全4534文字
PR
『ランサムウエアから会社を守る 身代金支払いの是非から事前の防御計画まで』
『ランサムウエアから会社を守る 身代金支払いの是非から事前の防御計画まで』

 ランサムウエアの被害の広がりはとどまるところを知らない。最近では大阪の災害拠点病院が被害を受け、救急患者の受け入れを停止するなど、一般にも影響が及ぶ事態に陥った。ランサムウエア対策や被害対応で豊富な経験を持つラック サイバー救急センターのメンバーが執筆した『ランサムウエアから会社を守る 身代金支払いの是非から事前の防御計画まで』(日経BP)から、ランサムウエアの実態と対策の考え方を連載で解説していく。今回はランサムウエアの被害に遭ったときに、組織としてどのような対応が必要になるかを説明する。

対応手腕が企業の信頼に直結する

 組織がランサムウエアの被害に遭ったら、どのように対応したらいいでしょうか。

 まず理解していただきたいのは、これが「非常事態」だということです。平時の組織の活動とは全く異なる対応を求められます。このような非常時の対応を、ITセキュリティーの用語で「インシデント対応」と言います。多くの方は、このような状況を経験したことはないのではないかと思います。インシデント対応の経験がない中でどのように被害状況を把握し、被害から回復していくかを決定していく。重要で難しいかじ取りが必要になります。

 このような非常事態で組織運営の手腕を問われるのは「対応方針の明確化」と「責任の分離と明確化」を実行できるかどうかです。初めての状況で右往左往してしまいそうになるところですが、この2点を明確にしていくことで、危機からの脱出が可能になります。

対応方針の明確化

 インシデント対応では、平時とは組織が目指すゴールが変わります。そのため、何を目標として行動するかといった対応方針を明確にすることが重要です。組織の対応方針には次のようなものがあります。

  • 犯人への身代金は支払わずにシステムを再構築し復旧を行う
  • システム復旧を最優先するシステムを決定する
  • システムが復旧するまでの間は、長時間停電を想定したBCP対策を応用し、システムを利用しない手作業による業務で対応する
  • 手作業による業務継続は△△部門の範囲とし、他の部門の者は△△部門の応援に当たる

 このように指針を決めた後、その実行体制を築くことになります。

 インシデント対応に必要なスキルを持ったメンバーを、部署を横断して招集するなど、平時の組織体系とは異なるメンバー構成で対応することになるでしょう。

 指揮命令系統を明確にすることも重要です。フラットな組織では、お互いに空気を読みながら各部門による判断で対応が進んでいくことがあります。非常時においても同様の体制だと、責任範囲が曖昧なまま各部門の判断で対応していくことになり、部門間で認識がずれる恐れが出てきます。認識のずれによって、実行した作業が無駄になり、やり直しになるケースも出てきます。このようなことを繰り返すうちに、対応がどんどん遅れていってしまいます。

 サイバー攻撃に対してどのように対応したらいいか分からないという組織もあるでしょう。そのような場合は、サイバー攻撃被害ではなく、大規模災害などで停電が発生してIT機器が使えなくなった場合を想定しましょう。その想定で初動対応を考え、災害想定の事業継続計画書に沿って対応します。

 それに加えて、停電時と異なる対応として、組織内で被害拡大が起こらないような対策が必要です。例えばランサムウエア被害に遭ったコンピューターの電源を落とすなどの措置を取ります。

 対応方針を決めるポイントは、身代金を支払うのか・支払わないのか、復旧を優先する業務範囲はどこか、手作業による業務継続は可能かといった点になるでしょう。方針決定にあたっては、被害状況や関係会社・取引先などサプライチェーンへの影響度、緊急性、社会的使命、攻撃者の反社会性などを総合的に考慮します。そして最終的には、組織長が決断することとなります。

 対応方針の検討と並行して、攻撃者がどのように侵入してランサムウエアを仕込んだのかを調べる原因調査や、再発防止対策を検討していきます。これについてはインシデント対応を専門とするセキュリティーコンサルタントに相談するのがいいでしょう。原因調査では、コンピューター内に攻撃者が残した様々な痕跡を調べます。これをデジタルフォレンジック調査といいますが、専門的な知見を必要とするため、組織内の情報システム部門で対応するのは、多くの場合難しいと思います。

 可能であれば、普段から「かかりつけ医」のように相談できるセキュリティーコンサルタントと契約しておくのがベストです。そういった相談相手がいない場合は、特定非営利活動法人日本ネットワークセキュリティ協会が提供しているサイバーインシデント緊急対応企業一覧などから相談先を見つけるのがよいでしょう。下記表の受付時間などは変更となっている場合がありますので、最新情報は日本ネットワークセキュリティ協会のホームページを確認してください。

サイバーインシデント緊急対応企業一覧(2022年10月時点)
サイバーインシデント緊急対応企業一覧(2022年10月時点)
出典:日本ネットワークセキュリティ協会
[画像のクリックで拡大表示]