サイバーレジリエンスの再考
ビジネス運営を妨害するサイバー脅威に対処する
サイバー攻撃の頻度と巧妙さが増す中、サイバーレジリエンスとは何かを再考する時が来ています。バックアップデータセンター、高可用性クラスター、複数の環境をつなぎ合わせたり、ベストオブブリードのツールを使うなど、冗長性と同等になることが少なくありません。こうした対策は個々のリスクに対応する一方で、現実世界の圧力に耐えられないような断片化されたアーキテクチャや運用のサイロを生み出すことがよくあります。
従来型のバックア�ップや災害復旧ツールは依然として必要ですが、これらは方程式の一部に過ぎません。真のレジリエンスはアップタイムを超えるものです。つまり、混乱の中でも信頼性、継続性、システムの安定性を維持することを指します。病院にとっては、ランサムウェア攻撃中も患者記録や重要な医療システムへのアクセスを維持することを意味します。物流会社にとっては、ネットワークが停止している間もサプライチェーンの可視化を維持することです。メディア企業にとっては、嵐のように分散型サービス拒否攻撃(DDoS)が集中する中、生放送業務を維持することになります。
リーダーは、テクノロジーベースの冗長性から成果ベースの継続性へと移行し、最も重要なサービスが最も重要な時に運用可能であるようにする必要があります。
私は最近、キンドリルのアライアンス担当バイスプレジデントであるJeff Gatz氏と、レジリエンスを再考する方法について話しました。2025年Cloudflareシグナルレポートで強調された主要なセキュリティ脅威とレジリエンスの課題のいくつかに触れ、今日の複雑なサイバーセキュリティ環境においてよりレジリエントな組織を構築するための重要な要素について議論しました。
より大規模で高度なDDoS攻撃�に直面している
DDoS攻撃は、サイバーレジリエンスに対する最も顕著な脅威の1つです。DDos攻撃は、サイバー犯罪者やハクティビストだけでなく、国家が高度なツールまで使用することになりました。攻撃者は、業務を混乱させ、コンプライアンスの問題を引き起こし、評判を損なうことを目的としています。
これらの攻撃の数は年々大幅に増加しています。報道によると、Cloudflareは2024年に2,090万件のDDoS攻撃をブロックし、2025年第1四半期だけで2,050万件のDDoS攻撃をブロックしました。これは前年比で358%増、前四半期比で198%増という数字です。
新たなテクノロジーにより、サイバー犯罪者はDDoS攻撃の規模を高めることができます。攻撃者は、ボットネット、IoTデバイス、AI駆動型の自動化を使用し、重要なデジタルサービスに対して大規模かつ持続的で影響の大きい攻撃を仕掛けています。2024年10月、Cloudflareは5.6テラビット/秒(Tbps)のDDoS攻撃を検出し、阻止しました。当時、これは報告された中で史上最大の攻撃でした。
AIの両刃の剣に立ち向かう
議論の中でJeff Gatz氏が言及したように、業界のリーダーたちはしばしばAIを両刃の剣であると認識しています。「AIは武器になるだけでなく、世界で起きていることに対する防衛策にもなります」(Gatz氏)
エージェンティックAIの台頭は、AIが良い面と悪い面の両方にどのように使用されているかを示しています。たとえば、企業はAIエージェントを導入して幅広いプロセスを自動化し、ワークフローの速度と効率性を向上させることに躍起になっています。しかし、サイバー犯罪者は、AIエージェントやその他のAIアプリで使用されるモデル、データ、サードパーティツールを攻撃しています。同時に、これらの犯罪者は、攻撃の規模と有効性を高めるためにAIツールをますます増えています。
そうした脅威に対抗するため、企業はサイバー防御の一環としてAIを使っていることもあります。機械学習モデルを使い、AIエージェントをデプロイすることで、意思決定を強化し、異常をすばやく検出し、攻撃パターンを予測して、対応を大規模に自動化しています。この変化により、セキュリティチームは「事後対応の火消し」から、継続的な適応型の防御へと移行することができます。
ここに、サイバーレジリエンスの最大の向上が見られるのは、侵害を防ぐだけでなく、インシデント発生時に重要な業務を維持する点です。AI駆動型のシステムは、リソースの優先順位を動的に示し、脅威を分離し、リスクが最も高い時に継続性を維持することで、攻撃を受けても重要なサービスの可用性を確保します。
「AIは武器になるだけでなく、世界で起きていることに対する防衛策にもなります」
— Jeff Gatz氏、グローバル戦略アライアンス、キンドリル
サードパーティリスクの増大
サードパーティのリスクに対して脆弱なシステムは、AIエージェントとAI搭載アプリケーションだけではありません。実際、サードパーティの要素を使用するアプリケーションやサービスは、運用を大きく混乱させる攻撃を受ける可能性があります。
世界経済フォーラムの調査で、大企業の54%が「サードパーティによるリスク管理」をサイバーレジリエンスにおける最重要課題と捉えています。また、ソフトウェアサプライチェーン、クラウドプラットフォーム、サードパーティ統合への攻撃が増加しています。Verizon 2025データ漏洩調査報告書によると、サードパーティが関与する侵害の割合は、前年の15%から2024年10月31日の年度末までに30%に倍増しました。
特に問題なのは、比較的少数の大規模クラウドプロバイダーへの依存度が高まっていることです。1つのクラウドプロバイダーからの1つの脆弱性に対する1つの攻撃が、複数の業界に広範な影響を引き起こす可能性があり、結果として数十億ドルの損失が発生する可能性があります。
一方、クライアント側の攻撃も増え続けています。多くの開発者は、アプリ開発を効率化するためにサードパーティ製スクリプトを使用しています。サードパーティ製アプリは、ホストのWebサーバーではなく、エンドユーザーのマシン上のWebブラウザでスクリプトを実行します。その結果、エンドユーザーはスクリプトに対する攻撃に脆弱になります。したがって、たとえば、攻撃者は、個人のブラウザ上で実行されているクライアント側のスクリプトを侵入することで、個人が保存したクレジットカード情報にアクセスすることができる可能性があります。
平均的な企業では、分析、広�告、チャットボットなどの機能のために、少なくとも20個のサードパーティスクリプトを使用しています。中には、数十万に達している企業もあります。これらのスクリプトはそれぞれ、攻撃者の侵入口になる可能性があります。
サイバーセキュリティ規制の普及
これらの脅威やその他の脅威への対処は、今や必須です。世界中で、新たな規制により、企業はサイバーセキュリティ体制を強化し、直面するインシデントの透明性を高めるよう迫られています。中でも、米国、欧州連合、オーストラリアから最も厳しい規制が発生しています。
米国:米国証券取引委員会(SEC)は、上場企業に対し、重大なサイバーセキュリティインシデントの開示とリスク管理戦略の詳細な説明を義務付けています。
欧州連合:EUのデジタル運用耐障害性法(DORA)は、金融セクター向けの厳格なサイバーセキュリティ基準を定めています。一方、EUの一般データ保護規則(GDPR)は、この規制を遵守しなかった場合、�全世界売上高の最大4%の罰金を科します。
オーストラリア:オーストラリアのAPRA CPS 234では、金融機関に堅牢な情報セキュリティ対策を維持することを義務付けています。
セキュリティとコンプライアンスの課題に同時に対処できる組織は、戦略的優位性を得ることができます。規制市場への参入を加速し、顧客の信頼を高め、財務的および評判的なリスクを最小限に抑えることができます。
サイバーレジリエンス戦略の再構築
現在のサイバーセキュリティの複雑な状況を考慮し、再考されたレジリエンス戦略をどのように開始しますか?
Jeff Gatz氏は、キンドリルで彼のチームが企業のレジリエンスを再考するために使用している「最小実行可能な企業」コンセプトを紹介しました。「壊滅的な出来事を経験した場合、たとえそれがマルウェア攻撃や国家による混乱であっても、迅速に実行可能な最小限のアプリケーション、サービス、機能、データに戻る必要があります」とGatz氏は言います。「これらは、インシデント発生後数時間以内に業務を継続するために必要な絶対的に重要な要素です」
したがって、攻撃後のレジリエンシー計画を作成するための最初のステップは、どの要素が実際に不可欠であるかを特定することです。次に、チームは現実的な復旧時間を設定し、攻撃から復旧するために必要なプロセスとインフラストラクチャの構築を開始します。
もちろん、セキュリティチームとITチームは、まず業務を混乱させる脅威の対処に取り組む必要があります。以下に示す6つの目標を最優先事項とすべきです。
大規模なDDoS攻撃を吸収しつつ、稼働率を維持する方法を見つける。現在の攻撃者は大規模なDDoS攻撃を仕掛けてきます。最大規模の攻撃であっても、オペレーションを停止させることなく軽減できる能力が必要です。多くの場合、DDoS攻撃に対する十分な軽減能力を得るには、クラウドベースのDDoS攻撃対策サービスの導入が必要になります。クラウドプロバイダーは、地理的に分散した冗長インフラストラクチャとコンプライアンスを意識したフェイルオーバー計画を実施し、定期的に復旧手順をテストして、稼働時間と規制との整合性の両方を確認できます。
サードパーティの重要な依存関係をリアルタイムで可視化する。サプライチェーンの脆弱性は、今や、セキュリティ侵害の最も一般的な原因の1つになっています。組織は、オンボーディング時だけでなく、重要なベンダーや外部サービスを継続的に監視する必要があります。契約上のセキュリティ義務を強制し、サードパーティのインサイトをより広範なガバナンスプロセスに統合することは、体系的リスクを軽減するために不可欠です。
グローバル規制に対応するために、コンプライアンスを自動化する。手作業によるコンプライアンスプロセスは、グローバルな規制のペースに対応して拡張することができません。監査、リアルタイムモニタリング、法域を考慮したデータルーティングなどの主要なワークフローを自動化することで、運用負担を軽減しつつ、継続的な整合性を確保できます。その結果、レジリエンスが向上し、監査や評価の際に想定外の事態が発生する数が少なくなります。
セキュリティとコンプライアンスの機能を統合する。Jeff Gatz氏が述べたように、「コンプライアンスはセキュリティアーキテクチャに組み込まれるべき」と言えます。統合プラットフォームは、組織が脅威検出を規制報告と整合させ、監査を効率化し、可視性を向上させることで、コストとリスクの両方を削減するのに役立ちます。セキュリティとコンプライアンスを個別に�サイロ化する必要はありません。統合されると、それらの要素の合計以上の機能を提供します。
セキュリティの文化を育む。ヒューマンレイヤーは、特にフィッシングやソーシャルエンジニアリングインシデントで、最も悪用される攻撃ベクトルです。AIと機械学習により予測防御能力が進歩しているとはいえ、企業はそれでも、一貫性があり影響力が大きいユーザートレーニングに投資する必要があります。従業員が脅威をエスカレートする前に発見し、回避し、報告できるようにします。
完全なレジリエンスポスチャをテストする。備えることは、技術的なコントロールを整備するだけではありません。運用、技術、規制上の要件に対応するレジリエンスプレイブックを作成し、定期的にテストします。障害をシミュレートすることで、チームは攻撃を検出し、迅速に回復し、プレッシャーの中で報告義務を果たせるようにします。
複雑性に対抗してサイバーレジリエンスを強化する
現在のサイバーセキュリティの脅威により、一部の組織では防御の強化と耐障害性の強化のために、複数のソリューションを採用する要因となっています。しかし、その結果、ツール��がバラバラに存在し、管理の複雑さを生み出し、なおかつギャップを残すことになります。
Jeff Gatz氏が述べたように、統合が重要です。「信頼できるテクノロジーパートナーは誰で、彼らのエコシステムをどのように最大限に活用するか?」特に、セキュリティとネットワーク機能は統合の有力な候補です。「2つのバケットに分けるのはやめましょう」とGatz氏は言います。統合は、セキュリティを強化し、ギャップを埋め、管理を合理化し、コストを削減するのに役立ちます。
これには同意できませんでした。Cloudflareのコネクティビティクラウドは、クラウドネイティブなサービスのインテリジェントな統合プラットフォームを通じて、企業の接続、保護、構築を可能にします。当社は、業務を混乱させる可能性のある幅広いセキュリティ脅威に対処し、極めて複雑な企業環境においてもセキュリティ管理の合理化を支援します。このような基盤を整備することで、組織は耐障害性が高く、将来に備えた戦略を構築するにあたって有利な立場を確立できます。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
このトピックを深く掘りさげてみましょう。
レジリエンス戦略を回復し、現在のセキュリティ状況を形作る要因についてのさらなるインサイトを明らかにする方法についての詳細は、『2025年Cloudflareシグナルレポート:大規模に対応するレジリエンス』をご覧ください。
著者
Khalid Kark — @khalidkark
Cloudflare南北アメリカ担当フィールドCIO
記事の要点
この記事では、以下のことがわかるようになります。
業務遂行を妨げる3大サイバーセキュリティ脅威
レジリエンス計画を複雑にする規制変更
脅威に対処し、業務の混乱を防ぐための6つの優先事項