サイバー・レジリエンスとは、事業の継続性、情報システムのセキュリティー、および組織の回復力を1つにまとめた概念です。 つまり、この概念は、サイバー攻撃、自然災害、経済不況といった困難なサイバー事象が発生しても、目的の成果の実現を継続する能力を表すものです。 言い換えると、ダウンタイムをほとんどあるいはまったく生じさせることなく、組織が事業運営を継続できる能力は、情報セキュリティーの成熟度と回復力の評価レベルによって左右されます。

事業継続性にとってサイバー・レジリエンス戦略は必要不可欠です。 これによってもたらされるメリットは、企業のセキュリティー体制の強化、重要インフラストラクチャーの被害リスクの軽減だけにとどまりません。 サイバー・レジリエンスは、経済的な損失と評判の低下を軽減する役にも立ちます。 また、サイバー・レジリエンスに関する認定を受けた組織は、クライアントおよび顧客に信頼を植え付けることができます。 さらに、サイバー・レジリエントな企業は、効果的かつ効率的な事業運営を通して、顧客のために生み出す価値を最適化し、競争上の優位性を高めることができます。

経済的損失の軽減

経済的損失は、株主、投資家、従業員、顧客などの企業利害関係者からの信頼の喪失につながる可能性があります。 IBM Security™の2020年の「サイバー・レジリエント組織レポート」 によると、組織の50%以上が、情報技術（IT）とビジネス・プロセスに重大な影響が生じたサイバーセキュリティ・インシデントを経験しています。 さらに、Ponemon社の2021年のデータ漏えいコストに関する調査によると、データ漏えいの平均コストは424万米ドルです。

顧客の信頼とビジネスの獲得

顧客を呼び込んでビジネスを獲得するために、一部の組織は、国際的な管理標準（国際標準化機構が規定したISO/IEC 27001など）に準拠しています。 ISO/IEC 27001は、情報セキュリティー管理システム（ISMS）が資産のセキュリティーを管理するための条件を規定したものです。例えば、従業員の詳細情報や、財務情報、知的財産、サード・パーティー委託情報などの資産があります。 米国では、クレジットカードなどを使用した決済の処理の前提条件であるPayment Card Industry Data Security Standard（PCI-DSS）の認定を求めている企業もあります。

競争上の優位性の向上

サイバー・レジリエンスを持つ企業は、持たない企業よりも競争上の優位性が高くなります。 情報技術インフラストラクチャー・ライブラリー（ITIL）などのベスト・プラクティスに基づいて管理システムを開発した企業は、効果的な事業運営が可能になります。 サイバー・レジリエンスの獲得のために管理システムを開発する場合も、これが当てはまります。 結果的に、そのようなシステムは顧客に価値をもたらすことになります。

効果的なサイバー・レジリエンスとは、リスクに基づいた企業規模の戦略であり、経営幹部から組織の全社員、パートナー、サプライチェーンの参加者、顧客までに及ぶ連携的なアプローチであるはずです。 重要な情報および付随資産へのリスク、脅威、脆弱性、および影響をプロアクティブに管理できなければなりません。

また、効果的なサイバー・レジリエンスには、ガバナンス、リスク管理、データ所有権の理解、およびインシデント管理も必要になります。 こうした特性を評価するためには、経験と判断も求められます。

さらに、獲得可能な機会や競争優位性と釣り合うように、サイバー・リスクのバランスを取ることも必要になります。 費用対効果が高い防止方法を取れるかどうかや、代わりに、迅速な検出と対処によってサイバー・レジリエンスへの影響を十分に短い期間に抑えることができるかどうかを検討する必要があります。 そのためには、企業は、防止、検出、および対処という3種類の制御が釣り合う最適なバランスを見つける必要があります。 これらの制御によって、組織のサイバー・レジリエンスを脅かすインシデントを防止し、検出して対処します。