ジム・リッチバーグ氏はフォーティネットのサイバーポリシー責任者兼グローバルフィールドCISO、およびフォーティネット・フェデラルの取締役会メンバーである。
サイバー抑止力は最近注目を集めているトピックだ。6月、NATO加盟国の首脳陣は2035年までに国内総生産の5%をサイバーを含む防衛・抑止力能力に支出するという目標に合意した。7月には、米上院軍事委員会が「2026年度国防権限法案」に、「米国の重要インフラを標的としたサイバー攻撃に対し、軍事作戦の全範囲を用いて信頼性の高い抑止力を再構築するための戦略」を国防総省に策定するよう求める文言を追加した。
これらの取り組みは、抑止力の「筋肉質な」側面—罰則の脅威による抑止—に焦点を当てている。これは「最良の防御は良い攻撃である」という概念の応用だ。サイバーの観点では、この役割は通常政府が担い、国家を抑止するための信頼性の高い攻撃的サイバーツールの創出・維持、そして犯罪者を抑止—それが失敗した場合は捕まえる—ための強固な法執行能力の構築が含まれる。
しかし、抑止力にはもう一つの見過ごされがちな側面がある—それは利益の否定による抑止だ。これは攻撃が成功しないか、あるいはコストが期待される利益を上回るために、敵が行動しないことを選択させることに依存している。サイバーセキュリティにおいて、これは通常レジリエンスを高めるための対策を通じて実行される。民間セクターはこの側面の抑止力において積極的な役割を果たすことができ、また果たすべきである。
サイバー攻撃者のように考えることでサイバーレジリエンスを向上させる方法
民間セクターの多くは、自社や顧客が何千マイルも離れた地政学的危機の標的になる可能性があるとは考えていないが、複数の国家主体が米国やその他の地域の重要インフラセクターにおける幅広いネットワークを標的にし、侵入している。これらの国の一部は、紛争の前段階で非軍事的標的に対して破壊的あるいは破滅的なサイバー攻撃を仕掛けることを含む戦略的ドクトリンを持っている。
攻撃者の視点から見ると、これは二つの目的を達成する。そのようなサイバー攻撃を経験している国は、必要不可欠なサービスの復旧と国内での人命救助に追われることになる。たとえその指導者たちが依然として軍事力を海外に展開したいと考えていても、これらのサイバー攻撃によって達成された重要な物流、輸送、通信インフラの麻痺によって、その能力は制限されることになる。
民間セクターの一部は、国家の高度な持続的脅威(APT)のリソースと専門知識に対して自組織を成功裏に防衛することはできないという合理的な主張をしている。しかし、国家が特定の企業を標的にするケースもある一方で、彼らの標的選定の多くは機会主義的であり、パッチが適用されていない脆弱な標的を探して選択することに基づいている。
多くの場合、これらの脅威アクターは特定の組織を標的にするというよりも、コスト効率の良い侵入を達成し、セクターや重要なサービスの機能を混乱させる可能性を開発することを目指している。これらの脅威アクターは一般的な脆弱性や基本的なサイバー衛生の欠陥をスキャンする。サイバーレジリエンス構築における適切な対策を講じることで、企業は準備不足の組織と比較して、攻撃対象として選ばれにくくなる可能性がある。
利益の否定による抑止には、攻撃者のコスト便益分析が含まれる。民間セクターの基準から見れば彼らの範囲は大きく見えるかもしれないが、国家のサイバープログラムもリソースの制限に直面している。多くの場合、彼らはコストを抑え、技術的・運用的な露出を制限しようとする。なぜなら、より注意深くサイバー準備が整った標的は、彼らを検出し活動を暴露する可能性が高いからだ。
レジリエンス構築の利点
サイバーセキュリティにおいて、チェーンは最も弱いリンクと同じ強さしかないとよく言われる。重要インフラのネットワーク強化や、個々のユーザーのサイバーセキュリティ向上への投資は、個別の組織内と同様に、セクターや国家内のレジリエンスに貢献する。
サイバーレジリエンスは企業ネットワークのセキュリティだけではない。エンドユーザーのセキュリティを向上させるためのトレーニングやツールの提供から、標的になる可能性の高いセクター全体でサイバーセキュリティをより普及させ効果的にするための業界全体の戦略的取り組みまで、幅広い活動が含まれる。
企業のレジリエンス構築は、コスト削減からより高い運用効率まで、非サイバー面での配当をもたらす可能性がある—例えば、単一のソリューションに冗長性を構築するのではなく、ネットワーキングやコミュニケーションのための複数のソフトウェア定義パスを持つことなどだ。サイバーレジリエンスの構築は、国家にとっても、重要インフラセクターにとっても、そして収益に焦点を当てる個々の企業にとっても理にかなっている。
フォーブス・テクノロジー・カウンシルは、一流のCIO、CTO、テクノロジーエグゼクティブのための招待制コミュニティです。私は参加資格がありますか?
