インシデント発生時に多くのチームが気づくエンドポイント復旧のギャップ

Help Net Securityによる今回のインタビューでは、IGELのCTOであるMatthias Haas氏が、バックアップだけでは復旧とは言えない理由を解説します。氏は、エンドポイント復旧が見過ごされがちであり、その結果、数千台ものデバイスが一斉にダウンした際に組織が無防備な状態に陥ると指摘します。

Haas氏は、しっかりと計画された復旧とはどのようなものか、ボトルネックがどこに現れるのか、そしてブロックした脅威の数を数えることよりも信頼できるユーザーアクセスを回復することの方がなぜ重要なのかを詳しく説明します。さらに、インシデントが実際に発生してその価値が証明される前に、セキュリティ責任者がCFOを説得して復旧能力への投資を確保する方法についても語っています。

Image

これまで見てきた中で、最も高くついた「復旧に関する思い込み」とは何ですか。またそれによって企業がどのような後悔をすることになりましたか

最も高くつく思い込みは、バックアップさえあれば復旧できるという考え方です。

バックアップは不可欠です。データやアプリケーション、システムの復旧に役立ちますし、バックアップがなければ復旧作業自体が始まらないこともあります。しかし、バックアップだけではユーザーアクセスや臨床ワークフロー、支店の業務、コールセンター、そして人々が働く上で頼りにしているエンドポイド環境が自動的に元に戻るわけではありません。

「データやアプリケーションを取り戻せるか」という問いと、「ユーザーが迅速かつ安全に、信頼できる形でそれらへアクセスを取り戻せるか」という問いの両方が重要です。

多くの組織は、インフラの復旧については計画していても、エンドポイントの復旧については計画していなかったことに、インシデントが発生して初めて気づきます。そこにこそ本当のコストが表れます。デバイスの再イメージング、ハードウェアの交換、信頼性の検証、ユーザーとの調整、そして誰を最初にオンラインへ復帰させるかの判断です。

優れた復旧アーキテクチャは、この両面を考慮したものです。すなわち、システムそのものを復旧させることと、そのシステムへの信頼できるアクセスを復旧させることです。

復旧アーキテクチャはCISOが持つレバレッジの中で最も活用されていないものの一つだと主張されていますね。多くのセキュリティ予算は依然として防御と検知に注ぎ込まれています。レバレッジが復旧側にあると確信するに至った経緯を教えてください

防御と検知は不可欠ですが、それらは混乱発生後にビジネスがどれだけ停止し続けるかを左右するものではありません。

復旧こそ、サイバーセキュリティが実際の業務運営と結びつく場面です。エンドポイントの状態、ID管理、ポリシー、アプリケーション、事業継続性が交差する地点だからです。すべてのエンドポイントを再構築しなければ人々が仕事を再開できないとすれば、その組織は摩擦を前提に復旧を設計してしまっていることになります。

レバレッジは、完全な再構築が終わる前に信頼できるアクセスを復旧させる点にあります。それによって、議論の焦点が「検知にかかる時間」や「修復にかかる時間」から、「重要な業務を安全に再開できるまでの時間」へと変わります。

不変(イミュータブル)なオペレーティングシステムと信頼できるエンドポイント基盤によってエンドポイントのリスクを低減することで、復旧アーキテクチャにより強固な出発点を与えることができます。

1万台のノートPCが一斉に起動不能になった場合、うまく設計されたエンドポイント復旧はどのような流れになるのか教えてください。ボトルネックは通常どこに現れ、それは技術的な問題なのか、それとも人的な問題なのでしょうか

最初によくある誤りは、これを「1万件の修理チケット」として扱ってしまうことです。

この規模になると、復旧はエンドポイント群全体を管理された復旧対象領域として扱う必要があります。うまく設計されたモデルでは、障害の発生したローカル環境に依存することなく、重要なSaaSやVDI、DaaS、ブラウザベースのリソース、クラウドデスクトップリソースへ、ユーザーが信頼できる代替経路でアクセスできるようにします。

このモデルが機能するのは、組織がデュアルブートやUSBブートといった計画済みの復旧オプションを通じて、デバイスを信頼できる代替オペレーティングシステムで起動できる場合です。これにより、主環境が調査・修復されている間もアクセスを維持できます。

ボトルネックは通常、技術面と人的面の両方に現れます。技術面では、多くの組織が事前に信頼できる復旧経路を用意していないことが原因です。人的面では、サービスデスク、セキュリティ、インフラ、法務、広報、事業部門のチームが一斉にトリアージに入ることが原因です。

この規模になると、復旧が個人の奮闘に依存している場合は失敗します。目指すべきは、その奮闘をアーキテクチャで置き換えることです。

もしCISOダッシュボード上の指標を一つ入れ替えられるとしたら、過大評価されているセキュリティ指標はどれで、その隣に据えるべき復旧指標は何でしょうか

脅威ブロック関連の指標を無くすつもりはありませんが、「ブロックした脅威の数」をレジリエンスの代替指標として扱うのはやめるべきだと思います。

その指標自体は有用ですが、不完全です。管理策が機能していることは示してくれますが、管理策が破られたり、システムに障害が発生したり、エンドポイントが信頼できなくなったりした場合に、ビジネスが稼働を継続できるかどうかまでは教えてくれません。

私が追加したい復旧指標は、「信頼できるユーザーアクセスまでの時間」です。

単にサーバーを復旧させるまでの時間ではありません。インシデントをクローズするまでの時間でもありません。定義されたユーザーグループが、適切なアプリケーションと管理策を備えた信頼できる作業環境に戻るまでにどれくらいかかるか、という指標です。

この指標こそ、経営層が気にかけている事業継続性に関する問い、すなわち「重要な業務をいつ安全に再開できるのか」に答えるものです。

ダウンタイムのコストは口で語るのは簡単でも、正確に見積もるのは難しいものです。インシデントが発生してその価値が証明される前に、CFOに復旧能力への投資を納得させるにはどうすればよいのでしょうか

恐怖を煽って売り込むのはやめて、依存関係をモデル化することから始めるべきです。

CFOが理解する必要があるのは、どのワークフローがエンドポイントへのアクセスに依存しているか、何人のユーザーが影響を受けるか、1時間あたりの業務停止コストがどの程度か、どのチームを最初に復帰させる必要があるか、そして手動での復旧に現実的にどれくらいの時間がかかるか、といった点です。

そうすることで、復旧は「保険」に関する議論から「業務レジリエンス」に関する議論へと変わります。

ビジネスケースとして訴えるべきは、「インシデントが起きるかもしれない」ということではありません。「これらのワークフローはエンドポイントの利用不能に耐えられず、しかも現状では、最悪のタイミングで手作業による復旧に頼らざるを得ない」ということです。

復旧能力は、こうした文脈の中で位置づけるべきです。信頼できるアクセスまでの時間を短縮すること、交換用ハードウェアへの依存を減らすこと、フォレンジック調査の選択肢を残しておくこと、そして修復作業が続く間も重要なユーザーの生産性を維持すること。これは恐怖に基づく支出ではありません。測定可能なレジリエンスへの投資なのです。

翻訳元: https://www.helpnetsecurity.com/2026/07/02/matthias-haas-igel-endpoint-recovery-gap/

ソース: helpnetsecurity.com