従来のサイバーセキュリティは、主に防御へ重点を置いていました。一方、サイバーレジリエンスでは、攻撃を受けたあとの対応能力に大きな焦点を当てています。これは、完璧なセキュリティの実現は不可能であり、サイバー攻撃の被害が発生する可能性はなくせないという現実を受け止める考え方です。

サイバーレジリエンスが重要視される背景には、近年のサイバー攻撃の増加と高度化があります。攻撃手法は日々巧妙化し、どんなにサイバーセキュリティ対策を強化しても被害のリスクをゼロにはできません。

サイバーレジリエンスを高めることで、たとえ被害に遭っても早期に復旧し、事業の継続性を保つことが可能です。災害大国に暮らし、サイバー攻撃も激化する今、顧客の信頼やブランド価値を維持し、企業や組織を守るには不可欠な取り組みといえるでしょう。

NIST（米国立標準技術研究所）は2021年、サイバーレジリエンスのガイドラインである、NIST SP800-160 Vol.2「Developing Cyber-Resilient Systems」を発行しました。そこでは、サイバーレジリエンスの目的（Goal）として、以下の4つの要素が挙げられています。

• 予測（Anticipate）：将来の脅威やリスクを予測し準備する
• 耐久（Withstand）：攻撃や被災が発生しても影響を最小限に抑える
• 回復（Recover）：攻撃や被災の最中および事後に機能を素早く回復する
• 適応（Adapt）：技術や脅威の変化に応じて対応を改善していく

このように、サイバーレジリエンスでは攻撃を防ぐだけでなく、被害に遭うことを見越した事前の準備が求められます。

サイバーレジリエンスの4つの要素は、以下のような対策によって強化が可能です。

サイバー攻撃や自然災害は、いつ、どのような形で襲ってくるか分かりません。企業や組織には、被害を防ぐ防御の対策だけでなく、被害に遭うことを前提としたサイバーレジリエンスの強化が求められています。