企業文化にデータレジリエンスを根付かせるカギは経営層にあり

サイバーセキュリティ業界には人材にまつわる課題があります。インフラストラクチャ担当とセキュリティ担当、あるいはIT部門と経営陣の間に隔たりがあります。

同じITチームでもセキュリティ担当は脅威、脆弱性、セキュリティ戦略についてよく理解している一方、インフラストラクチャ担当は安定稼働、平常時の運用に徹することを目的としていて、セキュリティに対しては理解をしていない場合があります。

また、経営陣はビジネスの全体像と投資すべき分野を把握していますが、サイバーセキュリティの微妙なニュアンスを理解していない可能性があります。ビジネスリーダーとして当然リスクを回避しようとする彼らは、攻撃を受ける可能性が低いと考える場合、組織を保護するためのさらなる支出を避けようとするのは珍しいことではありません。

しかし、ランサムウェア攻撃やサービス停止といったシステム障害が絶えない現状を見ると、企業が攻撃を受けるかどうかではなく、いつ、何度攻撃を受けるかが問題なのです。IT部門がインフラを適切にモダナイゼーションするには、予算を握っている経営層がと協力する必要があります。

データレジリエンス（データの回復力）の定義

ITインフラのモダナイゼーションの戦略において重要な要素の一つにデータのレジリエンスがあり、これにはデータのバックアップ、リカバリ、自由、セキュリティ、インテリジェンスが含まれます。第1回でも紹介したように、データのレジリエンスとは、データに関わる障害に耐え、データ損失を避け、そこから回復する企業の能力を指します。データが被害を受ける前の状態に復旧する力を養うことで、企業は重要なデータを損失するリスクを抑え、事業継続をすることができます。

データレジリエンスは、データバックアップ、データリカバリ、データポータビリティ、データセキュリティ、データインテリジェンスの5つの要素に集約されます。中でも、データレジリエンスの基盤であるデータバックアップとデータリカバリは、障害が起きた際にデータを迅速に復元するために重要な要素です。データポータビリティとは、データがどこに保存されているかにかかわらず、どのような状況でもデータを安全に保管することです。

さらにセキュリティの点でいえば、データレジリエンスに加えて、最後の砦となるデータバックアップがいざとなったら確実にバックアップコンポーネント自体を復旧のために動作させる必要があります。ランサムウェア攻撃は発覚した時には、すべての攻撃が完了していて、システムを復帰させる以外に対応の術がない状態といえます。

データレジリエンスを確実に作動させるには、ゼロトラストセキュリティを構築して攻撃されても影響を回避し、事前に攻撃の兆候を把握して、最悪な事態が起きてもデータレジリエンスで復旧をさせる運用を継続しておく必要があります。

また、ランサムウェア攻撃に遭遇した場合、データをリストアすることで復旧することで解決できると思っている方もいるかもしれません。しかし、データをリストアするだけでなく、侵入経路の閉鎖、利用された脆弱性の対策、攻撃による影響範囲の把握、データ流出の情報やインパクト、場合によっては、身代金の対応など、さまざまな対応をする必要があります。

さらに、データリストアも規模によっては時間がかかるため、最終的にリストアを開始するという判断も適切に行う必要があります。このようなランサムウェア攻撃に関するインシデントレスポンス（実際に行うべきあらゆる対応）はさまざまなケースがあり、何が必要か、何が正解なのかは明らかにされていないのが実情です。

なぜ経営トップから始めることが重要か

ランサムウェア攻撃が発生した場合、Veeamの調査結果では、48％のデータは復旧できないことが示されています。 データレジリエンス戦略を採用する上で最も重要なステップは、経営陣とITチームの足並みをそろえることです。

半数以上の組織が、自社のバックアップチームとサイバーセキュリティチームの足並みをそろえるために、「大幅な改善」または「全面的な見直し」が必要だと考えています。IT部門内にこれほど断絶があるのですから、経営陣がデータのレジリエンスの必要性からかけ離れている可能性があるのは当然です。

経営陣とITチームが一堂に会し、データレジリエンスの達成に向けた共同のアプローチを策定することで、「われわれ対彼ら」や「自分には関係ない」という考え方を打破することができます。

ITチームは、組織を保護する方法を知っています。しかし、ITインフラには依然として多くの脆弱性が存在します。すべては、ミッションクリティカルなリソースの入手にかかっています。

ITチームは、システムをモダナイゼーションし、真にデータのレジリエンスを備えた組織を構築するために、必要な人材やリソースへのアクセスを必要としています。これらのリソースには相当な予算が必要であり、その半分しか確保できないのでは不十分です。

重要なことは、経営陣にとって、ITが「ブラックボックス」になっている状況を理解してもらうことです。経営陣に最低限必要なことを説明し、データレジリエンスの真のビジネス価値を伝え、専門用語を避け、セキュリティやインフラについてより理解しやすいアプローチを取ります。

例えば、ランサムウェアに対するインフラストラクチャ設計、定期的なランサムウェアの情報の入手とその手法に対する防御のアップデート、さらにランサムウェアの感染が発覚した場合の対応の全体的な精査、役割に応じた予行演習、復旧後の後処理など、現在できること、継続すべきこと、いざとなったら行わなければければならないことを理解して、準備・実行・想定しておくことで、正常に業務が再開できるようになります。

経営陣の指示を得なければビジネスは危険にさらされる

データレジリエンスを推進するにあたり、経営陣の指示は、攻撃やサービス停止が発生した場合に企業の命運を左右します。 経営陣の指示がなければ、ITのモダナイゼーションは中途半端な結果に終わるリスクがあります。

経営陣が精通していてもおかしくない特定の側面のみをモダナイゼーションすることは、賢明なコスト削減策に見えますが、これは誤りです。ITスタックのどの部分であれ、それを除外すれば、企業は大きなリスクにさらされることになり、サイバー攻撃を受けた際に不要な脆弱性が生まれることになります。

つまり、顧客への影響、ダウンタイム、損失、そして長期的な悪影響が増えるということです。 データのレジリエンスはITだけの問題ではなく、経営陣だけの問題でもありません。健全な組織において、データのレジリエンスは全員の問題なのです。

顧客を保護できない企業は、収益の損失や訴訟だけでなく、世間からの非難や企業の完全な破綻に直面しています。相互に結びついた世界で、企業は隠れることはできません。経営陣と早期かつ頻繁に協議し、データレジリエンスのビジネス価値と、対応を怠った場合に起こり得る事態のリストを理解してもらうことに努めましょう。

ビジネスリーダーが期待するレジリエンスとITチームの経験の間には、長らく隔たりがありました。 データレジリエンス戦略について経営陣とチームリーダーを一致させることは、災害が発生した際に企業が確実に保護されるようにするための、リスク軽減の取り組みとして不可欠です。

ランサムウェア攻撃からの復旧オペレーションを確立し、計画を立て、システムを定期的にテストすることは、真のデータレジリエンスの実現に向けて大きな前進となります。ですが、両者を巻き込まないままでは、モダナイゼーションの取り組みは効果的ではないかもしれません。

組織が攻撃を受けやすくなり、不必要な脆弱性が生じ、ビジネスが危険にさらされるリスクがあります。データのレジリエンスをビジネス価値の観点から捉え、経営陣を巻き込むことで、次の攻撃が「もし」ではなく「いつ」起きても、ビジネスが対応できる体制を整えることができます。