ランサムウェア攻撃による被害は、もはやここで紹介するまでもなくあらゆる組織に甚大な影響を及ぼしており、その被害は金銭的損失だけでなく事業中断やデータ損失まで多岐におよぶ。2021年には米国の医療機関がランサムウェア攻撃を受け、患者の診療が停止する事態が発生した。また、2022年には日本最大の製薬会社がランサムウェア攻撃を受け、研究データが盗まれる被害が発生している。
米国のジョイント・ランサムウェア・タスクフォース (JRTF) が「#StopRansomwareガイド」を作成し、CISA(重要インフラ・サイバーセキュリティ庁)が2023年5月23日にリリースした。[1]
このガイドラインでは、ビジネスリーダーがランサムウェアの犠牲にならないように実装できるベストプラクティスを、主に技術的な観点からレビューしている。ガイドラインの第一部ではまず、サイバーセキュリティの技術課題に焦点を当てており、サイバー犯罪者がランサムウェア攻撃を行う際にまず利用する「初期アクセス・ベクトル」や、組織の防御を強化するためのアプローチなどについて説明している。
第二部ではランサムウェア攻撃に対する対応戦略に焦点を当てている。ここでの解説は、企業の評判に関わる責任者や「インシデント対応チーム」のリーダーにとって特に重要な内容が述べられている。インシデント対応チームに対しては、企業の内部および外部の関係者と連携する計画を立てることを推奨しており、今回はこの計画の作り方について解説していく。
ここでインシデント対応チームがまず取り組むべき最初の目標は、全ての関係者を特定することである。これを一覧表のような形で、コミュニケーション・マトリクスに書き出し、「WHO(通知の対象者)」、「WHY(通知の理由)」、「WHAT(通知の内容)」、「WHEN(通知の期限)」、「HOW(通知方法)」、「WHO #2(通知担当者)」の項目それぞれについて記述していく。詳細は後述する。
今回、このガイドラインは2020年に初めてリリースされた「#StopRansomwareガイド」の更新版としてリリースされた。このガイドは、過去2年間に得られた教訓を踏まえ、ランサムウェアの戦術と技術が進化したことを反映している。
インシデント対応チームのリーダーにとって特に重要なこととして、組織内外のチームとステークホルダーとの対話計画を作成することを推奨している。この計画はインシデント対応計画やコミュニケーション計画の一部であり、ランサムウェア攻撃が発生した場合にどのように対応するかを決定するための基礎となる。そして、この計画は具体的なアクション、役割、責任を明確にするものであるため、事前に詳細に作成しておくことになる。
計画の作成においては、内部と外部のステークホルダーを認識することが重要である。
ここにはインシデント対応チームのメンバー、取締役会、上級管理職、従業員、主要な顧客、主要なサードパーティベンダーなどが含まれる。もちろん、法執行機関や保険提供者なども重要なステークホルダーとして認識されることになる。これらのステークホルダーとのコミュニケーションは、ランサムウェア攻撃時に会社のメッセージを効果的に伝え、法的な期限を守り、ステークホルダーが情報を欠いてしまうことを防ぐために重要である。
そして、このようなコミュニケーションの計画と準備が行われていることによって、ランサムウェア攻撃が発生した際に組織がパニックにならず、効率的に対応していくことができる。そのため、インシデント対応チームのリーダーは計画を作成し、事前にチーム全体で確認し、必要に応じて更新することが重要な取り組みとなる。
インシデント対応チームのリーダーによる計画で重要なのが、「コミュニケーション・マトリクス」の作成である。
ランサムウェア攻撃が発生した際に、企業が誰とコミュニケーションを取るべきかを詳細に記した計画のことだ。前述した内部と外部のステークホルダーをコミュニケーション・マトリクスに記載すべきあり、インシデント対応チームのメンバー、取締役会、上級管理職、従業員、主要な顧客、主要なサードパーティベンダー、保険プロバイダー、法執行機関、業界内における任意の監督当局などそれぞれに関して記述していく。
コミュニケーション・マトリクスは通常、スプレッドシートで作成され、各ステークホルダーについて以下の内容を特定していく。
コミュニケーション・マトリクスは、企業のコミュニケーションに意図と優先順位をもたらすことを目指している。コミュニケーション戦略としてメッセージをコントロールすることは、ブランドの評判を保護するためにも非常に重要であり、また、ステークホルダーが見落としたことによって闇雲になることがないようにもできる。
これらの計画やベストプラクティスを適切に活用していくためには、組織全体での意識の向上と教育が不可欠である。すべての従業員がサイバーリスクを理解し、基本的なセキュリティ対策を日常的に実践することが、ランサムウェア攻撃から組織を保護するための重要なステップとなる。
また、これらの対策は一度限りのものではない。技術の進歩とともに新たな脅威が生まれ、既存の防御策が陳腐化する可能性もある。定期的な見直しと更新が不可欠である。
そして、今回紹介した「計画」も実際にランサムウェア攻撃が起こった際に重要なものとなる。万が一ランサムウェア攻撃が発生した場合でも、組織は迅速に対応し、影響を最小限に抑えるよう取り組んでいくことが可能となる。また、計画では事前準備と応急処置だけでなく、攻撃後の回復プロセスも同様に重要であり、攻撃後に被害範囲の評価、必要な修復作業の実行、再発防止のための対策といったことについても考慮していく。
残念なことに、ランサムウェア攻撃に対する理解と対策は、現代のビジネス環境では避けて通ることができない。組織のサイバーセキュリティを向上させることで、ランサムウェア攻撃から組織を保護すると同時に、価値の高まり続ける企業の情報資産や競争力を保護しなくてはならない。
そのためにもサイバーセキュリティは組織が一丸となって取り組むことが重要であり、ランサムウェア対策をもはや単なるリスク管理の一部ではなく、ビジネス戦略の中心的な要素の一つとして取り組んでいく必要さえもある。
英国のサイバーセキュリティ・サイエンティスト。
サイバーセキュリティ企業の経営者としておよそ20年の経験を持ち、経営に対するサイバーリスクの的確で分かりやすいアドバイスに、日本を代表する企業経営層からの信頼も厚い。近年は技術・法規制・経営の交わる領域においてその知見を発揮している。
