悩み(16) ランサムウェア感染による事業停止を回避したい
r社は国内有名企業がランサムウェアに感染して事業に重大な支障が生じたとの報道に接し、自社でもいつ同様の状況になってもおかしくないと懸念していた。
基本情報
r社の状況
- 実店舗5店とオンラインショップを運営。
- 海外からの商品買い付けを電子メ-ルを介して行うこともよくある。
- 売上データはPOSシステムベンダーの提供するSaaS型アプリで管理。
- 上記以外の仕入れや店舗間の情報共有のためのデータは、クラウドサービス上に構築した自社ファイルサーバ上に保存。
- ペーパレス化した結果、クラウド上のデータが失われた場合の被害は深刻。
r社のプロフィール
| 業種 | 小売業 | |
|---|---|---|
| 規模 | 1,000人 | |
| 管理 体制 | CISOの有無 | 有(CIOと兼務) |
| 専任のセキュリティ部署 | 無 | |
| サイバーセキュリティ の主管部署 | ITシステム部 | |
セキュリティ担当者の問題・悩み
海外の仕入れ先のうち、電子メールによるやり取りによらざるを得ないところも多く、その電子メール内には商品紹介ページへのリンクや、契約書の添付などもあり、サイバー攻撃目的の電子メールが紛れ込んでいても区別が困難な状況。海外の取引先が踏み台にされ、そこから詐称メールが届いたこともあった。
一方で、委託先にセキュリティ対策を求めると、できない事情を挙げて拒否されたり、形だけの対策で済ませようとしたりなどで実効的な対策が進まない。
そのような背景もあって、自社のデータがいつランサムウェア感染で暗号化されてしまっても不思議ではないと感じているが、社長に対策予算を要望しても、「ウイルス対策ソフトウェアを最新の状態にして、パッチも適用していればランサムウェアも防げるはず」と理解が得られていない。
取組(16) ランサムウェア感染の可能性をゼロにできないことを社内で共有し、被害軽減策を準備
解決に向けたアプローチ
r社のCISOは、社長に対し、最新のマルウェア対策を実施していても、標的型攻撃等の手法により感染してしまうことが避けられず、ひとたび感染すると事業停止などの深刻な影響があることを他社事例を交えて説明し、次表の対策実施について、予算措置を含めて同意を得ることができた。
r社が実施したランサムウェア対策に関する取組
| 実施した対策 | ランサムウェア対策としての有効性 | |
|---|---|---|
| 運用系 | 通常のバックアップとは別に、週次で重要データを要員の手作業で保存し、通常時は電源を落としておくオンプレミスのストレージを確保 |
|
| ランサムウェア感染が疑われる挙動の検知の仕組みを導入するとともに、ファイルにアクセスできないなど、兆候と思われる挙動があればITシステム部に連絡して欲しい旨を従業員に通知 |
| |
| 教育系 | 海外との電子メールを扱う担当者(高リスク層)とそれ以外の従業員に分けて、それぞれの業務内容に応じて日頃意識すべき事項についての教育を実施 |
|
得られた知見
ランサムウェアは以前から存在していたが、暗号資産(仮想通貨)の普及で身代金の回収が容易になったことと、犯行に見合うビジネス規模になったことから、ネットワークへの侵入を行う者、ランサムウェアを提供する者といった攻撃者における分業や組織化、攻撃の巧妙化により、最近の被害急増を招いている。また暗号化する前にデータを窃取しておき、支払わなければデータを公開する等と二重に脅迫する攻撃もあって、機密性と完全性の両面にわたる脅威となっている。
q社でもペーパレス化が進み、電子データの消失や漏えいが生じた場合の事業への影響の大きさは従来とは比較にならない。q社のCISOはこうした事業を経営層に説明し、必要な予算の確保に理解を得ることができた。