チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「サイバー攻撃を完全に防ぐ、ってもう無理なのでしょうか?」
「攻撃されても会社を回し続けるって、どうやって設計すればいい?」
チップスボス!米CISAが新しい指針「CI Fortify」を出したって聞いたでしゅ。
「攻撃を防ぐ」じゃなくて「耐え抜く」って、ちょっと衝撃的でしゅ…
ボス2026年5月9日に公表された重要インフラ向けの指針だな。
「完全防御は不可能」という現実を出発点に据えた発想転換だ。
日本の政府・重要インフラ事業者にとっても、参考にすべき内容だぞ。
サイバー攻撃の質と量が急増する中、CISA(米サイバーセキュリティ・インフラ庁)は防御パラダイムの転換を打ち出しました。
本記事では「CI Fortify」の三段階フレームと、日本企業がいま参考にすべきポイントを解説します。
「攻撃前提」の発想は、重要インフラ以外の企業にも応用できます。
自社の事業継続性を見直すヒントとして読み解いていきましょう。
オススメ案件
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
CI Fortifyは「完全な防御は不可能」という前提から出発しています。
従来のサイバーセキュリティ施策は侵入を防ぐことを最優先にしてきましたが、攻撃の高度化と多様化により、防御線を100%維持することは現実的でなくなったという認識です。
CI Fortifyは準備・隔離・復旧の三段階で構成されます。
各段階で「サービス継続」をゴールに置き、攻撃発生時にも止まらないオペレーションを設計するのが狙いです。
| 段階 | 主な取り組み |
|---|---|
| 準備(Preparation) | インフラ機能・外部依存の棚卸し、重要サービスの優先度整理、BCP更新 |
| 隔離(Isolation) | ネットワーク遮断時の運用継続、ISP連携での代替機能確保 |
| 復旧(Recovery) | 段階的復旧手順、即時回復前提のバックアップ戦略 |
チップス「隔離」って攻撃検知後にネットを切るって意味でしゅか?
ボスそうだ。封じ込めのためにネットを遮断しても、サービスを完全停止しなくて済む設計が問われる。
オフライン運用や手動切替の準備が現実問題として求められるんだ。
CI Fortifyは米国の重要インフラ向けですが、その思想は日本の一般企業にも応用できます。
「攻撃された後も止まらない設計」は、サプライチェーン崩壊・ランサムウェア被害が頻発する現代では必須スキルです。
日本企業のBCP(事業継続計画)は地震・水害を想定したものが多く、サイバー攻撃シナリオに弱いのが現状です。
CISAは「BCPとサイバー対策を統合せよ」と明言しており、これは経産省・総務省の通達とも方向性が一致しています。
すぐに取り組めるのは、重要業務の棚卸し・隔離オペレーションの訓練・段階的復旧計画の策定の3つです。
まずは年1回でも「全社ネット遮断訓練」を実施することが、現実の備えになります。
チップスうちのBCP、地震しか書いてないでしゅ…サイバー攻撃の章ないでしゅ。
ボス多くの企業がそうだ。最低限「ランサム遭遇シナリオ」を1章追加するところから始めるといい。
CISAの三段階フレームは、ほぼそのまま下敷きに使えるぞ。
詳細はITmediaの解説記事を参照してください。
サイバー攻撃を100%防ぐ前提の防御計画は、もはや時代遅れです。
攻撃を受けた後も止まらないオペレーションを設計し、復旧プロセスを段階的に整理することが、これからの基本姿勢になります。
チップス「やられる前提」って怖いけど、現実的なんでしゅね…
ボス怖がるより準備する、これが結論だ。
BCPの中にサイバー章を作り、年1回演習を回す。それだけで会社は強くなる。
BCP統合やレジリエンス設計には、業務と技術の両方を理解する人材が必要です。
社内人材が不足する場合は、セキュリティフリーランスを期間限定で起用するのも有効です。
オススメ案件
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
