重要インフラ保護とサイバーレジリエンスの向上–不可欠な「指標」

今回は「重要インフラ保護とサイバーレジリエンスの向上–不可欠な「指標」」についてご紹介します。

関連ワード （官民連携時代のセキュリティリーダーシップと重要インフラ保護、特集・解説等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　現代社会において「重要インフラ」は、国家の安全保障と経済的安定に欠かせない重要な要素です。ここには医療、輸送、金融、エネルギー、通信など、社会基盤を支えるために不可欠なシステムが含まれます。一方で、必然的にこれらのシステムがインターネットにつながり、サイバー攻撃の格好の標的になるにつれ、一度攻撃を受けてしまうと、医療サービスの中断や金融システムのまひ、交通ネットワークの機能停止、エネルギー供給の停止など、社会全体に深刻な影響を及ぼします。

　このように、サイバーセキュリティに対する脅威が増す中、重要インフラの防御力を強化し、サイバー攻撃を受けても速やかに回復できる「サイバーレジリエンス」の重要性が高まっています。サイバーレジリエンスとは、サイバー攻撃に対する耐性を高め、攻撃を受けた際に、迅速に回復できる能力を指します。この能力の向上は、単なる防御策ではなく、「予防」「対応」「回復」の全ての段階における体制の整備を意味します。特に官民が協力してサイバーリスクに対処し、サイバーレジリエンスを強化することで、国家の重要インフラの持続可能性が保証され、社会全体の安全が確保されます。

　重要インフラを保護するためには、具体的な指標が必要となります。世界では米国が先行しています。例えば、米国の「重要インフラのためのサイバーインシデント報告法（CIRCIA）」は、重要インフラの所有者や運営者に対し、サイバーインシデントの迅速な報告を義務付けています。これは、サイバー攻撃へ速やかに対応し、影響を最小限に抑えるための重要な措置となります。また、ヘルスケア業界では、サプライチェーン全体のセキュリティを評価し、リスクのある部分を特定することが求められています。なぜなら、サプライチェーンの脆弱（ぜいじゃく）性は、システム全体のサイバーセキュリティにおける重大なリスク要因となり得るからです。

　サイバーの脅威が多様化・高度化する中で、リスクの集中を避けるための対策も必要です。少数の供給業者やシステムへ依存している企業や組織は、攻撃者にとって魅力的なターゲットとなる傾向にあり、対策が不十分だと、結果的に大規模な被害を受ける可能性があります。例えば、米国のJoe Biden大統領が署名した「CHIPS法」は、米国の半導体産業への依存を軽減し、サプライチェーンの強靭（きょうじん）性を向上させるためのものです。このような法的枠組みは、サプライチェーン全体のリスクを分散し、重要インフラの保護を強化するための大切なステップとなります。

　サイバー脅威は、国家から支援を受ける組織からランサムウェアグループ、ハクティビストまで多岐にわたり、その攻撃方法も多種多様です。これらの脅威に対しては、予防策だけでなく、攻撃が発生した際の迅速な対応が求められます。例えば、米国の運輸保安庁（TSA）は、筆者が所属するSecurityScorecardと提携し、米国内のパイプラインや鉄道、航空輸送システムのサイバーシステムの健全性を監視しています。このような官民連携の取り組みは、サイバーリスクの測定と報告を強化し、公共と民間の両方がサイバーレジリエンスを向上させるためのモデルとなっています。

　また、重要インフラのサイバーセキュリティ戦略には、各業界に特化した対策が求められます。医療業界では、ランサムウェア攻撃が主要な脅威であり、迅速な復旧が求められます。金融業界はサイバー攻撃の標的になりやすいため、脅威インテリジェンスの収集とリアルタイムなモニタリングが不可欠です。空港や輸送インフラにおける主要なシステム（例：飛行管理システム、予約システム、通信システムなど）は、サイバー攻撃に対して非常に脆弱なので、厳重なアクセス制御、強力な認証手段、システムの冗長化といった保護が必要とされます。通信業界では、広範なネットワークへの依存が攻撃のリスクを高めています。エネルギー業界では、国家規模でのサイバー攻撃が懸念されており、サイバーセキュリティの強化が急務です。このように業界ごとの特性に応じた戦略を策定し、実施することが必要不可欠です。