サイバーレジリエンスの再考
ビジネス運営を妨害するサイバー脅威に対処する
サイバーレジリエンスの意味を再考する時が来ています。現在は冗長性と同等視され、複数の環境にわたってバックアップデータセンター、高可用性クラスター、ベストオブブリードのツールを連携させることと考えられています。これらは個々のリスクへの対策ではありますが、現実世界の圧力で崩れてしまうような断片化したアーキテクチャと運用のサイロを生み出しがちです。
従来型のバックアップや災害復旧ツールは依然として必要ですが、これらは�方程式の一部に過ぎません。真のレジリエンスはアップタイムを超えるものです。つまり、混乱の中でも信頼性、継続性、システムの安定性を維持することを指します。病院にとっては、ランサムウェア攻撃中も患者記録や重要な医療システムへのアクセスを維持することを意味します。物流会社であれば、ネットワーク障害中もサプライチェーンの可視性を維持することです。メディア企業にとっては、嵐のように分散型サービス拒否攻撃(DDoS)が集中する中、生放送業務を維持することになります。
私は最近、キンドリルのアライアンス担当バイスプレジデントであるJeff Gatz氏と、レジリエンスを再考する方法について話しました。2025年のCloudflareシグナルレポート『大規模なレジリエンス』で取り上げた主なセキュリティ脅威とレジリエンスの課題のいくつかに触れ、今日の複雑なサイバーセキュリティ環境におけるレジリエンスの高い組織づくりの重要要素について議論しました。
Gatz氏は、彼のチームが組織のレジリエンス戦略練り直しを支援する際に使っている「実用最小限の企業(Minimum Viable Company)」というコンセプトについて話してくれました。「マルウェア攻撃であれ国家が引き起こした混乱であれ、壊滅的事象が発生した場合は、実用最小限のアプリケーション、サービス、機能、データをいち早く復旧する必要があります。これらは、インシデント発生後の業務継続に不可欠な要素です」と、Gatz氏は言っています。
これこそレジリエンスの正しい再解釈だと思います。リーダーは、テクノロジーベースの冗長性から成果ベースの継続性へと移行し、最も重要なサービスが最も重要な時に運用可能であるようにする必要があります。
AIの両刃の剣に立ち向かう
議論の中でJeff Gatz氏が言及したように、業界のリーダーたちはしばしばAIを両刃の剣であると認識しています。「(AIは)武器にもなり、世界で起きていることに対する防衛策にもなります。」(Gatz氏)
エージェンティックAIの台頭は、AIが良い面と悪い面の両方にどのように使用されているかを示しています。たとえば、企業はAIエージェントを導入して幅広いプロセスを自動化し、ワークフローの速度と効率性を向上させることに躍起になっています。しかし、サイバー犯罪者は、AIエージェントやその他のAIアプリで使用されるモデル、データ、サードパーティツールを攻撃しています。しかも、攻撃の規模と有効性を高めるためにAIツールを使う犯罪者が増えているのです。
そうした脅威に対抗するため、企業はサイバー防御の一環としてAIを使っていることもあります。機械学習モデルを使い、AIエージェントをデプロイすることで、意思決定を強化し、異常をすばやく検出し、攻撃パターンを予測して、対応を大規模に自動化しています。この変化により、セキュリティチームは「事後対応の火消し」から、継続的な適応型の防御へと移行することができます。ここに、サイバーレジリエンスの最大の向上が見られるのは、侵害を防ぐだけでなく、インシデント発生時に重要な業務を維持する点です。AI駆動型のシステムは、リソースの優先順位を動的に示し、脅威を分離し、リスクが最も高い時に継続性を維持することで、攻撃を受けても重要なサービスの可用性を確保します。
「AIは武器になるだけでなく、世界で起きていることに対する防衛策にもなります」
— Jeff Gatz氏、グローバル戦略アライアンス、キンドリル
サードパーティリスクの増大
サードパーティのリスクに対して脆弱なシステムは、AIエージェントとAI搭載アプリケーションだけではありません。実際、サードパーティの要素を使用するアプリケーションやサービスは、運用を大きく混乱させる攻撃を受ける可能性があります。
世界経済フォーラムの調査で、大企業の54%が「サードパーティによるリスク管理」をサイバーレジリエンスにおける最重要課題と捉えています。また、ソフトウェアサプライチェーン、クラウドプラットフォーム、サードパーティ統合への攻撃が増加しています。Verizon 2025データ漏洩調査報告書によると、サードパーティが関与する侵害の割合は、前年の15%から2024年10月31日の年度末までに30%に倍増しました。
特に問題なのは、比較的少数の大規模クラウドプロバイダーへの依存度が高まっていることです。1つのクラウドプロバイダーからの1つの脆弱性に対する1つの攻撃が、複数の業界に広範な影響を引き起こす可能性があり、結果として数十億ドルの損失が発生する可能性があります。
一方、クライアント側の攻撃も増え続けています。多くの開発者は、アプリ開発を効率化するためにサードパーティ製スクリプトを使用しています。サードパーティ製アプリは、ホストのWebサーバーではなく、エンドユーザーのマシン上のWebブラウザでスクリプトを実行します。その結果、エンドユーザーはスクリプトに対する攻撃に脆弱になります。たとえば、攻撃者はエンドユーザーのブラウザ上で実行されるクライアントサイドスクリプトに侵入することによって、その人が保存したクレジットカード情報にアクセスできる可能性があるのです。
平均的な企業では、分析、広告、チャットボットなどの機能のために、少なくとも20個のサードパーティスクリプトを使用しています。中には、数十万に達している企業もあります。これらのスクリプトはそれぞれ、攻撃者の侵入口になる可能性があります。
より大規模で高度なDDoS攻撃に直面している
DDoS攻撃は、サイバーレジリエンスに対する最も顕著な脅威の1つです。DDos攻撃は、サイバー犯罪者やハクティビストだけでなく、国家が高度なツールまで使用することになりました。攻撃者は、業務を混乱させ、コンプライアンスの問題を引き起こし�、評判を損なうことを目的としています。
これらの攻撃の数は年々大幅に増加しています。Cloudflareは2024年に2090万件のDDoS攻撃をブロックしましたが、2025年は第1四半期だけで2050万件に上っており、前年比で358%増、前四半期比で198%増となっています。
新たなテクノロジーにより、サイバー犯罪者はDDoS攻撃の規模を高めることができます。攻撃者は、ボットネット、IoTデバイス、AI駆動型の自動化を使用し、重要なデジタルサービスに対して大規模かつ持続的で影響の大きい攻撃を仕掛けています。2024年10月、Cloudflareは5.6テラビット/秒(Tbps)のDDoS攻撃を検出し、阻止しました。当時、これは報告された中で史上最大の攻撃でした。
サイバーセキュリティ規制の普及
これらの脅威やその他の脅威への対処は、今や必須です。世界中で、新たな規制により、企業はサイバーセキュリティ体制を強化し、直面するインシデントの透明性を高めるよう迫られています。中でも、米国、欧州連合、オーストラリアから最も厳しい規制が発生しています。
米国:米国証券取引委員会(SEC)は、上場企業に対し、重大なサイバーセキュリティインシデントの開示とリスク管理戦略の詳細な説明を義務付けています。
欧州連合:EUのデジタル運用耐障害性法(DORA)は、金融セクター向けの厳格なサイバーセキュリティ基準を定めています。一方、EU一般データ保護規則(GDPR)は、違反に対して全世界売上高の最大4%の制裁金を科します。
オーストラリア:オーストラリア健全性規制庁(APRA)の健全性基準CPS 234は、金融機関に対し、堅牢な情報セキュリティ対策の維持を義務付けています。
セキュリティとコンプライアンスの課題に同時に対処できる組織は、戦略的優位性を得ることができます。規制市場への参入を加速し、顧客の信頼を高め、財務的および評判的なリスクを最小限に抑えることができます。
サイバーレジリエンス戦略の再構築
今日のレジリエンスは、単なる冗長性にとどまってはなりません。事業継続性、信頼性、システムの安定性を基盤とし、攻撃や規制当局の監視下でも重要業務が継続できるようにする必要があります。
レジリエンスは、Jeff Gatz氏が強調した「実用最小限の企業」というコンセプトに基づいて、大規模障害発生後の業務継続に必要なコアとなるアプリケーション、サービス、データを迅速に復旧できるものでなくてはなりません。
以下に示す6つの目標を最優先事項にするとよいでしょう:
自社の「実用最小限の企業」を定義:コアとなるサービス、アプリケーション、データを特定します。それらが「実用最小限の企業」を成す、業務継続のために維持しなければならない機能です。ビジネスの優先事項と関連付けた明確な復旧目標を設定することによって、レジリエンスは、技術的な稼働時間だけでなく重要成果の継続性という尺度でも測定可能になります。
セキュリティとコンプライアンスの機能を統合 :Jeff Gatz氏が述べたように、「コンプライアンスはセキュリティアーキテクチャに組み込まれるべき」と言えます。統合プラットフォームは、脅威検出を規制で義務付けられた報告と連携し、監査を効率化し、可視性を向上させて、コストとリスクを低減するのに役立ちます。セキュリティとコンプライアンスを個別にサイロ化する必要はありません。統合されると、それらの要素の合計以上の機能を提供します。
グローバル規制に対応するために、コンプライアンスを自動化する。手作業によるコンプライアンスプロセスは、グローバルな規制のペースに対応して拡張することができません。監査、リアルタイムモニタリング、法域を考慮したデー�タルーティングなどの主要なワークフローを自動化することで、運用負担を軽減しつつ、継続的な整合性を確保できます。その結果、レジリエンスが向上し、監査や評価の際に想定外の事態が発生する数が少なくなります。
サードパーティの依存関係をリアルタイムで可視化:サプライチェーンの脆弱性に由来するセキュリティ侵害が頻発しています。重要なベンダーや外部サービスは、オンボーディング時だけでなく、関係性が続く限り継続的に監視する必要があります。契約でセキュリティ義務を課し、サードパーティのインサイトを集約して広範なガバナンスへとつなげることが、リスクを軽減するために不可欠です。
大規模なDDoS攻撃を吸収しつつ、稼働率を維持する方法を見つける:現在の攻撃者は大規模なDDoS攻撃を仕掛けてきます。クラウド型DDoS攻撃対策を導入することで、業務を停止することなく、最大規模の攻撃を軽減できます。クラウドプロバイダーは、地理的冗長性を備えたインフラストラクチャとコンプライアンスを意識したフェイルオーバー計画を実装し、復旧手順を定期的にテストして、稼働時間と規制との整合性の両方を確認することができます。
完全なレジリエンスポスチャをテストする:備えることは、技術的なコントロールを整備するだけではありません。運用、技術、規制上の要件に対応するレジリエンスプレイブックを作成し、定期的にテストします。障害をシミュレートすることで、チームは攻撃を検出し、迅速に回復し、プレッシャーの中で報告義務を果たせるようにします。
セキュリティの文化を育む:ヒューマンレイヤーは最もよく利用される攻撃ベクトルであり、特に多いのがフィッシングやソーシャルエンジニアリングを通じた攻撃です。AIと機械学習によって予測防御能力が向上しているものの、ユーザートレーニングに投資して、脅威がエスカレートする前に従業員が発見、回避、報告できるようにすることが依然重要です。
複雑性に対抗してサイバーレジリエンスを強化する
現在のサイバーセキュリティの脅威により、一部の組織では防御の強化と耐障害性の強化のために、複数のソリューションを採用する要因となっています。しかし、その結果、ツールがバラバラに存在し、管理の複雑さ�を生み出し、なおかつギャップを残すことになります。
Jeff Gatz氏が指摘したように、統合が重要です。彼は、企業は「信頼できるテクノロジーパートナーは誰で、そのエコシステムをどのように最大限に活用するか?」を自問すべきだと提案しました。特に、セキュリティとネットワーク機能は統合の有力な候補です。「それらを別々にするのはやめてください」とGatz氏は言いました。統合は、セキュリティを強化し、ギャップを埋め、管理を効率化し、コストを削減するのに役立ちます。
これには同意できませんでした。Cloudflareのコネクティビティクラウドは、クラウドネイティブなサービスのインテリジェントな統合プラットフォームを通じて、企業の接続、保護、構築を可能にします。当社は、業務を混乱させる可能性のある幅広いセキュリティ脅威に対処し、極めて複雑な企業環境においてもセキュリティ管理の合理化を支援します。このような基盤を整備することで、組織は耐障害性が高く、将来に備えた戦略を構築するにあたって有利な立場を確立できます。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
このトピックを深く掘りさげてみましょう。
レジリエンス戦略を回復し、現在のセキュリティ状況を形作る要因についてのさらなるインサイトを明らかにする方法についての詳細は、『2025年Cloudflareシグナルレポート:大規模に対応するレジリエンス』をご覧ください。
著者
Khalid Kark — @khalidkark
Cloudflare南北アメリカ担当フィールドCIO
記事の要点
この記事では、以下のことがわかるようになります。
業務遂行を妨げる3大サイバーセキュリティ脅威
レジリエンス計画を複雑にする規制変更
脅威に対処し、業務の混乱を防ぐための7つの優先事項