ランサムウェアはその典型例だ。
「ランサムウェア攻撃はかつてないほど頻繁になっており、さまざまな業界で大混乱を引き起こしている」とコンピュータセキュリティ製品を手がけるPanda Security(パンダセキュリティ)は指摘する。実際、消費者データのStatista(スタティスタ)によると、2022年上半期に世界中で合計2億3610万件のランサムウェア攻撃があった。
失敗例
米石油パイプライン大手Colonial Pipeline(コロニアルパイプライン)に対する2021年のランサムウェア攻撃や、9月の米ニューヨーク州サフォーク郡に対する攻撃は話題になったが、企業はどうも同様の攻撃に対する予防や対応で十分な備えができていないようだ。
サイバーリスク管理会社のAxio(アクシオ)が10月13日に発表した「2022年ランサムウェア対策状況報告書」で、調査対象の組織のうちランサムウェアに特化した戦略を持っているのははわずか30%にすぎないことが明らかになった。フィッシング攻撃のトレーニング面は改善されているが、それでもまだ40%の組織で実践されていないという。
サイバーセキュリティハイジーンの基本部分で苦労
Axioのシニアサイバーセキュリティアドバイザーで報告書の共同著者であるリチャード・カラリは「組織はサイバーセキュリティハイジーンとリスク管理の基本的なところで苦労し続けている」と電子メールで述べた。
「重要な脆弱性を24時間以内に修正することであれ、最高の操作権限を持つアカウントのセキュリティを継続的に確保することであれ、組織で行うのが最も簡単と思われる実践やコントロールは依然として組織が最も苦労しているところだ。1日以内にシステムにパッチを適用していると回答した企業はわずか24%にすぎず、これは現代企業のデジタル化が進んでいることを考えると恐ろしい数字だ」とカラリは述べた。
「あらゆる分野の企業のトップはランサムウェア攻撃の前に気づくべきだ。また、基本的なサイバーセキュリティの成熟度さえ証明できない組織が、サイバー保険で損失をカバーされることを期待するべきではない」と警告している。
ロールモデル
企業や組織はランサムウェアとの戦いにおいて積極的に取り組む模範として連邦政府を見習うべきかもしれない。
バイデン政権は10月10日の週に、ランサムウェアなど米国のサイバーセキュリティを強化するための行動についての詳細を記載した概要書を発表した。
イニシアティブを取る
概要書には「2021年に政権はランサムウェアの惨事に対処するために世界中のパートナーを集めて国際ランサムウェア対策イニシアチブ(CRI)を設立した」とある。
「この共同作業を加速させ、広げるためにホワイトハウスは10月31日から11月1日にかけて国際的なパートナーを迎えて会合を開く。このグループは、集団的なレジリエンスを高め、民間企業を巻き込み、犯罪行為者とそのインフラを摘発してきた」