ランサムウェアやワイパー攻撃は増加の一途をたどっており、企業は深刻な被害を受け、データを復元するために高額な身代金の支払いを支払わざるを得ない状況に追い込まれています。このような破壊的なサイバー攻撃に対して、企業はどのようにレジリエンスを構築すればよいのでしょうか。
土曜日の真夜中、CIOの電話が鳴った。同社IT担当者によれば、重要なシステムに障害が発生し、最初のサーバーが暗号化され、ハッカーがコンピュータの1台にTXTファイルを残していったパニック状況で説明します。その中でえ、数百万ユーロの身代金をビットコインで送金するよう要求していました。優良経営ならどこでも、このような危機に迅速かつ効率的に対応できるよう、マニュアルや事業継続シナリオを作成していますが、なぜこのような計画が期待された結果を出せず、、代わりに身代金を支払ってをデータやシステムを買い戻すこととなったのでしょうか?
サイバーリスクの観点から見ると、私たちは新しい世界に生きています。ランサムウェアやワイパーのような破壊的な攻撃が出現する以前は、CISOは主に「データ盗難」インシデント、正確にはデータの不正開示の問題に直面していました。被害者がまだデータのコピーを持っていたため、ビジネスは継続することができましたが、今日の破壊的なサイバー攻撃では、被害者とそのサプライチェーンが顧客に製品やサービスの提供が不可能になります。
ランサムウェアとワイパー攻撃は、ITシステムとデータに依存してきた組織を完全に麻痺させるため、すべてを変えてしまいます。企業が調査し、検知された脅威を軽減し、回復するのに費やす1秒1秒は、収益の損失を発生させ、ヘルスケア分野では人命さえ危機に晒します。こうした新たな攻撃は、企業における対応やサイバーリカバリーの分野で企業の弱点を容赦なく露呈し、企業の存続さえ脅かしかねません。
外界から遮断され、孤立したIT・セキュリティ部門
ほとんどの企業は近年、ITセキュリティとセキュリティ部門に多額の投資を行っています。現在、平均的な企業では130種類以上のサイバーセキュリティ・ツールが使用されています。
このような投資にもかかわらず、大部分のツールは、十分に統合されてなく、効果的かつ効率的に運用されていません。攻撃対象の規模、防御の弱点、攻撃者の能力と動機は、セキュリティ予算や人的リソースに関係なく、どの組織も破壊的なサイバー攻撃の成功を排除できるとは限りません。
オペレーショナル・リスクに対する優れたガバナンスを実証するためには、最悪の事態、つまりランサムウェアやワイパー攻撃に備えておく必要があります。これらの攻撃は、文字通り、デジタルプラグを抜くように、会社全体の業務が停止し、電子メールも、電話システムも、建物に入るためのアクセス・コントロールもできません。全てが停止します。
ほとんどの危機管理計画では、CIOのチームがバックアップからデータを復元できることを前提としています。但し、そのデータがまだ攻撃者によって破損または削除されていない場合でも、セキュリティ部門がインシデントを調査するまでは、その部門は復旧を開始できず、脅威を軽減することもできません。 どの脆弱性にパッチを当てる必要があるのか?どの持続性メカニズムを設定から削除する必要があるか?どのフィッシングメールが受信トレイに残っているのか?これらは、調査が答えるべき質問のほんの一部に過ぎません。そうでなければ、システムはすべてのバックドアが残ったまま復元され、とともに回収され、ハッカーは数分以内再び侵入します。
完全な障害が発生した場合、セキュリティ部門のツールは、アクセス不可能となり、CISO部門はCIOと緊密に連携して、まずこれらの重要なツールを信頼できる状態に再構築する必要があります。その後、初めて、攻撃に対応することが可能となります。企業は、この攻撃の決定的瞬間における依存関係や問題点を理解し、緊急時計画の出発点とすることが不可欠です。
日本におけるサイバーレジリエンスに向けたこの戦略的転換は、サイバーセキュリティのフレームワークの強化に重点を置いていることと一致しています。NISTサイバーセキュリティフレームワーク2.0やEUのデジタル・オペレーショナル・レジリエンス法(DORA)と同様に、サイバーセキュリティ基本法やサイバーセキュリティ対策センター(NISC)のガイドラインなど、日本の取り組みもレジリエンスの重要性を強調しています。これらの規制では、企業がサイバー攻撃を検知するだけでなく、そのようなインシデントへの対応能力や回復能力を強化することが奨励されています。歴史的に、これらの分野-対応とデータ復旧-は、予防と検知に比べて投資が少なかったが、現在では日本における強固なサイバーセキュリティ戦略の重要な構成要素として認識されています。
緊急時の退避場所
攻撃が成功した場合でも高い免疫が保たれ、CIOとCISO部門に信頼できるツールとデータを提供する安全な場所を社内に設置することは不可欠です。この安全な場所のコンセプトは、デジタル・フォレンジックやインシデント対応チームによって「クリーン・ルーム」と呼ばれています。Cohesityは、このクリーンルームを、セキュリティ・オペレーション部門が攻撃がどのように発生したかについて理解するために必要な調査ステップを実行できる隔離された環境と定義しています。インシデントのタイムラインを作成することで、脅威を排除し、再発を防止するために回復フェーズにおいて、実施すべき改善措置のマニフェストを作成することができます。
ITオペレーション部門は、「ステージング・ルーム」と呼ばれる隔離された環境でセキュリティ部門と連携し、セキュリティ部門の調査によって明らかになった脅威に対する是正措置を実行します。システムは、攻撃の痕跡がすべて除去され、脆弱性にパッチが適用され、システムが堅牢化され、機能がテストされた後に、本番稼動に戻されます。
Cohesityは、ITオペレーション部門とセキュリティ・オペレーション部門を単一のデータ管理およびセキュリティ・プラットフォームに統合します。これにより、クリーン・ルームとステージング・ルームの迅速な設置、信頼できるセキュリティオペレーションツールの展開(その大部分はCohesityのデータセキュリティアライアンスのメンバーである可能性があり、事前に構築された統合機能によりレスポンスタイムが改善されます)、Cohesityのネイティブハンティング機能とデータ分類機能を使用して、攻撃封じ込めのためにネットワークとシステムを隔離することで発生するレスポンスの課題に対処すること、システムの迅速な再構築またはリカバリによりミティゲーションプロセスを緩和することなどが可能になります。これらすべてが、レスポンスとリカバリの効率と効果を向上させ、レジリエンスを強化し、攻撃の影響を軽減することに貢献します。
サイバー攻撃が成功する可能性が高いことは明らかです。企業が攻撃もたらす被害を食い止めるためには、緊急時に必要なすべてのツール、データ、プロセスに頼ることができることが極めて重要です。
身代金を支払うことは、サイバー攻撃に直面した企業にとって唯一の解決策のように思われがちだが、この方法では期待された成果を得られないことが多いです。Cohesityのサイバー・レジリエンシー戦略担当グローバル・ヘッドであるジェームズ・ブレイクが指摘するように、セキュリティ予算や人的リソースに関わらず、破壊的なサイバー攻撃のリスクを完全に排除できる組織は存在しません。このようなリスクを軽減するためには、企業はCIOとCISO部門が効果的に活動できる安全な環境、すなわち「クリーン・ルーム」を確立しなければなりません。この戦略は、レジリエンスを向上させ、サイバー攻撃の影響を最小限に抑えるために極めて重要です。一方で、身代金の支払いだけ依存することは、保証された解決策とは言い難く、しばしば残念が結果を招いています。
オートメーション新聞は、1976年の発行開始以来、45年超にわたって製造業界で働く人々を応援してきたものづくり業界専門メディアです。工場や製造現場、生産設備におけるFAや自動化、ロボットや制御技術・製品のトピックスを中心に、IoTやスマートファクトリー、製造業DX等に関する情報を発信しています。新聞とPDF電子版は月3回の発行、WEBとTwitterは随時更新しています。
