サイバーレジリエンスとは？定義と重要性、サイバーレジリエンスを向上させる具体的な方法やポイント

現代はAIやデジタル技術が急速に進展する時代であり、サイバー攻撃や内部不正の脅威、AI、サプライチェーン、サイバー・フィジカル・システム（CPS）といった多様な影響が拡大し続けているため、従来のセキュリティ対策だけでは不十分になっています。このような状況から、ガートナーでは「2028年までに、新たなサイバーレジリエンス戦略を持たない組織の90%以上は、その存続が危うくなる」という仮説を立てています^*1。

^*1 「2025年の展望：サイバーレジリエンスの未来と生存戦略」の戦略的プランニングの仮説事項より

以下に、サイバーレジリエンスが重要とされている理由を取り上げます。

増大する経営者の責任: 経営者自身がリスク管理とセキュリティへの取り組みをステークホルダーに説明する必要性が高まっています。明確な戦略がないまま場当たり的な対応を続けると、企業としての責任を問われる可能性があります。サイバーセキュリティに関する経営層の意識の高まりに対し、サイバーセキュリティを担うリーダーは、プロアクティブでレジリエントなアプローチを必要とします。

分散型ガバナンスと複雑な意思決定:クラウド、AI、データ／アナリティクス、サイバー・フィジカル・システム（CPS） および規制に関連するリスクの高度化と複雑化により、中央集権的なセキュリティ・ガバナンスは不十分になりつつあります。

進化するデジタル・ワークプレースのセキュリティ確保の課題: 新しい働き方の普及、人々と情報の分散、アプリケーションの多様化により、データはローカル環境とクラウド環境の両方に散在しています。生成AIの活用が進みデータの移動が増加することで、情報漏洩のリスクが高まっています。サイバーレジリエンスには、侵害の防止だけでなく、そのような動的な環境における迅速な復旧と事業継続の確保が含まれます。

セキュリティ・オペレーションの進化: 従来のセキュリティ意識向上プログラムは形式的で画一的なものが多くありましたが、昨今では従業員一人ひとりがセキュリティの当事者意識を持ち、自ら進んで行動できるようなセキュリティ文化の醸成を目指す内容へと発展しています。ゼロトラストやセキュア・アクセス・サービス・エッジ (SASE)といった概念に沿った動きは、企業や組織のネットワーク・セキュリティの強化につながっています。ただし、部分的な最適化にとどまるケースや、統合的な製品のログへの対処、運用対応、円安によるサービス費用の上昇などの課題もあります。

最新のインシデント対応手順の維持の困難性: 攻撃手法は常に進化しており、企業や組織がインシデント対応マニュアルを最新の状態に保つことは困難です。インシデント対応の準備が、事業継続計画（BCP）や危機管理を含む組織的な議論として再評価されていることは、サイバーレジリエンスが単なるITセキュリティを超えた重要性を持つことを示しています。

外部公開アプリケーションに対する攻撃への対応: 外部公開Webアプリケーションは、パブリック・クラウド (IaaS/PaaS) で構築されることが多くなっており、企業や組織はマルチ・プラットフォームのセキュリティ課題に直面しています。クラウド・ネイティブ・アプリケーション保護プラットフォーム（CNAPP）やクラウドWebアプリケーション/API保護（WAAP）への注目は、クラウド環境におけるレジリエンスの必要性を反映しています。

マルウェア／標的型攻撃への対応: AIを悪用した脅威は拡大しており、ディープ・フェイク、AI音声詐欺、フィッシング、偽情報生成、マルウェアの自動作成などが巧妙化しています。攻撃を受ける可能性のある脅威エクスポージャが増加し、アタック・サーフェス・マネジメント（ASM）へのニーズが高まっていることが、適応力のあるレジリエントなセキュリティ体制の重要性が強まっている理由となっています。

内部脅威への対応: 退職予定者による内部不正に加え、「兼務」や「出向」といった日本独特の人事施策が、内部不正対策の原則を超える可能性があり、新たな対策分野として注目されています。AIを活用した内部脅威の検知への期待が高まっていますが、認証、権限管理、データ保護といった基本的なセキュリティ対策が十分でない場合、そのようなツールを導入しても内部不正の検知は困難となります。

法規制、サードパーティ／サプライチェーンのリスクへの対応: IT／デジタル、AI、サイバーセキュリティ関連の法規制制定の動きが世界で進んでおり、「どの部門がリードすべきか」「どのように関与すべきか」に関する戸惑いが企業で見られます。EUのNIS2指令やAI Act (AI法)、米国のSECの開示規則など、世界的に法規制の動きが活発化する中で、日本は必ずしもこれらのトレンドの最先端とは言えず、日本の常識のみで判断することはビジネス上のリスクを高める状況になっています。

参考：Gartner、世界で進行するAI規制を踏まえ、日本企業への提言を発表（2024年4月25日）

クラウドリスクへの対応: マルチクラウドの利用が進み、セキュリティ構成の評価と対応が困難になっています。各事業部門が主導してクラウドの利用を開始する例も増えており、そのようなクラウドにはAIが組み込まれていることも多くなっています。中央集権的なコントロールだけでは限界を感じる組織が増えており、連邦型のガバナンスやセキュリティ・チャンピオン^*2 の議論が求められています。SaaSのセキュリティを事業部門側で評価、設定、運用するための能力も不可欠です。

^*2 詳しくは、「2. 連邦型セキュリティガバナンスの採用とセキュリティ・チャンピオンの任命」の項目を参照ください。

サイバー・フィジカル・システム (CPS) のリスクへの対応: サイバー空間とフィジカル空間の融合は、社会問題解決の手段として位置づけられていますが、これらの環境でのセキュリティ侵害は、社会インフラの混乱を招く可能性があります。CPSセキュリティは新しい領域であり、ITとOTの両方の知識が必要であり、人材の確保が難しい状況です。IT／セキュリティ部門と事業部門が連携して組織的に取り組む体制を構築することが急務となっています。

データ／アナリティクスのリスクへの対応: AIや生成AIの活用により、企業内のあらゆる場所でさまざまなデータが使われるようになり、情報漏洩のリスクが高まっています。AIや生成AIで活用するためにデータを集約した途端に暗号化やアクセス権の設定が外れ、データが保護されない状態で使われるケースも見られます。セキュリティ・リーダーとデータ活用推進／管理の責任者とのこれまで以上の連携が求められています。

AIリスクへの対応: パブリックな生成AIアプリケーションの利用や、AIが組み込まれたSaaSの利用、プライベートな生成AIアプリケーションの構築と運用が増えるにつれて、アタックサーフェスも拡大しています。AIエージェントの登場は、新たなリスクとセキュリティの脅威をもたらすため、多くの組織にとって注意が必要な状況になると見られます。AIガバナンスやAI TRiSM (AIのトラスト／リスク／セキュリティ‧マネジメント)の取り組みが重要になりますが、日本では全体として未成熟な状況にあります。

前述した仮説「2028年までに、新たなサイバーレジリエンス戦略を持たない組織の90%以上は、その存続が危うくなる」は、サイバーレジリエンスが企業にとって存続を左右するほどクリティカルな取り組みであることを示唆しています。

適切なサイバーレジリエンス戦略を策定し実行することで、セキュリティ・インシデントの抑制や被害の軽減、従業員のモチベーション向上、顧客からの信頼向上といった副次的な効果も期待できます。

新しいビジネス環境やリスク変化に関する情報を提供し、新たなサイバーレジリエンスに向けた戦略を立案できれば、経営者や社内からの信頼を得ることも可能となります。このように、企業や組織の信頼性と競争力を高める上で重要な要素となるサイバーレジリエンスを戦略に取り入れる方法について説明します。

緊急性の認識と経営層のコミットメント: 前章で言及したようにAIやデジタル技術が急速に進展する現代において、セキュリティ・リスクのみならず、AI、サプライチェーン、サイバー・フィジカル・システム（CPS）といった多岐にわたるリスクへの対応が急務であり、対応できない企業の経営は今後厳しくなる可能性があります。

そのため、まずは経営層にこの変化を認識してもらい、サイバーレジリエンス強化への強いコミットメントを得ることが不可欠です。経営者に対して、従来のサイバーセキュリティの脅威に限定せず、環境変化とそのリスクを含めた「なぜそれをすべきか（Why）」を明確に伝え、共感と理解を得ることが重要です。

戦略立案および関係する部門との連携:  経営層のコミットメントが得られたら、IT／セキュリティ部門だけでなく、法務、コンプライアンス、人事、広報、マーケティング、事業部門など、関連する各部門が連携して動けるよう働きかける必要があります。ITやセキュリティ部門だけで抱え込まず、取り組みや活動ごとにそれぞれの責任と役割を明確にし、企業や組織全体として推進可能な体制を構築します。

変化への適応と継続的な改善: ビジネス環境やリスクは常に変化するため、一度策定したサイバーレジリエンス戦略も定期的に見直し、改善していく必要があります。現場からのフィードバックを積極的に取り入れ、少なくとも年に1回（頻繁な見直しが必要なものは3ヶ月に1回）は見直しを行い、継続的にガイドラインを改善していくことが重要です。

中央集権型の限界と分散型アプローチ: デジタル技術の進展やグローバル展開が進む中で、全てのリスクを中央集権的に管理することに限界を感じる組織が増加しています。地域や国の法規制、ビジネスの特性などを考慮し、連邦型のセキュリティ・ガバナンス・モデルを採用することが有効です。これは、セキュリティ部門が全体的な戦略や基準を策定しつつ、各事業部や部門がそれぞれの状況に合わせて柔軟に対応できる体制を指します。

セキュリティ・チャンピオンの役割と支援: 連邦型ガバナンスを機能させるためには、各部門にセキュリティ・チャンピオンを任命し、サイバージャッジメント（自律的な意思決定を可能とする能力）を持たせることが重要です。セキュリティ・チャンピオンは、技術的なスキルだけでなく、現場における影響力や関心などの特性を優先して選任し、任命後もインセンティブを考慮し、継続的な支援を行う必要があります。彼らは、各部門におけるセキュリティ意識の向上や、セキュリティ・ポリシーの浸透、リスクの早期発見と対応において重要な役割を果たします。

責任と役割の明確化と申請フローの整備: 新しい連邦型ガバナンスの実現に向けて、形式的な体制整備だけでなく、具体的なアクションを定義し、実践的な連携が取れるレベルで責任と役割を明確にする必要があります。また、リスク・レベルに応じた申請フローや、例外的なアプリケーションや製品の利用に関する申請フローを設けることで、それぞれの意思決定における責任やオーナーシップを明確にします。

共創による基準／ガイドライン開発: 事業部門などの関連部門と共にセキュリティ基準やガイドラインを開発する際には、「対立構造」や「押し付け」ではなく、「共創」の姿勢で臨むことが重要です。現場のニーズや実情を反映させることで、より実効性の高い基準となり、遵守も促進されます。

グローバルな視点の必要性: AI、データ／アナリティクス、サイバー・フィジカルなど、デジタル技術の進展に伴い、世界各地の規制当局による新たな法案の制定に向けた動きが活発になっています。日本は必ずしもこれらのトレンドにおいて先進的とは言えない状況であり、日本の常識のみで判断することはビジネス上のリスクを高める可能性があります。

積極的な情報収集と早期の備え: ガートナーは「2027年までに、80%以上の組織のIT／セキュリティ部門は、海外の法規制の動向を調べざるを得なくなる」という仮説を立てています ^*4。つまり、法務部門任せにするのではなく、IT／セキュリティ部門も能動的に海外の法規制のトレンドを把握し、自社に影響がある場合には早期に課題として識別し、対応策を検討／実施することが重要であることを示唆しています。

^*4 「2025年の展望：サイバーレジリエンスの未来と生存戦略」の戦略的プランニングの仮説事項より

ビジネス・リスクとの関連性の理解: デジタル面だけでなく、各地域・国の思惑や政治経済、安全保障の動きと連動させてリスクに関する議論を展開する重要性が高まっています。これらのリスクは、セキュリティ・リスクのみならず、ビジネス・リスクに直結するようになっていることを理解する必要があります。

人中心のアプローチ: 法規制の遵守は重要ですが、特にAIのような発展途中の分野においては、「法律に違反していないか」という法的な視点に寄り過ぎず、「それによって人は幸せになるか」という視点に基づいた意思決定を進める「人中心」の対応も重要です。このような取り組みは、顧客からの信頼獲得や企業ブランドの確立など、企業価値を大きく高めることに繋がります。

企業や組織のレジリエンス向上のために、お客様にとって最も優先的に取り組むべき課題を特定し、具体的なアクションプランを策定していくことが重要です。例えば、まずは経営層への現状説明と意識合わせから始める、あるいは連邦型ガバナンス・モデルの導入に向けた検討を開始するなど、具体的なアクションに落とし込むための議論を進めることができます。効果的なサイバーセキュリティ戦略のために、ガートナーは次のようなご支援をご提供いたします。

企業や組織のサイバーレジリエンス向上において、以下のような場面で、経営層、CISO（最高情報セキュリティ責任者）、およびセキュリティ・チームにとって、価値ある知見を提供いたします。

1. サイバーレジリエンス戦略の策定

• サイバーレジリエンスをセキュリティ、リスク、ビジネス継続性、危機管理の統合的な枠組みとして定義し、戦略立案
• CISOや経営層がリスク許容度に基づいた意思決定を行えるように指針
• 各業界・地域に適したベストプラクティスや成熟モデル

2. ガバナンスと組織体制の整備

• セキュリティ・ガバナンスモデルの選定と導入
• 経営層とのコミュニケーションに活用できるテンプレートや報告フレームワーク

3. リスクベースのセキュリティ強化

• 業務継続とリスク軽減のバランスを取るためのリスク評価手法（BIA：ビジネス・インパクト分析等）
• サプライチェーン、サードパーティ、クラウド環境を含む複合的なリスク・シナリオへの対応策の策定

4. インシデント対応力と復旧能力の強化

• インシデント対応計画（IRP）と演習
• サイバー保険についてのガイダンス、危機時の対応ステークホルダーの可視化と役割定義

5. KPI／KRIの導入

• サイバーレジリエンスの継続的な測定と改善のための主要パフォーマンス指標 (KPI) と主要リスク指標 (KRI)の導入とベンチマーク比較
• 組織のセキュリティ投資に対する成果の可視化とROI分析

• 社内教育／啓発プログラムの設計（例：セキュリティ意識向上トレーニングのカスタマイズ）
• 状況に応じた適切なセキュリティ行動／文化促進プログラムの推進
  

7. 最新トレンドの継続的アップデートと意思決定

• ゼロトラスト、AI活用型セキュリティ、SASE（セキュア・アクセス・サービス・エッジ）などの最新アプローチの導入検討
• 定期的なエグゼクティブ・ブリーフィングやワークショップによる関係者間の理解共有と整合性確保

是非ガートナーの知見をご活用いただき、お客様のサイバーレジリエンス戦略策定にお役立てください。今後も新たなテクノロジやリスクが登場しても、レジリエンス思考が根付いた組織であれば、柔軟性や適応力を備え、事業を継続し乗り越えることが可能となります。