{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
経営者向けランサムウェア対策のポイント―事業継続リスクとなったランサムウェア攻撃
2021-10-05
「データが暗号化され、業務がストップした」「高額な身代金を要求されている」といった、サイバー攻撃による被害報告はもはや珍しい事象とは言えず、経営者は平時からサイバー攻撃を受けた際の意思決定の基準を定めておく必要があります。
組織の重要データを暗号化し、利用できなくした上で身代金として金銭を得ようとする「ランサムウェア」は、感染により工場の操業や会計システムを停止させたりするなど、事業継続に多大な影響をもたらすという点で従来のサイバー攻撃とは異なります。このような事業影響が発生した場合、収益が減少し、株価が下落するだけではなく、善管注意義務違反として株主らから訴訟を起こされる恐れもあります。
本稿では、経営者がランサムウェア対策を具体的に理解し、適切な意思決定ができるようになるために、ランサムウェアの仕組みや対策チェックリストを示します。
ランサムウェア攻撃は重大な経営リスク
経営者はランサムウェア攻撃が重大な経営リスクであることを認識する必要があります。サイバー攻撃による企業への事業影響は、今までは個人情報や機密情報の流出、不正送金などによる金銭の盗難などが中心でした。しかし、ランサムウェアによるサイバー攻撃にはシステムの破壊や停止が伴うため、事業継続の脅威となります。過去に発生したランサムウェア攻撃では、以下のような事業影響がありました。
- 工場の操業停止
- 会計システムの停止
- 店舗での決済停止
- 医療提供の停止
- リモートワーク業務の停止
ランサムウェアの感染経路を理解する
ランサムウェア攻撃は、攻撃者が対象となるシステムにランサムウェアを送りつければ即座に暗号化されるような単純なものではありません。攻撃は非常に組織化されており、巧妙に組織のネットワークに侵入してきます。最新の被害事例を見ると、ランサムウェア攻撃の活動は次の5つのステップに分けることができます*1。
| 感染のステップ | 説明 |
|---|---|
①ネットワークへの侵入 |
攻撃者が電子メールやVPNの脆弱性などを悪用し、企業のネットワークへの侵入口を獲得する。 |
| ②侵入範囲の拡大 | 感染範囲を広げる目的で、ネットワーク内の侵害範囲を拡大する。 |
| ③データの窃取 | 「暴露サイトに情報を掲載する」と脅迫するために、機密情報や個人情報を窃取する。 |
| ④暗号化・システム停止 | 身代金要求のために、データを暗号化する。システムの停止につながることもある。 |
| ⑤窃取したデータの公開 | 金銭の獲得のため、以下の手段で被害企業を脅迫する(3重、4重の脅迫とも呼ばれる)。
|
既に、ランサムウェア攻撃に関する攻撃者のビジネスモデルが確立されています。また、攻撃は組織化されており、ネットワーク侵入を専門にする者、交渉を専門に行う者などが存在し、ランサムウェア攻撃のステップが分業化されています。攻撃が成功し、被害企業が身代金を支払うと、報酬が組織内で分配されるというビジネスモデルです。ランサムウェア対策を的確に行なうためには、敵を知ることが求められます。
経営者向けランサムウェア対策チェックリスト
PwCはこれまでCEOやCISOらへアドバイス、インシデント対応支援を行ってきた実績や経験、そこから得られた知見に基づき、「経営者向けランサムウェア対策チェックリスト」を作成しました。このリストには10個のチェック項目があり、「戦略」「プロセス」「技術」「事後対応」の4つに分類されます。
| 項番 | 分類 | チェック項目 | 対策状況 |
|---|---|---|---|
| 1 | 戦略 |
経営会議などでランサムウェアの影響について議論 | □ |
| 2 | 戦略 | ランサムウェアによる事業継続の影響評価 |
□ |
| 3 | 戦略 | 人員、予算などリソースの確保 | □ |
| 4 | プロセス | 長時間のシステム停止を考慮したBCPの見直し指示 |
□ |
| 5 | プロセス | ランサムウェアによる脅迫や情報リークを考慮した社内外コミュニケーション計画の見直し指示 |
□ |
| 6 | 技術 | バックアップ状況、リカバリテスト結果の確認 | □ |
| 7 | 技術 | サイバーセキュリティに関するベストプラクティスの実装状況の確認 | □ |
| 8 | 事後対応 | インシデント対応の指揮命令、不測の状況に対する意思決定 | □ |
| 9 | 事後対応 | 身代金要求に応じないことの関係者合意 | □ |
| 10 | 事後対応 | 社外の専門家との協議 | □ |
1. 【戦略】経営会議などでランサムウェアの影響について議論
ランサムウェア攻撃が重大な経営リスクであるという認識を共有するために、取締役会や経営会議などで議論する必要があります。会議の中では、最新動向の共有、自社の状況把握、リソース確保のための議論を定期的に行うことが推奨されます。また、万が一の訴訟リスクに備えるため、議事録を残すことが必要です。
2. 【戦略】ランサムウェアによる事業継続の影響評価
サイバーセキュリティ対策のアセスメントに併せて、事業継続への影響を評価できているかを確認する必要があります。具体的には、基幹システムが暗号化された場合、何時間で復旧ができるか、それはビジネスとして許容できるかなどです。事業継続の影響評価は、経営会議などでの議論のインプットとして活用できます。
3. 【戦略】人員、予算などリソースの確保
経営者は、ビジネスとして許容できる事業停止時間を満たすために必要な、ランサムウェア対策に係るリソース(人員、予算など)について、CISOらに合理的な説明を求める必要があります。また、必要なリソースについて経営会議などで議論し、優先的に投資することの合意を得る必要があります。
4. 【プロセス】長時間のシステム停止を考慮したBCPの見直し指示
日本企業ではBCP(事業継続計画)対策は経営企画部門や総務部門、サイバー攻撃対策はIT部門やセキュリティ部門が担うことが一般的であるため、ランサムウェアによるBCP対策を講じる際、組織間の障壁が課題となる場合があります。そのため、経営者は組織間の壁を取り除き、レジリエントな体制を構築する必要があります。また、BCPやセキュリティに関する各種規程を改訂し、組織に定着するよう従業員のセキュリティ意識を向上させる必要があります。
5. 【プロセス】ランサムウェアによる脅迫や情報リークを考慮した社内外コミュニケーション計画の見直し指示
ランサムウェアの攻撃者は、金銭を獲得するために3重、4重の脅迫を行ってきます。暴露サイトに機密情報を暴露したり、取引先や顧客にまで連絡して揺さぶりをかけたりする事例も確認されており、このような脅迫行為はメディアなどでも取り上げられています。プレスリリースや取引先などへの対外コミュニケーション方針、社内での情報開示範囲の方針などを平時から整備する必要があります。
6. 【技術】バックアップ状況、リカバリテスト結果の確認
従来のランサムウェア対策の常套手段であったバックアップは、引き続き有効です。しかし、バックアップデータまで暗号化された事例もあります。経営者は、バックアップデータがオフラインで保存されているか、定期的にリカバリテストを実施しているかなどを確認する必要があります。
7. 【技術】サイバーセキュリティに関するベストプラクティスの実装状況の確認
各国の公的機関からはランサムウェアの感染を防止する対策や、不正アクセスを迅速に検知する対策などが公開されています*2*3*4*5。これらのベストプラクティスが自社に実装されているか、業界標準のベンチマークと比較してギャップが存在していないかなどを確認する必要があります。
8. 【事後対応】インシデント対応の指揮命令、不測の状況に対する意思決定
万が一、ランサムウェアに感染した場合、初動対応が非常に重要です。まず、BCPやセキュリティに関する社内の各種規程に基づいて緊急対策委員会などを設置し、ビジネスへの影響を最小化できるような緩和策を実施する必要があります。また、社内の関連部署やステークホルダーを巻き込み、不測の事態に対するアドバイスを提供してもらうことも必要となります。
9. 【事後対応】身代金要求に応じないことの関係者合意
日本政府ガイドライン*1*3は身代金を支払わないことを強く推奨しており、要求に応じないことを関係者で合意する必要があります。身代金の要求を拒否すべき理由は以下の通りです。
- 支払いに応じたとして、データが復旧される、または公開されないという保証はない
- 支払いに応じた場合、さらなる攻撃の対象になりかねない
- 犯罪組織への資金提供とみなされる(米国では金銭の支払いを行った企業に対して、外国資産管理局から制裁が課される可能性あり*6)
10. 【事後対応】社外の専門家との協議
ランサムウェアにより大きなビジネス影響が発生する場合、社外の専門家による調査委員会を設置すべきケースも考えられます。平時から、弁護士、技術専門家、広報専門家らと協力関係を構築し、有事の際に迅速に協議に入れるよう準備しておくことが推奨されます。
ランサムウェア攻撃は、事業継続を脅かす脅威になっており、その対策のために経営者は意思決定の基準を定めておく必要があります。経営者は、技術用語まで詳細に理解する必要はありませんが、ランサムウェア攻撃は組織化されており、5つのステップで巧妙に組織に侵入してその影響範囲を拡大するという点については押さえておくべきです。その上で、経営者向けランサムウェア対策チェックリストを活用し、対策を強化することが求められます。
*1:独立行政法人 情報処理推進機構 セキュリティセンター, 2020年(IPA)「事業継続を脅かす新たなランサムウェア攻撃について」
https://www.ipa.go.jp/files/000084974.pdf よりPwC作成
*2:内閣官房内閣サイバーセキュリティセンター(NISC), 2021年「ランサムウエアによるサイバー攻撃に関する注意喚起について」
https://www.nisc.go.jp/active/infra/pdf/ransomware20210430.pdf
*3:経済産業省, 2020年「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」
https://www.meti.go.jp/press/2020/12/20201218008/20201218008-2.pdf
*4:Cybersecurity and Infrastructure Security Agency(CISA), 2021「Protecting Sensitive and Personal Information from Ransomware-Caused Data Breaches」
https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Protecting_Sensitive_and_Personal_Information_from_Ransomware-Caused_Data_Breaches-508C.pdf
*5:Stop Ransomware, 2020「RANSOMWARE RESPONSE CHECKLIST」
https://www.cisa.gov/stopransomware/ive-been-hit-ransomware
*6:Department of the Treasury, 2020「Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments」
https://home.treasury.gov/system/files/126/ofac_ransomware_advisory_10012020_1.pdf
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
