IBM Services

サイバー・レジリエンスを備えた組織 (パート 2): サイバー・レジリエンスとサイバーセキュリティーの違い

記事をシェアする:

本記事は、The cyber resilient organization, part 2: cyber resilience vs. cybersecurity (英語)の抄訳です。

「サイバー・レジリエンスと、サイバーセキュリティーはどう違うんですか?」と、よく尋ねられます。どちらも、目的は破壊的なサイバー攻撃に遭遇したときに業務の運営を維持することですが、それ以外ではレジリエンスとセキュリティーは基本的に異なっています。

保護と防御

サイバーセキュリティーとは、攻撃者の侵入を防御し、データが盗まれないように保護することを意味します。サイバーセキュリティーの原則で主に重点が置かれるのは、以下のことです。

  • IT インフラストラクチャー内で徹底的な多層防御を確立する
  • IT システムへのアクセスを関係者のみに制限する
  • 脅威の対象になる領域を特定し、分離する
  • システム、ネットワーク、およびデータを継続的に保護するためのプロセスと手段を確立する

対応とリカバリー

一方、サイバー・レジリエンスは、破壊的な攻撃に遭遇したときに業務を再び軌道に乗せ、将来の破壊に耐える能力を向上させるために役立つものです。サイバー・レジリエンスの原則は、全社的なリスク要因を検討して、以下を実現することです。

  • 設計と実装を簡素化する
  • 重要な資産、攻撃対象になる領域、および技術面、技術以外の面で拡大するリスクを継続的に検討する
  • プロセスと機能に対する重大な影響を特定し、各ステップで冗長化と防御の手段を実装する
  • 技術面と人的な面の両方で、エンドツーエンドの事業継続性に焦点を当てる
  • 全社的なレベルのリスク管理と IT ガバナンスを実現する

通常どおりのビジネス

サイバー・レジリエンスとサイバーセキュリティーは関連していますが、サイバー・レジリエンスの最終的な目標は、高度で持続的な脅威(APT攻撃)がより複雑化し発展を続けている環境で、業務の運営を維持することです。

この差異を理解するには、考え方を基礎から変える必要があります。つまり、どちらか一方を選ぶのではなく、サイバー・レジリエンスとサイバーセキュリティーの両方を実現する必要があるのです。リスクに基づいた効果的なアプローチを導入するためには、ファイアウォール、IP/IDS、セキュリティー運用センター(SOC)、またはアンチウィルス制御を越えた観点から、より深く全社的な問題を検討する必要があります。例えば、以下のような問いかけです。

  • あらゆるレベルでサイバー・レジリエンスの要件に対処することについて、組織の経営陣が承認していて、長期的な予算が明確に定められていますか?
  • ITセキュリティーと災害復旧の担当者と連携を取って、全社的なリスク管理プログラムが実施されていますか? そのプログラムの実施と管理に適した正しいリソースが定義されていますか?
  • すべてのクリティカル・リソースと、そのリソースに生じる可能性があるダウン時間がビジネスに及ぼす影響は特定されていますか? 定期的なリスク・レビュー、障害シナリオとコンティンジェンシー・プランのテストは実施されていますか?
  • 災害復旧計画とバックアップ計画は障害の危険がないものですか? これらの計画は、目標復旧時間、目標復旧時点、サービス・レベルの合意、その他の規制要件を遵守していますか?

サイバー・レジリエンスは、常時接続の時代に向けた考え方です。 組織があらゆる可能性を検討し、不測の事態に備えてテストを行っておくことは、顧客、パートナー、および組織自体のビジネスに大きく貢献します。効果的なサイバー・レジリエンスを実践することで、新しいイノベーションが促進され、従業員が自信を持って業務をこなせるようになり、組織の地位が顧客と競合他社の両方に対してさらに高まります。

「サイバー・レジリエンスを備えた組織」シリーズの続き、パート1パート3もお読みください。

事業継続性管理 (BCM) を行うことで、データ侵害の影響を軽減するためにどのような効果があるか、詳しくは米調査会社ポネモン・インスティテュートの年次ベンチマーク報告書を参照してください。

 

More IBM Services stories

IBM Services for Managed SAP Applications on Any Cloud提供開始

IBM Services, クラウドサービス, テクノロジー・サービス

日本アイ・ビー・エム株式会社 グローバル・テクノロジー・サービス事業本部 クラウド・サービス事業部 マネージドクラウドプラットフォームサービス 部長 栗原 貞夫 IBM Services for Managed Appl ...続きを読む


IBMがRPAプロバイダーを買収した理由と、Cクラスの経営層がオートメーション・イニシアチブにより得られる価値

IBM Services

IDCの予測によると、2024年までに、AIを利用する企業はAIを利用していない企業と比べて、顧客、競合他社、規制当局、パートナーへの対応速度が50%上昇するとのことです。[1] こちらのプレスリリース(英語)をお読みに ...続きを読む