セッション3 グローバルから学ぶランサムウェア対策としてのクラウドファースト

WannaCryに代表されるような企業の事業継続に関するランサムウェア事案の発生が、企業にどのような影響を与えたのか、対策の観点は何かなどについて、PwCコンサルティング合同会社ディレクター林和洋より紹介しました。

PwCコンサルティング合同会社ディレクター林和洋

企業の事業継続にかかわる新たな脅威

ランサムウェアの事案は「事業継続のリスク」として捉えるべきです。これまでのサイバー攻撃では企業に存在する個人情報や機密情報の漏えい事案が多く、いわばセキュリティの三要素のひとつである「機密性」が損なわれることが企業へのダメージでした。そのために実施されていた対策は「情報を漏らさない」、「外部から侵入させない」、といったものでした。
しかし、ランサムウェアの事案では、感染したことで事業の継続ができなくなったケースもあります。これは「可用性」が損なわれる重大な事案として捉えるべきであり、これまでのセキュリティ対策とは考え方を変えて対策を講じる必要があります。

【図1】実際に発生した「事業継続」に関する影響

可用性（Availability）が脅かされると、全社の業務に影響が生じます。今回の事案では、以下のような業務影響が発生しました。

PwCグローバルによる五つの示唆

ランサムウェアに対するアプローチにはどういうものが有効なのか、PwCグローバルでは五つの示唆を発表しています。それぞれ、どのようなアプローチなのかを具体的に解説してきましょう。

今回のランサムウェア事案に関して、PwCグローバルでは、五つの示唆を示しています。

【図2】PwCグローバルによる5つの示唆

デジタルハイジーン

デジタルハイジーンとは「IT環境を衛生的に保つこと」を意味します。つまり「セキュリティソフトのアップデートを適切に実施している状態を維持する」、「決められたソフトだけを起動している」、「バックアップを適切にとり、容易に復旧できることが保証されている」、といった状態のことです。これまでインターネットにつながれていないクローズドなシステムだと思われていた制御系システムなどのOT（Operational Technology）においてもデジタルハイジーンという考え方を用いて、いかに衛生的に保つかを対策として考えていかなければなりません。

このような環境をできるだけリアルタイムな状況で維持していく努力が必要であるとPwCは提唱しています。

不正侵入の検知

サイバー攻撃を受けた際、攻撃を受けたことをいかに早く検知できるかは重要なポイントです。そのためには、平常時の動きを正しく把握していることが必要なのです。平常時の動きを把握していることで、いつもと異なる動きを見つけることができ、いち早く侵入に気づくことができます。

PwCでは、「インシデント検知検討フレームワーク」と呼ばれるアプローチを推奨しており、各企業システムやネットワークに適したモニタリングポイントを定義し、インシデント検知能力を向上するコンサルティングを行っています。

【図3】不正侵入の検知

不正侵入や異常通信の検知（メール、インターネットなど）・従業員教育の徹底・セキュリティ専門家の協力

ITインフラの見直し

現在ご利用のシステムのアーキテクチャについて、改めて見直す必要があります。ネットワーク構成がどうなっているのか、事業継続のために保護すべき情報資産はどこにあるのか、どのように保存されているかといった要素の洗い出しを行い、システムが止まっても手作業でどこまで運用できるのかなど、根本的な部分から見直して定義しておく必要があります。

セキュリティだけを考えてアーキテクチャを見直すと、ビジネスの観点では使いづらいアーキテクチャになることがあります。そのため、ビジネスや業務の要件なども踏まえながら、アーキテクチャを再構成していくことがポイントになります。

訓練の実施で対応力をつけていく

BCPの見直し

インシデントレスポンスとBCP（Business Continuity Planning：事業継続計画）は密接に結びついており、事案が発生したときに初動対応としてどのように対応していくのか、誰がどのプロセスで責任と役割を持って対応していくかなど、インシデントのレスポンスに関するプロセスや体制を整備していく必要があります。また、実際の現場にインシデントが発生したときに適切に体制が機能するかを検証しながら、サイバー演習や訓練を通じて実効性を高めていくことも重要です。

クラウドシフトの加速

クラウドの有用性や可用性を効率よく利用することで、サイバー攻撃に対して耐性の高いシステムを作ることもポイントです。SaaSなどのデータの世代管理をしているクラウドサービスを利用していれば、もしランサムウェアに感染しても一世代前のバックアップファイルからの復元は容易です。

上述のデジタルハイジーンでご紹介のとおり、衛生的な環境を保つことはコストのかかるものです。しかし、クラウド事業者にインフラ運用の一部をリスク移転することで、大きなコストをかけずとも衛生的な環境に保つことができます。ただし、クラウド事業者に全て任せれば良いわけではなく、自社におけるデジタルハイジーンの環境を定義し、それを元に契約に落とし込んでいくことが必要です。

ランサムウェアで企業の可用性が危ぶまれることを認識すべし

サイバー攻撃は、「事業継続リスク」であり、全社的リスク管理（ERM）の一環で検討すべき経営課題です。

PwCでは、サイバーセキュリティレベルの向上のために、右図のようなアプローチを推奨しています。

また、日本のメディアではほとんど取り上げられていませんが、ランサムウェア事案の教訓として、クラウド化を加速させるという考え方も、日本企業は検討すべきです。

今回のランサムウェアの事案はこれまで経験してきたようなサイバー攻撃とは違って、情報漏えいや機密性が損なわれるものではなく、企業の可用性が損なわれて事業の継続性が危ぶまれるようなものでした。このような攻撃が話題になったことを機会に、ERM（Enterprise Risk Management：全社的リスク管理）の一環としてサイバーリスクを検討していくことが求められます。

そのためにも経営層がリーダーシップをとって全社的に進めていくこと、また他社との情報共有などの取り組みまで積極的に進めていくことも検討すべきです。

本セッションについてのご質問やご相談、資料などをご希望の方は、ページ末尾の「Contact Us」より、お問い合わせください。