようにビジネスを継続していこうかと皆さま考えていらっしゃると思います。

サイバーレジリエンス

サイバーレジリエンスとは、一言で言うと防災・減災の発想をITやサイバーセキュリティの分野に応用しようというものです。

セキュリティ事故が起きている背景として、「部品」の点数が増えていることが挙げられます。数千万点、数億点の部品がネット上にあるという現状を考えてみましょう。例えば、今いるスタジオにはパソコンが何台もありますし、カメラ、ライティング、空調ももしかしたらネットで制御できるかもしれません。これらの部品を全て安全なままに保つのは大変なことです。

ソフトウエアをつくって５年、10年、15年すると、ほころびが見つかってきます。最近も、LINUXというクラウドで使われている基本OSに大きな脆弱性が見つかって問題になっていますが、このような脆弱性が毎週見つかっています。つまり、数億点の部品に毎週ひびが入っていくという状況なので、安全な状況を完全に維持するのはなかなか難しいのです。

そこで、サイバーレジリエンスという発想が必要になってきます。個々の部品にひびが入ったり、脆弱性が見つかったり、誤動作、誤操作したりしてしまっても、ビジネスが回復不能にならないようにするということです。要するに、少しでも危険な状態になったら、そこからなるべく安全なところに早く回復させるという考え方です。

部品が多いのは仕方がないので、少しずつしっかり点検したり少しずつ安全なものへ取り換えるとか、良いものへ取り換えて、ビジネスが続行できない状況にならないようにすることです。この予防的措置というところが非常に重要です。

サイバーレジリエンスをどう確保するか：６つの分岐点

「じゃあ、どうしたらいいの？」と、対応についてはなかなか厳しいなと思われるかもしれませんが、セキュリティの専門家ではなくてもできることがあります。

１．単一障害点をつくらない

１つ目は、単一障害点をつくらないということです。ある橋は、梁（はり）の１つひとつが三角形になっています。仮に柱の１つにひびが入ったり折れたりしても、橋全体としてはひしゃげたり、折れないように非常に頑丈につくられています。皆さんのITはこうなっているでしょうか。

つまり、柱が１本折れたところでビジネスができなくならないように工夫しているでしょうかということです。例えば、VPNがないと病院のシステムのリモートメンテナンスができないという場合、VPNは１社でいいんでしょうか。VPNをA社とB社、２社入れてもいいかもしれません。

ほかにもOffice365の場合、これが止まってもビジネスが続行できるかを考えることです。またAWSのクラウドやCDNが止まった場合、動画配信サービスをやっている企業は配信ができなくなるというような事案もあるでしょう。

つまり、どれが大事な梁で、これをやられたら終わりという柱はどれかを把握し、経営層と現状認識を共有できているでしょうか。「うちはAmazon１本足打法」、「うちはGoogle１本足打法」など、さまざまな方法があると思いますが、それでいいのかも含めて、経営層やIT関連部門、リスク管理部門の方々と共有すると。最悪の事態を想定し共有しておくことが非常に重要なんです。

２．新技術を放置しない

２つ目は、新技術を放置しないことです。企業でDXを導入するということは、知らない間にIoTがどこかに入っていたり、どこかでRPAを使っていたりするように、すごいスピードで技術を使うということです。

例えばタイ工場でAIを使うという話になったら、必ず把握して「もしAIのモデルを取られたらどうしよう」などというふうに考えていくのです。あるいは、専門用語で「コンセプトドリフト」と言いますが、半年たったらAIが動かなくなる可能性もあります。そのためのコストを積むことができていますか、ということなんですね。

３．マルチプラットフォーム

３つ目は、マルチプラットフォームを駆使できる能力です。例えば東京の山手線が止まったときは京浜東北線や地下鉄に乗り換えるし、地下鉄も一線が止まったら別の線に振替輸送をしますよね。同じことがITでもできていますかということなんです。

「今日はMicrosoft365が使えない。だから仕事にならないよ」と言うのは、「銀座線が止まったから商売できない」と言っているのと同じです。もしAzureが止まったら、AWSやGCPを使うと。あるいはWindowsに問題があったら、Macを使う。オンプレに問題があったらクラウドを使う。逆にクラウドに問題があったらオンプレを使うと。こういう乗り換える能力が非常に重要になってきます。

そのためには、普段からいろんなものを使っておくことです。電車も、普段からいろんな路線に乗り換えて土地勘を養っておくと、振替輸送したときにまごまごしなくて済みますね。いろんなものをべったり使うともちろん効率は上がりますが、技術の幅を取っておくのはサイバーレジリエンスを考える上で非常に重要です。

４．爆速IT

４つ目は、問題が発生したときに同じものをすぐにつくれるか、ということです。例えば受発注システムが止まったとします。受発注システムは「これを何個買う、何個売る、誰が起案し決裁する」というものですから、つくるのはそんなに難しくありません。障害が起きたときに、これを１週間以内でつくれるかどうかということです。

ギリシャの神殿は非常に壮麗ですが、屋根が朽ちていたりかなり古いです。今、Javaでつくった企業内のシステムは、この神殿のようなシステムになっていることがあります。もう一方は屋台です。屋台でもやはり商売はできますよね。きれいなものにこだわって壮麗な神殿をつくり、一切触るなということがいいのか、すぐにつくれる屋台で最短時間でビジネスをやりながら拡大していくのか、どちらがいいのかを考えるという話です。

５．防御と復旧の演習

５つ目は、防災訓練です。われわれは防御と復旧の演習を毎年２回ほど、200人ぐらい動員してやっています。実際に事故が起きたと想定し、最短時間で復旧もしくは問題を修復します。さらには、お客様に現在の状況をお知らせしたり役員に説明したりする。こういったことを全部演習でやっています。それこそ消火器をはじめて使う状況で火を消せるでしょうかというのと同じですよね。

プレス対応、役員対応、政府機関との連携などいろんな対応がありますので、技術ではないところで練習する要素もたくさんあります。

６．透明性、可視性

最後は透明性、可視性です。ある企業がランサムウェアなどの被害にあったことを隠しておいて、いよいよ決算のときにようやく発表した事例があります。そうやって社内で起きたことを隠しておく会社というのは、社会的に信用を得られるでしょうか。取引先からすると、「ランサムウェアに感染して事業続行できなくなったのに、数か月も隠してたんだって？」となりますよね。

やはり市場の信頼を勝ち得るためには、株主や取引先、お客様に対する透明性、可視性というのは非常に重要なポイントです。

システムの活用

このセッションのスポンサーである日立ソリューションズ様は、これらの問題に対応するソリューションを扱っていますが、対策できることはどんどんやるのが大切です。

どういうクラウドを使っていて、どういう問題がありそうかというのをCSPM(Cloud Security Posture Management)で把握したり、自分たちのモバイルやパソコンでどんな不審な挙動が発生しているのかをいち早く知るためにEDR（Endpoint Detection and Response）やXDR（Extended Detection and Response）を導入したりするなど、さまざまな製品やサービスの活用ができます。

それらを有機的に組み合わせて復旧の迅速化を図るSOAR（Security Orchestration, Automation and Response）という製品群は世界的に見ても重宝されていますので、積極的に使いながらサイバーレジリエンスを確保するのも重要かと思います。

まとめ

DX時代は、簡単・便利・低コストというものが好まれます。「こうすればローコードで簡単です」「こうすれば低コストでできます」といった宣伝を皆さんも聞いたことがあると思います。でも、それはもしかすると手抜き工法かもしれないということなんです。

また、DXという言葉としては非常に新しい新技術のように見えますが、実態としては古い技術の積み重ねです。端的に言うと、錆びたボルトがどこに使われていてもおかしくないという状況なのです。

やはりポイントは計装です。工場ではパイプにメーターが付いていて、「このパイプは正常に空気が流れていますよ。隣のパイプも正常にガスが流れていますよ」と把握するために計装をしています。つまり、普段から見える化をやっているんですね。同じことを皆さんのITやDXでやっていますか？ということです。さまざまな製品やサービスがありますので、活用しながら自分たちのDXの実態を見える化し、対策効率化に取り組んでいただければと思います。