企業側の防御策
ランサムウェア被害を受けないようにする、あるいは受けた場合にもその影響を最小限に抑え込むためには、サイバーセキュリティの取り組みを組織全体、およびサプライチェーンを含めて根付かせることであることは言うまでもない。
ランサムウェア犯罪などの被害は「犯罪事件」であって、単なるITインシデントではない。この点をよく踏まえたセキュリティ戦略、セキュリティ対策を講じる必要がある。
以下に、様々なセキュリティの取り組みの中でも特に留意すべき点を挙げる。
不正アクセスを許す侵入ポイントを「作らせない」
まずは上述した「アクセス・ブローカー」たちによる不正アクセスを防ぐことがまず第一歩となる。このためには、適切な脆弱性に対する対応(パッチマネジメントやアプリケーション管理)や、フィッシングメールなどへの対策といった基本的な取り組みを確実に行うことである。
定期的にリスクアセスメントを実施する
実際に被害を受けた場合、その影響の程度に応じて対応を決める必要もあるため、自社の情報資産、情報システム、業務用システムなどをきちんと特定し、リスクアセスメントを定期的に実施することも忘れてはならない。ランサムウェアは情報のCIA(機密性・完全性・可用性)の全てを阻害するリスクがあるため、情報資産やシステム毎に影響度を把握しておく必要があるのだ。
復旧計画を策定、実施訓練を行う
特にサイバー空間への依存度の高い業務領域においては、影響分析結果に紐づいた復旧計画を策定しておくことも忘れてはならない。前述のサンフランシスコ交通局のケースでは、まさにBCP(事業継続計画)やDRP(災害復旧計画)の策定と訓練の有効性が端的に示されている。特に訓練は重要で、頻繁には起きない状況で正しく行動するために必須である。訓練によって机上計画の不具合や改善点なども明らかにできるようになる。
法執行機関との連携を「あらかじめ」構築する
また、法執行機関との連携の構築も忘れてはならない。ランサムウェアを用いる攻撃は、金銭の不当な請求(恐喝行為)であり、犯罪行為である。正しく事件解決を図るためには法執行機関との連携が不可欠だが、事件があった際、その都度、通報すべきか否かの判断や、通報する場合、どの窓口に、どのような情報を伝える必要があるかを検討していては、対応が遅れ気味になってしまうのだ。
アウトソースできない「指揮官」を社内育成する
最後に強調したいのは、調査能力の向上である。事件発生の初期では得られる情報も少なく、経営層が正しい判断をするために必要な材料を収集・鑑識し、またそうした活動を緊急時に適切に指揮できる人材も必要である。指揮官の力量が初動捜査の成功と失敗を左右する可能性があることは、一般の犯罪捜査と同じである。
証拠の保全を含めたデジタルフォレンジックの能力も必要になる。これらは専門家に委託しても良いが、大切なことは、「対処方針を見出すためにどのように調査を組み立てるか」を指揮する指揮官の存在である。指揮官は自社内の業務について熟知している必要があり、外部委託は困難なため、社内で人材育成をしなければならない。
ここまでご紹介してきたように、サイバー犯罪被害は、単に技術的な問題とは異なることを十分に意識した体制を組んでおかないと、防御側は後手に回わることになったり、対応を誤ってしまうことになる。そうならないためにも自社が抱えるリスクの大きさをできるだけ早期に的確に把握し、リスクへの対応を適時行うといったことの繰り返しは、非常に重要である。
