「ランサムウェア攻撃にやられたらどうする」、Gartnerが説く組織としての効果的な備えとは:身代金の支払いについてもアドバイス

ランサムウェア対策では、防御やデータ保護のテクノロジーに注目が集まりがちだが、Gartnerはインシデント発生時の全社的な対応を明確化しなければならないと強調する。身代金の支払いについてのアドバイスもできる必要がある。セキュリティ担当アナリストに対策のポイントを聞いた。

[三木泉@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 海外のみならず、日本国内でもランサムウェア攻撃インシデントはさまざまに報告されており、どの企業も「対岸の火事」とは言えない状況になってきている。ランサムウェアは、他のセキュリティインシデント対応に比べて事業への直接的なインパクトが大きく、対応も困難とされる。

 組織は具体的にどのように備え、インシデント発生時にはどう対応すればいいのか。Gartnerのシニア ディレクター/アドバイザリであるウェイン・ハンキンス氏に、対策のポイントを聞いた。

とにかく詳細な対応計画と対応手順書を準備する


Gartner シニア ディレクター/アドバイザリ、ウェイン・ハンキンス氏

 ハンキンス氏はまず、ランサムウェアに特化した詳細な対応計画と対応手順書(プレイブック)を作ることの重要性を強調する。

 「Gartnerが行った調査によると、世界中の企業の51%がランサムウェアへの対応計画を持っていない。ランサムウェア対策のテクノロジー製品を導入している企業は多いが、テクノロジーは問題の一部を解決することしかできない。ランサムウェアの対応計画がない企業は、攻撃に直面した際になすすべがないということになる。どんなインシデントについても対応計画は必要だが、ランサムウェアについては特に綿密な対応計画と、これを基にした対応手順書が必要だ」(ハンキンス氏、以下同)

 この対応手順書には、 ランサムウェア被害に遭遇した場合、組織における全ての役職、部署が何をやるべきかを詳細に記述する。

 「例えば、CEOは組織のためにどんな行動をとるのか。CEOが判断するための、被害状況に関する情報をどのように提供するのか。ランサムウェア攻撃への対処についての法的責任をどう考えるのか。マーケティングや広報の部署はどう動くのか。ランサムウェアは組織全体に影響を及ぼす。このため 全ての部署における対応策を 詳細に文書化しておかなければならない」

 攻撃に直面した際にIT/セキュリティ担当部署がやるべきことは、対応手順書の中で特に明確かつ詳細に記述しておく必要があるとハンキンス氏は説明する。

 内容は、「ランサムウェア攻撃をどう検知するか」「どのシステムが被害を受けているかをどのように知るか」「どうやって封じ込めるか」「どのような手順でデータを復旧するか」といった項目にわたる。

 「目的は、被害を最小限に抑え、ビジネスをできるだけ早く正常状態に復帰させること。このための作業をきめ細かく、組織の全部署の役割分担を含めて定めなければならない」

 対応手順書ができたら、演習を実施する必要がある。

 「攻撃を受けている最中に、各人が自分は何をやるべきかを初めて確認するというのは最も避けたい状況だ。また、演習を行えば、改善すべき点が必ず見つかる」

対応チームのストレスを管理する

 ランサムウェアへの対応では、金銭的な被害や業務運営、企業に対する信頼への影響から、社内やステークホルダーの期待に応えなければならないという大きなプレッシャーがある。このため、対応チームの一人一人に大きなストレスがかかる。それがいざというときに、思考停止や混乱、判断のミス、不適切な対応につながる。

 「だからこそ、詳細な対応手順書とトレーニング、そして演習が必要だ。これにより、対応チームの全員が心理的にも準備でき、インシデント発生時に落ち着いて行動できる」

封じ込めとデータ復旧のための戦略を確立する

 ランサムウェア攻撃発生時の技術的な対応では、データのバックアップ/リカバリーが注目されるが、侵害を受けたシステムを他から隔離する「封じ込め戦略」を確立することも重要だと、ハンキンス氏は指摘する。時間との勝負になる中で、まず被害範囲を特定し、拡大防止策を講じた後でなければ、データ被害への適切な対処ができないからだ。

 対応手順書では、どのシステムについてどういった封じ込めを行うかを文書化する。このためには、各システムの重要性を考慮しなければならない。

 「数年前、ある企業からランサムウェア攻撃を受けているという連絡を受けた。FAXサーバが感染したという。そこで、何社の顧客がFAXを使っているのかと聞いたところ、数千の顧客のうち2社だという。それならFAX機をネットワークから切断すれば封じ込められる。これがMicrosoft Active Directoryなら話が全く異なる。つまり、運用している全てのシステムの重要度を精査し、これに基づいて、どうすればビジネスへの影響を最小限にとどめながら効果的な隔離ができるかを確認し、文書化しておく必要がある」

 とはいえ、セキュリティ担当部署が各システムの事業における重要度を自ら洗い出す必要はない。事業継続計画(BCP)の立案時に、こうした作業は終わっているはずだからだ。

身代金の支払いについてアドバイスする

 最高情報セキュリティ責任者(CISO)は、身代金の支払いについてもアドバイスできなければならないと、ハンキンス氏は話す。それはセキュリティ責任者にとって荷が重すぎることなのではないかと聞くと、次のように答えた。

 「情報セキュリティについて経営の最高幹部にアドバイスするのは、CISOの役割の一つだ。マルウェアやランサムウェアの世界で何が起こっているのかを常に把握している必要がある。ランサムウェア攻撃を受けたら、最高経営責任者(CEO)や最高財務責任者(CFO)が『他の組織は身代金を支払っているのか』といった疑問を持つのは当然だ。いったん支払うと、再び攻撃される可能性が高まることを含めて、正確な情報をもとに判断を下す必要がある。事業についての判断は事業の責任者が行うしかないが、CISOはこうした判断を支援する情報を提供しなければならない」

Copyright © ITmedia, Inc. All Rights Reserved.

Click to rate this post!
[Total: 0 Average: 0]