企業はいかにレジリエンスを確保すべきか ― 世界のITリーダーからの20の提言

昨今、日本を標的としたサイバー攻撃が増えています。その理由としては、AIの急速な発達で言語の壁が取り払われ、日本語でのフィッシングが容易になったから、という分析もありますが、そもそも日本のサイバー防御が遅れているという声も強いです。良くも悪くもIT環境が世界から隔離されている傾向があったので、比較的安全だったぶん、安全対策が遅れているのは自然なことかもしれません。IT環境に限らず、ガラパゴス化がリスクを抑えていたけど、グローバル化で安全神話が崩れる、というような話はさまざまな分野で指摘されることがあります。

これに対応すべく、国会では「能動的サイバー防御」関連法が成立するなど、政府主導の取り組みも徐々に始まりつつあります。サイバー防御とは、攻撃を食い止めることであり、「能動的」という言葉が示すとおり、未然に防ぐための枠組みの構築が模索されています。

しかし、サイバー攻撃の動向に関しては、It’s not if but when a cyber security attack will happen（起きるか起きないかではなく、いつ起きるのかが問題）という決まり文句があるくらい、完全防御は難しいとされています。日本では、これとまったく同じことが、よく地震に対して指摘されます。いつか必ず起きるので（起きることを未然に防ぐことは不可能なので）起きたときにどうするかを決めておいて、普段から備えなければならない、という姿勢です。その対策は、地震の場合、国土強靭化しかありません。つまり、たとえ災害が起きても、すぐに復興できるような復元力を蓄えることが重要という考え方です。

サイバー攻撃は、地震と異なり、未然に防げる可能性がゼロではありませんが（そのための能動的サイバー防御ですが）、現実は地震同様、被害は早晩免れ得ないので、そのときに困難を跳ね返せる復元力をつけなければなりません。それを英語ではresilience（レジリエンス）と呼んでいます。

企業はもっとレジリエンスをつけなければならないと、特にここ数年よく言われるようになりました。でも、具体的に何をすればよいのでしょうか？

日本はようやく防御の取り組みが始まったばかりですが、海外では防御に加え、レジリエンス強化の取り組みが進んでいます。ここでは、海外のIT専門家がレジリエンスの課題について言及したコメントをまとめ、企業にとってレジリエンスとは何なのか、強化には何が必要なのかを紐解いてみたいと思います。引用するのは、Google、Amazon、Veeamを含むForbesテクノロジーカウンシルメンバー20社のITリーダーの発言集です。

1. レジリエンスはシステムの問題にとどまらない包括的な問題

企業の経営幹部は往々にして、レジリエンスを単にITアーキテクチャの課題だと考えがちだが、実際には、レジリエンスはビジネスを一年365日、運営し続けるために必要な包括的課題であり、人、プロセス、テクノロジーのすべてがレジリエントにならなければならない。

― Estee Lauder社、キングサク・チャクラバーティ氏

2. シンプルンなフレームワークで迅速な対応を可能に

レジリエンスを維持するために重要なのは、ビジネスとテクノロジーの双方のリーダーによる適切なプランニング。系統だったアプローチで不測の事態に備え、シンプルなフレームワークで状況の把握と意思決定を迅速に行えること、組織の核となる構造に重点を置いたイニシアチブを実行できる体制が求められる。

― ACME General社、パトリック・エスポジト氏

3. クラウドシステムは自動化と定期テストでレジリエントに

予期せぬ障害で事業を中断せざるを得なくなる事態、特にクラウドシステムのダウンタイムをいかに乗り切るかが、レジリエンスを維持するうえでの最大の課題である。これは、システムの自動化、バックアップ、定期的なテストで対処すべき。スマートモニタリングによる問題の早期検出や、ワンクリックで実施可能なフェイルオーバーを導入して、非常時に備える必要がある。

― Walmart Global Tech、バルヴィンダ・シン・バンジャダル氏

4. プロアクティブへの投資を

プロアクティブになれずに、リアクティブ（問題が起きてから反応）になってしまうことが、レジリエンスの最大の敵。適応能力のあるシステムを構築せずに、障害の発生をただ待っているだけの企業が多すぎる。冗長性と自動化に投資して、障害発生時の対応手順を普段から明確に定義しておく必要がある。

― Parallel Plus社、ヘイダー・アリ氏

5. レジリエンスは人が命ー社員のサステナビリティ向上を

レジリエンスの維持は社員の力に依るところが大きい。過労気味だったり、燃え尽きていたりしたら、ミスも起きやすいし、障害発生時の対応も鈍る。責任の分担や休息の奨励、適切なトレーニングで「社員のサステナビリティ」を高めるべき。

― Boston New Technology、シュウェタ・アグラワル氏

6. データのバックアップとリカバリが基本中の基本

レジリエンスを支える柱の一つは、データのバックアップとリカバリの適切なソリューションを確保すること。障害の発生時には、データを安全な場所にレプリケートして保護し、迅速なリカバリを可能にしなければならない。データ損失にいつでも対応でき、復旧できる体制がビジネスには不可欠。

― Object First、デビッド・ベネット氏

7. システムの相互依存関係を識別可能に

さまざまなシステムが連携しあう環境で、相互依存関係が複雑すぎてレジリエンスを阻害しているケースが多い。ITシステム、人、ワークフローを含め、環境を構成するすべての要素を識別して、ビジネスのすべての領域で定期的なテストを実施し、プロアクティブなリスク管理を実践すべき。

― Google、アシッシュ・バードワジ氏

8. 問題をはらんだままのスケーリングは禁物

ビジネスの急成長にインフラが伴わずにレジリエンスを維持できなくなっている企業が多い。リスクの自動検知、定期的なストレステストを実施し、レジリエンスの責任を特定の部門や個人に押し付けずに社内全体で取り組むべき。潜在的な問題を見過ごしたままの早急なスケーリングは、レジリエンスを損なわせる最大要因の一つ。

― WebFoundr、ヘイダー・アリ氏

9. リスクモデルのアップデートを忘れるな

サイバー脅威の進化が従来のサイバー防御を凌駕していることが、レジリエンスに立ちはだかる最大の壁。多くの企業では、想定リスクモデルがアップデートされておらず、セキュリティにギャップが生じている。継続的な脅威インテリジェンス、AIを活用した異常検知、適応型セキュリティフレームワークで問題を未然に発見し、解消するのが重要。

― DuckDuckGoose、パーリャ・ロトフィ氏

10. 現状把握が適切なレジリエンス確保への第一歩

企業のレジリエンスには、現在の事業やスタッフのレベルに合わせたバランスも重要である。自社の置かれた状況やリソースを把握していない企業が多く、それが大きなリスクとなっている。ITリーダーには、自社環境を正確に把握して、少しでもリスクを減らしていく地道な作業が求められる。

― Veeam、リック・ヴァノーヴァー氏

11. システム環境を完全に可視化する

レジリエンスには、環境の可視性を高めることが何よりも重要。見えないものは保護できない。可視性には、環境内の相互依存性を理解することも含まれる。これを怠ると、小さな変更が環境全体に大きな波紋を広げるバタフライエフェクトが避けられない。

― Fabrix.ai、シェイレシュ・マンジレカー氏

12. AIのシナリオベースモデリングで即応力をつける

レジリエンスの最大の課題は、冗長性の確保ではなく、障害を発生前に予測し、適応策を構築しておくこと。そのためには、AIを活用してシナリオベースのモデリングにより、盤石のコンティンジェンシープランを確立する必要がある。処方的な予測モデルでレスポンスフレームワークを構築し、プロアクティブなリスクマネジメントで即応力をつけることが大事。

― Enterra Solutions、スティーブン・ドアンジェリス氏

13. リアルタイムの発見、封じ込め、分析、解消プロセスを実装する

レジリエンス維持の最大の課題は、知らないことを知ること。机上演習だけでなく、弱点の特定と、コンプライアンスやパッチ、認証情報のモニタリングが必要。問題が発生したら、ただちにその拡散を防止し、原因を突き止め、沈静化させなければならない。これには、ネットワーク全体を網羅するルリアルタイムの可視性が求められる。

― Lakeside Software、エリース・ロンドン氏

14. ITエコシステムを体系化してアプリケーションの優先順位と依存関係を明確に

変化の激しいデジタル社会でビジネスの継続性を確保するには、レジリエンスが不可欠。企業が不測の事態に備えるには、エコシステムを体系化して、アプリケーションに優先順位を付け、相互以前関係を明確にすることで、データ損失にいつでも対応でき、復旧できる体制を整えなければならない。DR（障害復旧）プランの重要性は言うまでもないが、ガバナンスが縦割りにならないよう、ビジネス目標に即してITエコシステムの整合性を保つことが、サステナブルなレジリエンスを可能にする。

― Citigroup、アルカアナ・パタビイ氏

15. 強力なアクセス制御と権限管理が必須

サイバー脅威が増している今日、セキュリティシステムを最新に保つことがレジリエンスの維持に欠かせない。企業は強力かつ効率的なアクセス制御と権限管理システムを導入して、重要データを保護し、サイバー衛生の向上に努めなければならない。

― Imprivata、フラン・ロシュ氏

16. 強力なリーダーシップで変化への対応をサポート

テクノロジー企業は常に変わり続けることが健全である。しかし、人は変化に抵抗があるのが常。企業が進化し続けると、社員のプレッシャーも増え続ける。これをサポートし、明確なチェンジマネジメントと効果的なコミュニケーション、コラボレーションで社員を支援するのがリーダーシップの重要な役割である。

― ModMed、ヴェンカテシュ・ジャヤラマン氏

17. 問題を隔離できるレジリエントなアーキテクチャを構築する

企業のレジリエンスは、アーキテクチャデザインに左右される。システムのゆるい結びつきで、一つの問題が他に影響しないアーキテクチャの構築が必要。冗長性を取り入れ、盤石のDR（障害復旧）プランを構築して、ビジネスの継続性を維持しなければならない。

― Federal Home Loan Bank of Cincinnati、マドハヴィ・ナジャナ氏

18. 役割の明確化で迅速なインシデントレスポンスを実現する

問題が発生したとき、企業は迅速な対応と責任の明確化のバランスをうまく取れずに間違った方向に進んでしまう危険性がある。これを避けるには、個々の役割、権限、コミュニケーションチャネルを明確に定義したインシデントレスポンスプランが必要である。部署を超えた社内横断的な予行演習を通じて信頼関係を構築することも忘れてはならない。

― Netwrix、イリア・ソトニコフ氏

19. データガバナンスのフレームワークがレジリエンスを左右する

企業がレジリエンスを確立するためには、データ管理が最重要課題となる。データの品質が意思決定に影響し、ストレージ容量、プライバシー、アクセス制御の要件は日々拡大していく。これに対応するには、データガバナンスのフレームワークとクラウドストレージの活用が不可欠。定期的なセキュリティ監査とモニタリングでデータの整合性を確保する必要がある。

― Amazon、ニール・センダス氏

20. 組織内のサイロの撤廃がレジリエンスの鍵に

レジリエンスを阻む最大の壁はチームのサイロ化による、偏ったプランニングと意思決定。チーム間のコラボレーション、コミュニケーション、データ共有を推進すれば、企業全体のビジネス目標に沿ったプランニングと意思決定が行われ、組織内に潜むリスクも早期に解決できるようになる。

― 09 Solutions、イゴール・リカロ氏

現代のビジネス環境において、リスクマネジメントとレジリエンスの強化はすべての企業に突き付けられた喫緊の課題です。サイバー攻撃だけでなく、ビジネスを停滞させるあらゆる事態に対応できるように準備しなければなりません。自然災害のリスクも無視できないし、パンデミックがいつまた起きないとも限りません。企業は、組織を構成するあらゆる要素（財務状況、業務プロセス、システム環境、社員の構成や職場環境など）を詳細に把握し、非常時の迅速かつ円滑なリカバリ体制を構築する必要があります。このように、レジリエンスはビジネスのあらゆる側面に根付かせる必要がありますが、そのすべてを支えるテクノロジーは否応なく最優先事項となります。強力なレジリエンスの確保は、適切なバックアップとリカバリソリューションでシステム環境を守ることから始まります。