セッション1 企業経営に求められるサイバー攻撃対処に必要な態勢と能力獲得について
2017-10-30
猛威を奮ったランサムウェアWannaCry(ワナクライ)やPetya(ペチャ)。これらのサイバー攻撃に備えるために企業は何をするべきか、PwCサイバーサービス合同会社 最高技術顧問 名和利男が、サイバー攻撃に対する取り組みや考え方を紹介しました。
PwCサイバーサービス合同会社 最高技術顧問 名和 利男
最新のランサムウェアによる攻撃の概要
今回のランサムウェアを使ったサイバー攻撃は、2010年や2013年に韓国の銀行や放送局が被害にあった大規模なサイバー攻撃をほうふつとさせます。これまでのランサムウェアでは単にファイルを暗号化するものでしたが、Petyaによる攻撃ではマスタブートレコードなどが書き換えられ暗号化されています。
攻撃が発覚してからの対応が迅速だったことで攻撃者のメールアドレスやアカウントが停止処置となり、結果的に攻撃者と攻撃者との対話ができなくなり、暗号化されたデータの復元が難しかったケースもあったようです。
ランサムウェアから得られた教訓とは
ランサムウェアに感染した現場を視察すると「何をやれば良いのか分からない」、「情報が不足している」といった状況で、どこも大変な混乱状態でした。サイバー攻撃に対処するマニュアルを作っているにもかかわらず、事前に対処できる準備も整っておらず、実際に取るべき行動ができなかったところも多くありました。サイバー攻撃の脅威そのものが変化し、より巧妙化しているのに対して、対応する現場は旧態依然の体制と認識のままなのです。そのため初動が遅れたり、対策が進められなかったりしたケースが多く見受けられました。ここを変えていかない限り、サイバーセキュリティ対策を進めることは困難なのです。
サイバーセキュリティ対策を進めていく上で、権限を持つ者が積極的に関与することも不可欠です。経営層が各部門長に対して明確な意思を持って指示を出すことは重要ですが、インシデントが発生すると、経営層は「早くやれ」と言うだけで、現場は具体的な指示がないため動けないことが多いのが現状です。サイバー攻撃に対応する現場で求められるのは、常にサイバー攻撃に身構える体制であって、上からの指示を待つようなものではありません。
こういった体制を変えていかないと迅速に適切な対応は取れません。これが世界同時多発した今回のランサムウェアの事案から得られた教訓だと考えています。
【図1】ランサムウェア事案から得られた教訓(1)
【図2】ランサムウェア事案から得られた教訓(2)
設備機器の技術仕様にサイバーセキュリティ対策は入っていたか
工場などで使用されている設備や計測システムは安定稼働を最重要視するため、初期設定のまま使われていることが多いのはご存じでしょうか。セキュリティ対策のためにアンチウイルスソフトを入れるためには検証を行う必要があり、検証費用だけでも数千万から数億円の費用が必要となることもあり、簡単に導入することができない事情があります。これは設備機械の仕様設計時にサイバーセキュリティ対策が検討されてなかったことに起因します。
日本のサイバーセキュリティは、個人情報漏えい対策が最重要とされていますが、工場の制御システムに保護すべき個人情報はほとんどありません。また、工場などのシステムには、CND(Computer Network Defense)の概念に基づく、システムによる多層的防御が実装されていなかったことも初期設定のまま使われている要因と言えます。
最新の情報を収集し、チームで共有していく
これからのサイバーセキュリティでは、これまで常識だったWindows Updateを実行してはいけない時代にもなったのかもしれません。実際にウクライナで発生したインシデントでは、Windows Updateを行ったことでランサムウェアに感染しています。そんなサイバー攻撃に対処するためにどうすれば良いのか。これからは最新の情報を常にリサーチして対処していくことが求められます。
サイバーセキュリティ対応を進めるために各企業にCISO(最高情報セキュリティ責任者)が設置されたり、サイバーセキュリティ担当幹部や実務担当者が設けられたり、専門家育成の取り組みが進められています。しかし、企業内部のサイバーセキュリティに対する取り組みや仕組みを見てみると、セキュリティ担当者に一任しているだけで、他からは理解が得られないという話もよく聞かれます。
サイバーセキュリティ対策を進めていく上で、メンバー間の定例会や勉強会の開催が重要です。メンバー間でスムーズな連携を図る上でも、あらゆる情報をメンバー間で共有することも必要です。メンバーの行動や考え方を相互に理解することで同じ目的を解決しようとする意識や信頼関係も作られ、インシデントが発生した時にも良い結果を生み出すのです。
訓練の実施で対応力をつけていく
さまざまな企業でサイバーセキュリティ対応能力の評価や、ドキュメントの確認が行われています。しかし、企業が準備しているドキュメントに記載されている内容は十数年前にあった脅威に対応するもので、陳腐化しているのが現状です。そこで、実際のサイバー攻撃への対応力をつけるための演習訓練が有効となります。攻撃してくる相手は常に変わるため、ドキュメントに準拠するような訓練ではなく、土壇場力をつけていくようなリアルな演習が必要です。
訓練の実施で対応力をつけていく
経験者の獲得と規制
サイバーセキュリティ対策の経験やサイバー攻撃の仕組みを理解しない人が対策方法を教えたり、対処しようとしても、実際には機能しない内容だったりします。極端な意見かもしれませんが、サイバー攻撃に対処するには、実際に攻撃した経験がある人や、経験が豊富な人を取り込んでおかないと有効な手段を取ることはできません。そのため、適切な経験者にチームに入ってもらうことを検討する必要があります。
彼を知り己を知れば百戦殆うからず
これまで大きなセキュリティインシデントの発生が伝えられるのは一年に一回程度でしたが、いまでは一週間に一回、もしくはそれ以上の頻度で発生しています。すでに日本でも「サイバーセキュリティは危険水域」という危機感を念頭にサイバーセキュリティに取り組んでいくことが、真の意味でのリスクマネジメントです。
本セッションについてのご質問やご相談、資料などをご希望の方は、ページ末尾の「Contact Us」より、お問い合わせください。
