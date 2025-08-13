IBMニュースレター
サイバー・レジリエンスは、サイバーセキュリティー・インシデントを防止し、これに抵抗し、回復する組織の能力です。
サイバー・レジリエンスは、事業継続性、情報システム・セキュリティー、組織のレジリエンスを統合するコンセプトです。すなわち、サイバー攻撃、自然災害、経済低迷などの困難なサイバー・イベントを経験する状況にもかかわらず、意図した結果を提供し続ける能力を表します。言い換えれば、情報セキュリティーの熟練度およびレジリエンスの測定レベルは、組織がダウンタイムをほとんどまたはまったく発生させずにいかにうまく事業運営を継続できるかに影響します。
現代のサイバー脅威は新たな課題をもたらし、従来のセキュリティ対策だけでは不十分な環境を生み出しています。組織は、高度なテクノロジーやテクニックを活用して混乱を引き起こす巧妙な攻撃者に直面しています。脅威アクターとハッカーは、従来の自動化された攻撃方法に頼るのではなく、人間の脆弱性やシステムの弱点をエクスプロイトする傾向が強まっています。
IBMの2025 Cost of a Data Breach ReportおよびPonemon Instituteによると、世界全体の漏洩コストは平均444万ドルに減少しましたが、米国の組織は1件あたり 1,022 万ドルという過去最高のコストに直面しました。こうしたコストがかかる状況ではあるものの、侵害を受けた組織の49%はセキュリティー投資の増額を計画しています。
効果的なサイバー・レジリエンスは、組織的な取り組みによって支えられる企業全体かつリスク・ベースのストラテジーである必要があります。パートナー、サプライチェーンの参加者、顧客まで、組織のエコシステムに含まれる全員に対して、経営陣から推進される協働的なアプローチが不可欠です。リスク、脅威、脆弱性、重要な情報や支持する資産への影響を事前対応的に管理すると同時に、全体的な準備性を強化する必要があります。
効果的なサイバー・レジリエンスには、ガバナンス、リスク管理、データ所有権の理解、インシデント管理も含まれます。これらの特徴を評価するには、経験と判断力も必要です。
さらに、組織はサイバーリスクと、達成可能な機会および競争上の優位性とのバランスをとる必要もあります。組織は、費用対効果の高い予防が実行可能かどうか、また、サイバー・レジリエンスに対して強力かつ短期的な効果を発揮する迅速な検知と修正を実現できるかどうかを検討する必要があります。
これを実現するために、企業は防止、検出、是正という3種類の管理の間で適切なバランスを見つける必要があります。これらの管理は、組織のサイバー・レジリエンスを脅かすインシデントを防止、検知、修正します。
サイバー・レジリエンス戦略は、組織が次のようなメリットを達成するために役立ちます。
攻撃が成功することによる財務上の損失は、株主、投資家、従業員、顧客など、会社の利害関係者からの信頼の喪失につながる可能性があります。
経済的リスクは相当なものです。IBM 2025 Cost of a Data Breachレポートによると、人工知能（AI）をセキュリティ業務で広範に活用している組織は、データ侵害コストを平均190万ドル節約したことが明らかになりました。また、これらの企業は、そのようなソリューションを導入していない企業と比較して、侵害ライフサイクルを80日短縮しました。しかし、適切なアクセス管理なしにAI関連のインシデントを体験した組織は、より高いコストに直面し、管理されたサイバー・レジリエンスのストラテジーが必要であることを浮き彫りにしました。
サイバー・インシデントは、組織の評判や顧客の信頼に深刻な影響を与える可能性があります。堅牢なサイバー・レジリエンス・フレームワークは、組織がインシデントに迅速かつ透明性を持って対応し、長期的な評判への被害を最小限に抑え、利害関係者の信頼を維持する上で役立ちます。
顧客を惹きつけ、ビジネスを獲得するために、国際標準化機構が提供するISO/IEC 27001のような国際的な管理基準に準拠している組織もあります。ISO/IEC 27001は、情報セキュリティー・マネジメント・システム（ISMS）が、従業員情報、財務情報、知的財産、あるいは第三者から委託された情報などの資産のセキュリティーを管理するための条件を規定しています。
米国では、会社はクレジットカードなどの決済処理の前提条件である決済カード業界のデータセキュリティー基準（PCI-DSS）の認定を求める場合もあります。
サイバー・レジリエンスは、それを備えていない会社と比較して組織に競争上の優位性を提供します。企業は、構造化されたアプローチ（脅威インテリジェンスプログラムなど）と標準化されたベスト・プラクティスを作成することで、効果的なオペレーションを構築できます。
同様に、組織はサイバー・レジリエンスのための管理システムを開発することで、業務効率を高めます。そのため、これらのシステムは顧客に大きな価値をもたらし、持続可能な事業上の優位性を生み出します。
サイバー・レジリエンス計画を備えた組織は、セキュリティー・インシデントが発生しているときでも重要なオペレーションを維持でき、ダウンタイムを最小限に抑え、顧客や利害関係者への継続的なサービス提供を担保できます。
組織は、Information Technology Infrastructure Library（ITIL）やNISTサイバーセキュリティー・フレームワーク（NIST CSF）などの実証済みの標準化されたプラクティスを採用することで、サイバー・レジリエンスを構築します。
ITILライフサイクルにおける段階を組み込むことで、組織はプロアクティブなサイバー・リスク管理を可能にし、継続的な事業運営をサポートする強力なサイバー・レジリエンス戦略を構築できます。この方法により、すべての利害関係者を関与させることで、組織全体のコラボレーションも促進されます。
ITILライフサイクルにおける5つの段階は次のとおりです。
NISTは、民間部門の組織が情報セキュリティーとサイバーセキュリティーのリスク管理を向上させるために従うことができる包括的なガイダンスとベスト・プラクティスを提供します。
このフレームワークは、次の6つの中核的機能で構成されています。
以下のツールにより、組織はサイバー攻撃に耐えて回復し、混乱を最小限に抑え、ビジネス・オペレーションを維持できます。
人工知能と生成AIは、サイバー・レジリエンスにとって機会とリスクの両方をもたらします。AIを搭載したセキュリティー・ツールは脅威の検知と対応機能を強化できますが、管理されていないAIシステムは、攻撃者がエクスプロイトできる新たな脆弱性を生み出してしまいます。生成AIツールは、データ・ガバナンスと潜在的な誤用の可能性に関する特有の課題ももたらします。
2025 Cost of a Data Breach Reportの調査結果によると、AI関連のセキュリティ・インシデントを経験した組織の97%に適切なAIアクセス制御が欠けていたことがわかりました。さらに、63％の組織は、AIのデプロイメントを管理したり、不正なAIの使用を防止したりするためのAIガバナンス・ポリシーを策定していません。
セキュリティ・オペレーションに戦略的にAIを実装している組織は、そのようなソリューションを導入していない組織と比較して、大幅なコスト削減とデータ侵害の迅速な封じ込めを実現しています。ただし、成功するにはイノベーションだけでなくセキュリティー・ガバナンスも優先するバランスの取れた導入が必要です。
主な考慮事項には、人間以外の識別情報に対する強力な管理の実施、パスキーなどのフィッシング耐性を持つ認証方法の採用、サイバーセキュリティー・ガバナンスを最初からAIのデプロイメント・ストラテジーに組み込むことが含まれます。このアプローチにより、AIはセキュリティー上の新たな負債を生み出すのではなく、サイバー・レジリエンスを強化するメカニズムとして機能することが保証されます。
新しいテクノロジーがセキュリティーの機会と脅威の両方を生み出すにつれて、サイバー・レジリエンス戦略は進化し続けています。拡張検知および対応（XDR）プラットフォームは、複数のセキュリティ・レイヤーにわたる統合された脅威検知を提供できるように成熟しつつあり、一方でAI搭載の脅威検知システムは、従来のツールでは見逃される高度な攻撃パターンを識別できるように進化しています。AIは人間の専門知識を置き換えるのではなく、それを増幅します。
IBM Institute for Business Value（IBV）の調査「サイバーセキュリティー2028」では、調査対象となった経営幹部の65%が、AIとオートメーションによってITチームとセキュリティ・チームの生産性の高い環境が作り出されていると報告しています。また、62％が統合されたAI機能による大きなメリットをすでに感じていると回答しています。
量子コンピューティングは、現在の暗号化手法を不十分にすることで、サイバーセキュリティーを根本的に変えるでしょう。しかし、これにより、セキュリティ強化のための耐量子暗号と量子鍵の配布も可能になります。
サイバー・レジリエンスを維持するには、中心となるセキュリティーの原則を維持しながら、新たなテクノロジーの統合を最適化するための継続的な適応、戦略的投資、取り組みが必要です。
