午前3時。ランサムウェアがMicrosoft 365テナント内で拡散しています。被害を食い止めるためにシステム環境を隔離したので、突然1万人の従業員が仕事する場所を失ってしまいました。
CEOが尋ねます。「オンラインに戻るまで、あとどのくらいかかるのか?」と。
ここで自信を持って即座に答えられないのであれば、それはサイバーレジリエンスに問題があるということです。
ほとんどの組織がその答えを持っていない理由は、技術的なギャップではなく、タイミングのギャップにあります。攻撃が進行している最中に、復旧計画を練り始めても手遅れです。
Rubrik Cyber Resilience Summitの参加者が学んだように、今すぐ計画を立て始める必要があります。
従来の戦略は通用しなくなった
長年にわたり、セキュリティ戦略は攻撃者を排除することを中心に構築されてきました。検出、防止、境界防御。しかし、数学的に見ても常に厳しい現実があります。攻撃側は一度だけ成功すればよいですが、防御側は毎回必ず正しい答えを用意しなくてはなりません。
2026年には、この計算はさらに困難になるでしょう。Unit 42の業界調査によると、攻撃可能な期間は32日から5日に短縮しています。CrowdStrikeは最近、攻撃者がシステムを突破するのにかかる時間が分単位で計測されるようになり、2025年には平均わずか29分だったと報告しています。おそらく最も憂慮すべきはRubrik Zero Labsの調査で、攻撃者の74%は、被害者が攻撃を受けていることに気づく前にバックアップデータを侵害しており、企業が事業を守るために頼りにしている技術そのものを無力化していることが判明したことです。
防止対策は依然として重要ですが、もはやそれだけが戦略のすべてではありません。あらゆる組織が答えを出さなければならない問いは、攻撃者が侵入してきた場合(そして侵入は必ず起こります)、重要な情報を必要なタイミングで復旧できるか、ということです。
サイバーレジリエンスとは、何が最初に復旧するかを知ることである
Rubrikは、2026年3月に開催したRubrik Cyber Resilience Summitで、実際に何が復旧に必要なのかを再定義する概念、すなわち「最小限の事業継続機能(MVB)」について議論しました。
MVBとは、組織が危機的状況下でも機能し続けるために復旧させなければならない、人材、データ、アプリケーション、そしてアイデンティティの重要な組み合わせを意味します。これには、経営幹部、法務部門、財務部門、彼らが依存するアプリケーション、そしてそれらにアクセスするためのログインを可能にするアイデンティティシステムなどが含まれます。
MVBの構築は、まずシンプルな問いに答えることから始まります。あなたの会社が存続するために、オンラインで業務を行う必要がある50人の名前を挙げられますか?
攻撃が始まる前にその質問に答えられないなら、攻撃の最中に先ほどのCEOの質問に答えることなどできません。そして、組織が復旧できるか、身代金を支払うことになるかを分けるのは、バックアップの速度でもストレージ容量でもなく、まさにその時間差なのです。
復旧には2つの要素が必須である
多くの復旧計画が見落としている点は、データとアイデンティティを正しい順序で同時に復元しなければならないということです。
アイデンティティ情報なしでデータを復元すると、従業員はシステムにアクセスできなくなります。破損したデータでアイデンティティを復元しても、アクセスできるものは何もありません。両方を戻す必要があり、その順序は事前に計画しておく必要があります。
だからこそ、Rubrikは攻撃が発生する前に以下の4つの問いに答えることを軸に、プラットフォーム全体を構築したのです。
攻撃の範囲はどのくらいか?
クリーンな復旧ポイントはどこにあるか?
どのような機密データが漏洩したのか?
復旧後、攻撃者は再びアクセスできるようになるか?
従来のツールでは、復旧が開始されるまで、これらの質問に答えることはできません。Rubrikは、信頼境界の外側で、本番環境から切り離された書き換え不可のバックアップに対して継続的な脅威検出を実行することで、お客様が必要とする前にその答えを用意しておくことができます。
実践における「事前」対策とは
RubrikはCyber Resilience Summitで、主要な製品発表すべてにおいてこの原則を実証しました。
M365の自律的なビジネス復旧では、攻撃が発生してから復旧すべき対象を判断することはありません。重要なユーザー、その依存関係、および復旧手順を事前にマッピングします。つまり、攻撃を受けた時にMVBを起動すれば、数週間ではなく、数時間でオンラインに戻ることができるのです。
Okta Recoveryは、ユーザー、グループ、アプリケーション、およびポリシー間の関係を事前にマッピングするため、アイデンティティ情報はばらばらなオブジェクトの寄せ集めではなく、正しい順序で復元されます。
RubrikとCrowdStrikeの統合により、被害が完全に把握される前に、検出から復旧までの一連のプロセスが完結します。脅威アラートとアイデンティティの変更を自動的に関連付け、影響範囲をリアルタイムで特定します。
いずれの場合も共通しているのは、危機が発生する前に対策を講じることで、危機が大惨事に発展するのを防ぐという点です。
結論
サイバーレジリエンスとは、単にバックアップを用意することではありません。重要なのは、問題が発生する前に、何をどの順序で復旧させる必要があるのか、そしてどれだけの速さで実行できるのかを正確に把握しておくことです。
サイバー攻撃から復旧できる組織は、ストレージ容量が最も大きい組織ではありません。攻撃によって事業が混乱した際に、「オンラインに戻るまで、あとどのくらいかかるのか?」という
CEOの最も重要な問いに答えられる組織こそが、復旧できる組織なのです。
その答えは、午前3時に電話がかかってくる前に用意されていなければなりません。
6月8日から11日までラスベガスで開催される「Rubrik FORWARD」にぜひご参加ください。世界をリードする組織が、その問いに自信を持って答えられるようなレジリエンスをどのように構築しているのかをご覧いただけます。
参加される場合は、forward.rubrik.comで登録してください。