サイバーセキュリティ経営ガイドライン3.0を実践するバックアップ手法とは

2023年に改訂された「サイバーセキュリティ経営ガイドライン Ver 3.0」。経営層への報告義務を負うCISOにとって、本改訂が強調する「サプライチェーン全体のリスク管理」や「復旧体制の整備」への対応は急務です。特にランサムウェア被害が拡大する今、従来のバックアップだけでは経営責任を果たせない可能性があります。

本記事では、ガイドラインが求める要件に注目しながら、「不変性（Immutability）」を持つクラウドストレージを活用して、低コストかつ強固なセキュリティを実現する具体策を解説します。

「サイバーセキュリティ経営ガイドライン Ver3.0」改定の背景

経済産業省とIPAによって策定されたサイバーセキュリティ経営ガイドラインは、Ver 2.0から約5年ぶりの改訂となりました。この背景には、企業のデジタル環境への依存度の高まりや、攻撃手法の変化があります。

デジタル依存とサプライチェーンリスク

サイバーセキュリティ経営ガイドライン Ver 3.0（以下、ガイドライン）の冒頭では、改定の背景として、テレワークの普及に代表されるデジタル環境への依存度増大と、ランサムウェア被害の顕在化が挙げられています。特にランサムウェアによる被害は、単なる情報漏えいにとどまらず、事業活動そのものを停止させる事態へと発展しており、深刻な経営リスクとなっています。

また、自社だけでなく、国内外の拠点や業務委託先など、サプライチェーン全体を通じた対策の推進も不可欠です。ガイドラインでは、サプライチェーン上のセキュリティが弱い組織を踏み台にした攻撃や、それによる事業停止リスクが強調されています。

CISOに求められる「経営層への翻訳力」

経営者は、サイバーセキュリティ対策をコストではなく、将来の事業活動や成長に必須な「投資」と位置づけ、リーダーシップを発揮する必要があります。

ここで重要になるのが、CISO等の責任者の役割です。CISOには、経営者が予算措置や体制整備といった適切な判断を行えるよう、技術的なリスクを「経営へのインパクト」に翻訳して報告する義務があります。経営者が善管注意義務を果たせるよう、具体的かつ効果的な対策案を提示することが求められているのです。

ガイドラインが求める「リスク対応」と「復旧体制」

ガイドラインの「重要10項目」では、攻撃を防ぐだけでなく、侵入された後の検知や復旧に重点が置かれています。

バックアップ破壊を「検知」する設計

ガイドラインの「指示5：サイバーセキュリティリスクに効果的に対応する仕組みの構築」では、防御だけでなく、検知・分析の各機能を実現する仕組みの構築が求められています。

近年のランサムウェアは、データを暗号化して使用不能にするだけでなく、復旧を阻害するために「バックアップデータ自体」も標的にします。そのために重要になるのが、バックアップシステムへの攻撃をいかに検知し、誰に通知し、迅速な復旧判断へつなげるかという設計です。従来の境界防御だけでは防ぎきれない現状を踏まえ、侵入を前提とした多層防御や監視体制が必要とされています。

「復旧」へのパラダイムシフト

「指示8：インシデントによる被害に備えた事業継続・復旧体制の整備」では、業務停止等の影響を考慮し、「いつまでに復旧すべきか（目標復旧時間）」を特定することが求められています。

ここで重要なのは、侵入を完全に防ぐことは不可能であるという前提に立って、BCP（事業継続計画）と連携した具体的な復旧手順を策定することです。単にデータを戻せるだけでなく、事業再開に必要なシステム環境全体を、経営が許容できる時間内に復旧させる「復旧力（レジリエンス）」こそが、現代の企業に求められています。

ガイドライン準拠の鍵となる「不変性（Immutability）」

ランサムウェア対策として、ガイドラインが求める「確実な復旧」を実現するための鍵となる技術が「不変性（Immutability）」です。

不変性バックアップとは

「不変性（Immutability）」とは、一度書き込まれたデータを指定した期間、管理者であっても変更も削除もできなくする機能のことです。「指示5」では、リスクに対応する仕組みとしてバックアップの取得が求められていますが、不変性を持つストレージに保存することで、ランサムウェアによる暗号化や悪意ある改ざんを無効化できます。これは、攻撃者がシステム権限を奪取した場合でもデータを破壊できないため、確実な復旧手段を確保する「究極の仕組み」と言えます。

オフラインと同等の安全性をオンラインで実現する方法

従来、ランサムウェア対策として最強とされたのは、テープなどの「オフラインバックアップ」でした。しかしこの手法には、物理的な管理の手間や、復旧に時間がかかる（RTOが長い）という課題がありました。

一方、クラウドストレージの不変性機能（オブジェクトロック機能など）を使えば、ネットワークにつながっていても論理的に書き換え不可能な「Virtual Air Gap（仮想エアギャップ）」を構築できます。これにより、オフライン保管と同等の堅牢性を持ちながら、クラウドの利便性を活かした迅速な復旧（RTO短縮）を両立することが可能です。

ガイドラインが求める要件を低コストで実現する手法

高度なセキュリティ対策にはコストがかかるのが常ですが、工夫次第でガイドラインの要件を満たすことが可能です。

予算確保の壁を越えるクラウドストレージ活用

ガイドラインの「指示3：サイバーセキュリティ対策のための資源（予算、人材等）確保」では、対策に必要な資源の確保が求められていますが、企業にとって予算は無限ではありません。

そこで活躍するのが、Wasabiのような安価かつ高機能なクラウドオブジェクトストレージです。高価な専用バックアップアプライアンスを導入しなくても、「指示8」が求める高度な復旧体制を低コストで構築できます。

サプライチェーン全体を守る「新・3-2-1ルール」

「指示9：ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策」では、自社だけでなく委託先を含めた対策が求められています。

しかし、中小企業を含むサプライチェーン全体に、高価な対策を強いるのは現実的ではありません。そこで注目したいのが、バックアップの基本である「3-2-1ルール（データ3つ、媒体2つ、場所1つ）」に「+1（不変性）」を加えた新基準です。安価なクラウドストレージを用いた不変性バックアップであれば、委託先企業でも導入しやすく、結果としてサプライチェーン全体のリスクを低減させることにつながります。

まとめ

サイバーセキュリティ経営ガイドライン 3.0は、インシデント発生を前提とした「復旧力」を強く求めています。CISO等の担当者は、「不変性バックアップ」という技術的解を提示することで、経営者の善管注意義務をサポートし、企業の事業継続性を担保することができます。Wasabiのような低コストかつ高機能なソリューションを活用し、論理的な防御壁を構築することは、ガイドライン準拠への近道となるでしょう。