全4517文字
『ランサムウエアから会社を守る 身代金支払いの是非から事前の防御計画まで』
『ランサムウエアから会社を守る 身代金支払いの是非から事前の防御計画まで』

 ランサムウエアの被害の広がりはとどまるところを知らない。最近では大阪の災害拠点病院が被害を受け、救急患者の受け入れを停止するなど、一般にも影響が及ぶ事態に陥った。ランサムウエア対策や被害対応で豊富な経験を持つラック サイバー救急センターのメンバーが執筆した『ランサムウエアから会社を守る 身代金支払いの是非から事前の防御計画まで』(日経BP)から、ランサムウエアの実態と対策の考え方を連載で解説していく。最終回の今回はコストや手間との兼ね合いで考えるランサムウエア対策の優先順位を説明する。

 近年のランサムウエア攻撃はただ単にランサムウエアをばらまいて暗号化したファイルの身代金を支払わせる手法から、企業などの組織を標的に定めてシステムに侵入し、機密情報の窃取後に暗号化を行う手法にシフトしています。そのため、ランサムウエアそのものの対策のほかに、攻撃者による外部からの侵入や、侵入された場合の侵害行為に対する対策も必要になっています。つまり、ランサムウエア攻撃に関しても自組織で利用しているシステムに合わせて全般的なサイバーセキュリティー対策を実施する必要があります。また、もしランサムウエア攻撃の標的になった場合に、被害を最小限に抑えるためには、ウイルス対策ソフトなど1つの対策だけでなく、多層的な防御が必要となります。

 このようなサイバーセキュリティー対策を実施するとなると、その費用を懸念される方が多いでしょう。お金をかけて対策を実施しても、攻撃の標的にならず費やしたコストが無駄に感じられるかもしれません。しかし、攻撃者はいつ我々をターゲットにするか分かりません。万が一対策が不十分で被害に遭った場合、結果として組織の社会的信用が失墜する恐れもあります。セキュリティー対策は自組織が存続し続けるための「保険」や「投資」と捉えていただければと思います。

 また、セキュリティー対策はITの技術や知識に直結する部分も多いため、極めて少数のIT担当者に一任されてしまうケースがあります。しかし、実際はセキュリティー製品やサービスの導入などは経営判断が必要であり、インシデントが発生した場合は対外的な対応を経営層がしなければなりません。加えてサイバー攻撃が巧妙化している現状で、ITを利活用しているすべての従業員も攻撃対象(組織への攻撃の足掛け)になっているため、組織全体でセキュリティー対策を実施する必要があります。さらには、自組織でなく子会社や取引先などがサイバー攻撃を受け、自組織に影響が出る場合もあるため、サプライチェーンを考慮した対策も必要になります。

 経済産業省では「サイバーセキュリティ経営ガイドライン」の中で『経営者が認識すべき3原則』として次のように定めています。

①経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要

②自社は勿論のこと、ビジネスパートナーや委託先を含めたサプライチェーンに対するセキュリティ対策が必要

③平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要

 このように、セキュリティー対策は考慮すべき範囲があまりに広く、少人数のIT担当者のみで対処することは到底現実的ではありません。このような対策を実施するには、経営者がリーダーシップを取り、組織全体で対応していかなければなりません。