風邪をひかないよう「手洗い」、「うがい」、ひいてしまったら。。。
〜システムが風邪をひく/ウイルスの感染に備えサイバーレジリエンス（復旧）を考えましょう〜

日立情報通信エンジニアリングの堀です。ネットワーキング事業部にて新商材、新ソリューションの調査、検討、開発に従事しています。
本日は昨今メディアでの露出頻度が高い“サイバーレジリエンス”に関するコラムをお届けいたします。

セキュリティ関係の技術動向などにおいては頻繁に新しい言葉が創られ提唱されます。
本日のコラムでも少なくないセキュリティ用語がでてきます。まずは簡単にご紹介した後で“サイバーレジリエンス”の課題と提案について述べていきます。

“レジリエンス（Resilience）”とは「回復力」「復元力」「耐久力」「再起力」「弾力」などと訳される言葉で、心理学において「困難をしなやかに乗り越え回復する力（精神的回復力）」とも言われるようです。米国立標準技術研究所（NIST：National Institute of Standards and Technology、以下NIST）では「サイバーリソースを含むシステムに対する悪条件・ストレス・攻撃、または侵害を予測し、それに耐え、そこから回復・適応する能力」であるとされています。

企業のビジネスを支えるサイバーリソース（各種システム、サービス）における “困難”とは昨今では代表的なものとしてサイバー攻撃があります。
言い換えると“サイバーレジリエンス”とは“サイバー攻撃”を乗り越え“回復する力”、とも言えます。

つまり“サイバーレジリエンス”とは「攻撃、侵害される」ことを前提にした対策ということになるのではないでしょうか？
（最近のウイルス・ランサムウェアなどは巧妙で、亜種・新種がすぐ作られ、防御・対策が追いつかない、ということもよく聞きます）

デジタル庁が公開しています「デジタル社会推進実践ガイド DS-20」“政府情報システムにおけるサイバーセキュリティフレームワーク導入に関する技術レポート2023（令和5年）3月31日版”には、 5つの機能を全23のカテゴリに分け定義し、5つの機能には「識別（ID）」「防御（PR）」「検知（DE）」「対応（RS）」「復旧（RC）」があります。

上記表内の各機能における代表例については、
「識別（ID）」「防御（PR）」の代表例：SD-WAN、多要素認証、ゼロトラストアクセス
「検知（DE）」「対応（RS）」の代表例：Extended Detection and Response（以下XDR）
「復旧（RC）」の代表例：データ保護
この「復旧（RC）」がサイバーレジリエンスに一番強く関係する機能になります。

ITシステムではヒューマンエラー、ハードウェア障害などに備えてデータのバックアップを取得します。サイバーレジリエンスも同様に復旧のためには過去の安全なデータを使います。所謂 “バックアップデータ”を “リストア”する、ということになります。

しかし、 “リストア（Restore）”だけではシステムは「復旧」しません。仮想環境での仮想サーバーの起動、データベースにおけるロールフォワードなど、システムを障害発生時点に戻しサービスを再開するには「復旧」に向けたオペレーションが必要になります。

何故、課題かというとそもそも、どの時点のシステム状態に復旧するのか、どの時点のデータを使うのか、そのデータは安全なのか、データを何処に戻すのかなど復旧におけるオペレーションで確認する事が多く且つ関係者（システム管理者、仮想環境管理者、データべース管理者などなど）も多くなりオペレーションの複雑さ、調整などをより難しくします。

また、復旧に際しては被害の影響範囲の特定なども考慮する必要があります。そのためには事前に上記にある復旧に必要な各種情報を準備し、関係者からなるフォーメーションを敷く必要があります。

では、“サイバーレジリエンス”への備えに必要なモノとは何でしょうか？それはやはり “セキュリティインシデントに関する情報”だと思います。「検知（DE）」「対応（RS）」の代表例でご紹介したXDRはまさに「複数のソースからの脅威インテリジェンスとテレメトリデータをセキュリティ分析と統合し、セキュリティアラートのコンテキスト化と相関関係を提供」します。このXDRが“サイバーレジリエンス”実現に必須とも言える機能だと考えます。

この度当社では「復旧」を支援するソリューションとしてRubrik社の製品を採用し、「複数のソース」の1つとしてデータ保護の情報をXDRに提供することにより「セキュリティアラートのコンテキスト化と相関関係を提供」に寄与するソリューション（Microsoft 365利用者向けデータ保護のソリューション）を提供します。

これまで述べてきたように “サイバーレジリエンス”は1つの製品、1つのサービスで実現できることではなく「総合力」が必要とされるソリューションと言える、と考えます。
つまり、サイバーセキュリティフレームワークで定義された5つの機能である「識別（ID）」「防御（PR）」「検知（DE）」「対応（RS）」「復旧（RC）」が “点”としてのソリューションではなくAPIなどを使い“線”として “Security Whole Solution”として実現されるものであると考えます。

最後に冒頭ご紹介したようにセキュリティ分野は日々新しいコンセプト、アプローチ、用語が創出されています。
それだけサイバー攻撃が高度、巧妙になり対策が追い付いていない、という状況とも言えます。 私たちが風邪をひかないように手洗い、うがいをするようにシステムも「防御」が必要ですが、いざ風邪をひいたらすぐに復旧・回復できるようにシステムにも備えが必要だと考えます。