第10編. サイバーレジリエンス能力の育成
第26章. サイバーレジリエンスの必要性
26-1. サイバーレジリエンスの定義と情報セキュリティ戦略上の位置づけ
26-1-1. サイバーレジリエンスの基本定義と戦略的価値
サイバーレジリエンス(CR: Cyber Resilience)は、組織のミッションや目標達成を阻害するサイバー攻撃、システム障害、または自然災害といった多様な事態に直面しても、その影響を最小限に食い止め、迅速に回復し、事業を継続する能力を指す概念である。従来のサイバーセキュリティ対策が「侵入を水際で防ぐ」(防御)に重点を置いていたのに対し、サイバーレジリエンスは、防御が完全ではないという現実を前提とし、「侵害を許容しつつ、いかに迅速に立ち直り、事業を継続できるか」(回復と適応)に戦略の重点を置く。
今日の攻撃は巧妙化しており、あらゆる予防策を講じても、セキュリティ侵害を完全に防ぐことは不可能であるという認識が広まっている。この「防御の限界」という前提のもと、企業の存続能力、すなわち可用性と信頼性の確保は、事態発生後の生存能力を高める戦略的なアプローチが必須となる。サイバーレジリエンス能力の向上は、攻撃によって業務が停止した場合の大きな経済的損失を回避し、企業の経営リスク(6-3, p. 89)を許容可能なレベルに抑えるための必須戦略となる。特に中小企業においては、セキュリティ対策のリソースが限られていることが多く(0-1-1, p. 2)、一度の攻撃で事業継続が困難になることも考えられる(0-1-1)ため、サイバーレジリエンスの確保はビジネスの存続にとって極めて重要な要素である。
26-1-2. ISO/IEC 27001/27002におけるサイバーレジリエンスの基礎
サイバーレジリエンスの概念は、情報セキュリティマネジメントシステム(ISMS)の国際規格であるISO/IEC 27001の要求事項と密接に関連している。ISMSが目指す情報セキュリティの三要素である機密性、完全性、可用性のうち、サイバーレジリエンスは特に、情報を必要なときに使える状態を保つ 可用性(Availability) の維持に直接的に深く関連する。
ISMSは、情報セキュリティの継続的改善をPDCA(計画、実行、点検、改善)サイクルを通じて行うことを求めており、この「改善」(Actフェーズ)(13-2-8, p. 227)の要求が、サイバーレジリエンスの核となる組織の適応能力の基盤を提供する。インシデント発生後、ISMSの「パフォーマンス評価」(9. パフォーマンス評価, 13-2-7, p. 219)を通じて、活動が情報セキュリティ目標の達成に繋がっているかを確認し、課題を改善することに焦点を当てる(13-2-7)。これにより、過去のインシデント対応から得られた教訓を体系的に組み込み、組織全体のサイバーレジリエンス能力を持続的に強化することが可能となる。
また、ISO/IEC 27002に基づき策定される管理策の多くは、サイバーレジリエンス能力の中核をなす。ハンドブックにおいて組織的対策として示されている「情報セキュリティインシデント対応」(15-2-5, p. 268)や「事業継続計画策定」(BCP)(15-2-6, p. 271)といった項目は、可用性をサイバー脅威から守るための組織的な準備体制の具体的な実装例であり 1、サイバーレジリエンスの基礎を成す要素となる。
26-2. ISO/IEC 27002:2022に基づく情報セキュリティインシデント管理策
ハンドブックの「情報セキュリティインシデント対応」の記述は、組織的対策(15-2-5, p. 268)に該当する。これは、サイバーレジリエンスのRespond/Recover機能の基準として活用可能である。この管理策では、インシデント発生を検知した場合に備え、対応手順の整備を求めており、また、疑わしい事象の分析、証拠の収集・保全(5-2-3, p. 65)、および関係者への報告と対応を規定している(15-2-5)。インシデント対応完了後、教訓の収集と反映を通じて、再発防止策を検討し、組織全体の改善(RC.IM)に反映することが求められる(5-2-3, 5-2-4)。
インシデント対応の具体的な実行には、バックアップ(18-2-11, p. 312)や冗長化(18-2-12, p. 312)といった技術的対策が必須となる。これらの技術的要素は、Recover機能の基盤を形成する。インシデント対応体制の有効性は、対応・復旧の所要時間(RTO/RPO)や、インシデント対応訓練の実施頻度と結果によって測定されるべきであり、これはISMSのパフォーマンス評価(9. パフォーマンス評価, 13-2-7)の重要な指標となる。
26-3. サイバーレジリエンス戦略としてのNIST CSF 2.0フレームワーク
NIST サイバーセキュリティフレームワーク(CSF)2.0は、あらゆる組織がサイバーセキュリティリスクを管理するための指針であり、サイバーレジリエンス戦略に不可欠な体系を提供する(11-3, p. 140)。CSF 2.0は、Govern, Identify, Protect, Detect, Respond, Recoverの6つの機能で構成される 2。
サイバーレジリエンス能力の核となるのは、インシデント発生後の迅速な行動と回復を支援するRespond (RS) と Recover (RC) 機能である 4。RS機能は、インシデントの封じ込めと分析に焦点を当て、被害の拡大防止を担う 4。RC機能は、事業の復旧とサービス復元に焦点を当てる 4。
特にCSF 2.0で新設された ガバナンス(Govern, GV) 機能(11-3-1, p. 145)は、サイバーレジリエンスがIT部門の業務に留まらず、組織のミッションやリスク管理戦略に統合されるためのトップダウンの指示を確実にする。サイバーレジリエンス戦略がIT部門任せではなく、経営層の責任(6-3-2, p. 90)であることを明確に位置づけ、組織全体のリスク管理体制に組み込むことを求めている 5。
26-4. サイバーレジリエンス能力の育成に向けた体系項立て
サイバーレジリエンスは、防御から復旧、そして改善に至る包括的なライフサイクルとして捉えることが重要である。この体系的なアプローチを採用することで、組織はセキュリティ対策の抜け漏れを防ぎ(11-1-1, p. 134)、特にリソースに制約のある中小企業においても、効率的にサイバーレジリエンス能力を育成することが可能となる。このライフサイクルは、CSF 2.0の6機能をベースに、ハンドブックの既出の記述内容を統合することで体系的に整理される。
Table 1: サイバーレジリエンスを構成する主要フレームワークの機能比較と統合
| サイバーレジリエンスライフサイクル | NIST CSF 2.0 機能 | 主たる目的(サイバーレジリエンス視点) | ハンドブック関連章節項 |
|---|---|---|---|
| 準備・計画 | Govern (GV) / Identify (ID) | 経営戦略との整合性確保、リスクと資産の特定 | 6-3. 経営投資としてのセキュリティ対策 (p. 89), 12-2. リスクアセスメント (p. 166) |
| 防御 | Protect (PR) | 脅威に対する予防的コントロールの実装 | 18章. 技術的対策 (p. 300), 16章. 人的対策 (p. 279) |
| 検知 | Detect (DE) | 異常およびインシデントの早期発見 | 2-1. EDRの動作 (p. 11), 18-2-14. 監視 (p. 313) |
| 対応 | Respond (RS) | 被害の封じ込め、根絶、コミュニケーション | 15-2-5. 情報セキュリティインシデント対応 (p. 268), 5-2-3. 事案発生->課題の抽出... (p. 65) |
| 復旧 | Recover (RC) | 事業の迅速な回復、サービスの復元 | 15-2-6. 事業継続計画策定 (p. 271), 18-2-11. バックアップ (p. 312) |
| 改善・適応 | Govern (GV) / Recover (RC) | 教訓の反映、体制の強化、継続的改善 | 5-2-4. インシデントから得た気づきと取組 (p. 66), 13-2-8. ISMS:10.改善 (p. 227) |
第27章. サイバー攻撃を含む様々な事態に対する総合的な対応計画
27-1. サイバーレジリエンスのライフサイクルと対応計画の策定
総合的な対応計画の策定にあたっては、インシデント対応(IR)計画とITシステムに特化した継続計画(IT-CP)を、リソース効率化の観点から一体として扱うことが重要である。サイバーレジリエンスは、このIRPとBCPを連携させ、予防(Protect)から回復(Recover)までを包含するPDCAサイクルとして能力を高めていく。
計画策定の基軸となるのは、ISO/IEC 27002の管理策、特に組織的対策(15-2-5, 15-2-6)と、NIST CSF 2.0のRespond (RS) およびRecover (RC) 機能が提供する体系的な基準である。
27-2. NIST CSF 2.0 Respond (RS) 機能に基づく対応基準
Respond (RS) 機能は、検知されたサイバーセキュリティインシデントに対して行動を起こし、その影響を封じ込める能力を支援する 4。
27-2-1. インシデント管理体制の確立(RS.IM)
インシデント発生時の混乱を最小限に抑え、組織的な対応を可能にするために、初動対応のプロトコルと役割分担を明確に定義しなければならない。ハンドブックの「情報セキュリティインシデント対応」(15-2-5, p. 268)は、この体制を組織的に構築するための基準である 1。
検知後の対応フローは、ハンドブックの「事案発生->課題の抽出->再発防止策の実施までの流れ」(5-2-3, p. 65)に基づき具体化される。初動対応では、検知後、速やかに情報セキュリティ責任者へ報告し、被害の拡大を防ぐための措置(封じ込め)を迅速に行う必要がある(5-2-3)。
27-2-2. インシデントの分析と軽減策(RS.AN, RS.MI)
インシデント対応の初期段階で最も重要となるのは、原因究明と影響範囲の特定、そして攻撃者が残した痕跡(証拠)の保全である(5-2-3, p. 65)。この分析能力(RS.AN)を担保するためには、システムにおけるログ(記録)の存在が不可欠となる。技術的対策における「ロギング」(18-2-13, p. 313)は、分析能力を支える前提要件であり、事後分析(フォレンジック調査, 5-2-3)の成功に不可欠な証拠を保護するために、ログの長期保存と保護を確実に行う必要がある。
軽減策(Mitigation, RS.MI)の実行は、被害の拡大を防ぐために決定的な役割を果たす。ランサムウェア攻撃などに対する軽減策として示された、VPN接続への多要素認証(MFA)実装や、重要なサーバへの接続をジャンプサーバ経由に制限するといった技術的対策(5-3-3, p. 72)は、攻撃者の侵入経路や横展開を断ち切る上で、サイバーレジリエンス能力に直結する重要な基準となる 1。
27-3. NIST CSF 2.0 Recover (RC) 機能に基づく復旧基準
Recover (RC) 機能は、インシデントの影響を受けた資産と業務を復旧させ、通常運用に迅速に回復する能力を支援する 4。このRC機能の確立が、サイバーレジリエンス戦略の成功を決定づける。
27-3-1. 復旧計画の実行(RC.RP)と事業復旧目標(RTO/RPO)の設定
RC.RP(復旧計画の実行)の基準として、復旧の迅速性を測る指標であるRTO(目標復旧時間)とRPO(目標復旧時点)を事業継続計画(BCP)の一環として明確に設定しなければならない 6。これらの指標は、経営層がビジネス要件とリスク許容度に基づいて決定する戦略的判断(6-3-2)となる。
復旧計画の物理的・技術的な基盤は、確実なバックアップ(18-2-11, p. 312)と冗長化(18-2-12, p. 312)の確保である 1。特にバックアップは、ランサムウェア対策として不可欠であり、復旧の成否を決定づける。また、CSF 2.0では、システムを最初からインシデントに耐え、迅速に復旧できるよう設計する技術インフラのレジリエンスの重要性が強調されている 7。これは、企画・設計段階からセキュリティを考慮するSecurity by Design(18-3-1, p. 323)の考え方を復旧プロセスに統合することを意味する。
27-3-2. 復旧のためのコミュニケーション(RC.CO)
復旧プロセスにおいては、内部(従業員、経営層)と外部(顧客、規制当局、警察/IPA/NISC)のステークホルダーとの間で情報を調整し、透明性をもって伝達するための明確なプロトコルが必要である 6。RC.CO(復旧のためのコミュニケーション)は、インシデント発生時の公表手順を確立し、適切なタイミングと内容での情報開示を支援することで、企業の信頼(0-1-1)の維持に貢献する。インシデント発生時には、被害状況、初動対応、復旧の進捗状況を関係者全員に適切なタイミングと内容で通知することが求められる(5-2-3, p. 65)。
Table 2: NIST CSF 2.0 対応・復旧機能に基づく対応計画の基準
| CSF 2.0 機能 | カテゴリー (RC/RS) | 機能の目的(サイバーレジリエンス能力) | 対応基準(ハンドブック対応) | 参照基準 |
|---|---|---|---|---|
| Respond (RS) | インシデント管理 (RS.IM) | 封じ込め、インシデントの管理と追跡 | 初動対応の実施、ネットワーク遮断措置 | 15-2-5. 情報セキュリティインシデント対応 (p. 268), 5-2-3. 事案発生->課題の抽出... (p. 65) |
| インシデント分析 (RS.AN) | 原因究明と影響範囲の特定、証拠保全 | 証拠保全手順の確立、フォレンジック対応 | 5-2-3. 事案発生->課題の抽出... (p. 65) | |
| インシデント軽減 (RS.MI) | 被害拡大防止と根絶策の実行 | 特権ID管理、多要素認証、ジャンプサーバ利用 | 5-3-3. 具体的な対応策 (p. 72) | |
| Recover (RC) | 復旧計画の実行 (RC.RP) | 事業継続計画に基づくサービスの復元 | RTO/RPOの策定、定期的なバックアップと冗長化 | 15-2-6. 事業継続計画策定 (p. 271), 18-2-11. バックアップ (p. 312) |
| 復旧のためのコミュニケーション (RC.CO) | 復旧状況の調整と外部ステークホルダーへの説明責任 | 関係者への適切な通知と公表手順の確立 | 5-2-3. 事案発生->課題の抽出... (p. 65) | |
| 改善 (RC.IM) | 復旧計画とプロセスへの教訓の反映 | 事後評価に基づく再発防止策の実施、ポリシー改訂 | 5-2-4. インシデントから得た気づきと取組 (p. 66), 13-2-8. ISMS:10.改善 (p. 227) |
第28章. 情報システム継続計画(IT-CP)の一環としてのインシデントに対応する体制
28-1. 情報システム継続計画(IT-CP)の基本要素と体制
サイバーレジリエンスの確保は、ITシステムとデータに特化した継続計画(IT-CP)の能力と不可分である。BCPは、サイバー攻撃を含むあらゆる事態を想定し、事業の早期再開を目指す組織的対策であり、ハンドブックにおいても組織的対策として重要項目とされている(15-2-6, p. 271)1。
サイバーレジリエンス体制の構築は、経営層のリーダーシップ(5. リーダーシップ, 13-2-3, p. 190)のもとで推進されなければならない。インシデント発生時の対応を担うセキュリティ担当者や組織(CSIRTなど)の役割と責任を明確にし(5.3 組織の役割、責任及び権限, 13-2-3)、インシデント発生時には事前に策定した対応方針に従い、経営者が指揮を執ることが必要となる(5-2-3, p. 65)。特にリソースに制約がある中小企業においては、IT-CPとインシデント対応計画(IRP)を統合し、リソースを効率的に活用できる体制を構築することが推奨される。
28-2. インシデント対応体制の確立と初動対応の具体的手順
28-2-1. 初動対応のフェーズと実践(Respond機能の実装)
インシデント発生時の初動対応は、被害の拡大を防ぎ、迅速な復旧を可能にするために極めて重要である。ハンドブックの「事案発生->課題の抽出->再発防止策の実施までの流れ」(5-2-3, p. 65)に基づき、以下の初動対応が実行される。
- 検知と報告:
- EDR(2-1, p. 11)やログ監視(18-2-13,
p.
313)を通じてインシデントを検知した後、直ちに情報セキュリティ責任者に報告し、対応体制を立ち上げる(5-2-3)。
- EDR(2-1, p. 11)やログ監視(18-2-13,
p.
313)を通じてインシデントを検知した後、直ちに情報セキュリティ責任者に報告し、対応体制を立ち上げる(5-2-3)。
- 封じ込め(Containment):
- 被害の拡大を防ぐため、ネットワークの遮断やシステムの停止などの適切な措置を講じる(5-2-3)。この際、事後分析のための証拠保全が必須であり、システムの記録(ログ)を消去しないよう注意を払わなければならない(5-2-3)。
- 被害の拡大を防ぐため、ネットワークの遮断やシステムの停止などの適切な措置を講じる(5-2-3)。この際、事後分析のための証拠保全が必須であり、システムの記録(ログ)を消去しないよう注意を払わなければならない(5-2-3)。
- 根絶(Eradication):
- 攻撃の根本原因を特定し、悪意のあるプログラムや不正アクセス経路を完全に排除する。この作業が復旧後の再発を防ぐための鍵となる。
28-2-2. ランサムウェア被害からの回復を確実にする技術的対策の実装
ランサムウェア攻撃からの回復を確実にするため、ハンドブックの具体的な対応策(5-3-3, p. 72)をサイバーレジリエンス体制の必須要件として組み込むべきである。
- 多要素認証(MFA)の適用:
- VPN接続の認証に多要素認証を実装し、接続する個人の身元を証明することは、ID/パスワード漏洩による不正侵入経路を遮断する上で最も重要な技術的対策である(5-3-3)。
- VPN接続の認証に多要素認証を実装し、接続する個人の身元を証明することは、ID/パスワード漏洩による不正侵入経路を遮断する上で最も重要な技術的対策である(5-3-3)。
- アクセス制御の強化:
- 重要なサーバへのリモートデスクトップ接続は、ジャンプサーバからの接続のみに制限するなど、アクセス制御を強化する(5-3-3)。これにより、攻撃者が内部に侵入した後の横展開のリスクを軽減できる。
- 重要なサーバへのリモートデスクトップ接続は、ジャンプサーバからの接続のみに制限するなど、アクセス制御を強化する(5-3-3)。これにより、攻撃者が内部に侵入した後の横展開のリスクを軽減できる。
- バックアップと冗長化:
- 定期的なバックアップ(18-2-11, p. 312)は、攻撃を受けた後のデータ復元に不可欠であり、冗長化(18-2-12, p. 312)は、システムの可用性を確保し、RTOの達成を支援する。バックアップデータの完全性の確保がサイバーレジリエンスの成否を決定づける。
28-3. 復旧・回復プロセスと教訓の反映(継続的改善)
28-3-1. 復旧(Recover)後の再発防止策の実施
インシデントの修復が確認され、計画(BCP)に基づいてシステムとデータが正常な状態に戻された後(5-2-3, p. 65)、恒久的な再発防止策を立案・実施することがサイバーレジリエンス能力向上に不可欠である。この際、単なる場当たり的な修正ではなく、根本的な原因に基づいた対策を実施することが求められる。例えば、特権アカウントのパスワード定期変更や、脆弱性情報の定期確認(5-3-3)といった運用手順を組み込む。
28-3-2. 教訓の反映と継続的改善(RC.IM)
サイバーレジリエンス能力を動的に高めるためには、インシデント対応から得られた「気づきと取組」(5-2-4, p. 66)を体系化し、組織の適応能力に変換することが不可欠である。ISMSの「改善」(10.改善, 13-2-8, p. 227)プロセスを活用し、インシデント対応後の事後評価を必ず実施する。
NIST CSF 2.0のRC.IM(Improvements - 改善)カテゴリーは、復旧計画とプロセスが、過去のイベントから得られた教訓を組み込んでいることを確実にするよう明確に要求している 6。この体系的な改善サイクルを通じて、組織はセキュリティポリシーの改訂、システム設計の改善(Security by Design)、および訓練内容の見直しを行い、将来の脅威に対する組織全体のレジリエンスを動的に向上させる。
28-4. サイバーレジリエンス能力向上のための実践的な演習と訓練
文書化されたBCP/IRPの実効性を確保するためには、定期的な訓練と演習が必須である。訓練は、計画が緊急時に機能するかを検証し、全関係者の役割の明確化と習熟度向上に寄与する。
- 対象別訓練の推奨:
- 経営層向け:
- サイバーリスクを伴う経営判断や、対外的なコミュニケーション(公表,
5-2-3)をシミュレーションする訓練が必要である(24-1-1.
経営層向けカリキュラム例, p. 574)。
- サイバーリスクを伴う経営判断や、対外的なコミュニケーション(公表,
5-2-3)をシミュレーションする訓練が必要である(24-1-1.
経営層向けカリキュラム例, p. 574)。
- 実務担当者向け:
- 実践的サイバー防御演習(CYDER、RPCIなど)を活用し、インシデント封じ込めや復旧の具体的な技術手順を習得させる(22-3-4.
セキュリティ領域, p. 538)。
- 実践的サイバー防御演習(CYDER、RPCIなど)を活用し、インシデント封じ込めや復旧の具体的な技術手順を習得させる(22-3-4.
セキュリティ領域, p. 538)。
- 経営層向け:
- 人材育成の統合:
- セキュリティ専門人材以外の全従業員がインシデント発生時の初期対応(報告、連絡、封じ込め支援)を適切に行えるよう、「プラス・セキュリティ」知識補充講座(24-1, p. 572)などを活用した継続的なスキル育成が必要である。この非専門人材の育成は、リソースが限定的な中小企業にとって、外部の専門家との連携を円滑にする「橋渡し役」の確保につながる。
Table 3: IT-CPにおけるインシデント対応(IR)体制の実践ステップと教訓の反映
| IR/BCP ステップ | 実践内容の概要(サイバーレジリエンス視点) | ハンドブック内参照基準 | サイバーレジリエンス能力への貢献 |
|---|---|---|---|
| 準備・計画 (Plan) | BCP/IR計画策定、RTO/RPO設定、体制構築、演習実施 | 15-2-6. 事業継続計画策定 (p. 271), 24-1. 知識補充講座カリキュラム例 (p. 572) | 事態発生時の対応能力と迅速性の確保 |
| 検知・分析 (Detect/Analyze) | 脅威の早期検知と影響範囲の特定、ログ保全 | 5-2-3. 事案発生->課題の抽出... (p. 65), 18-2-13. ロギング (p. 313) | 被害拡大の防止(封じ込め) |
| 復旧・回復 (Recover) | システムの復元、サービス再開、恒久対策の実施 | 5-3-3. 具体的な対応策 (p. 72), 18-2-11. バックアップ (p. 312) | タイムリーな事業の再開 |
| 改善・教訓 (Improve) | 事後評価に基づく再発防止策の実施、ポリシー改訂、訓練見直し | 5-2-4. インシデントから得た気づきと取組 (p. 66), 13-2-8. ISMS:10.改善 (p. 227) | 組織全体のレジリエンス向上と適応性の獲得 |
引用文献
- 中小企業向けサイバーセキュリティの実践ハンドブック, https://www.cybersecurity.metro.tokyo.lg.jp/security/docs/Tokyo_CyberSecurity_HandBook_2024_Text.pdf
- NIST Cybersecurity Framework 2.0: Resource & Overview Guide,
10月 10, 2025にアクセス、 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1299.pdf
- Breaking Down NIST CSF 2.0: Categories and Sub-Categories (with
Real-World Examples) | by Brittney Ginther | Medium, 10月 10,
2025にアクセス、 https://medium.com/@brittneyaginther/breaking-down-nist-csf-2-0-categories-and-sub-categories-with-real-world-examples-9bc611c87eab
- The NIST Cybersecurity Framework (CSF) 2.0, 10月 10,
2025にアクセス、 https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf
- サイバーレジリエンスとは?事業継続性向上やBCPに必須な対策 -
NTTドコモビジネス, 10月 10, 2025にアクセス、 https://www.ntt.com/business/lp/cyber-resilience.html
- Breaking Down the NIST Cybersecurity Framework: Recover -
CyberSaint, 10月 10, 2025にアクセス、 https://www.cybersaint.io/blog/nist-function-recover
- NIST Cybersecurity Framework 2.0: Key changes to CSF - Acronis, 10月 10, 2025にアクセス、 https://www.acronis.com/en/blog/posts/nist-cybersecurity-framework-20-key-changes-to-csf/
