画像を拡大 サイバー攻撃被害の再発防止策とガバナンス体制の強化について(アサヒグループホールディングスHPより)

サイバーセキュリティ基準で対策を評価し、改善などに努めていたにもかかわらず、ランサムウェアで大打撃を受けたアサヒグループホールディングス。内部でもかなりの衝撃であったと、対策方針から考えられます。

対策の高度化

アサヒは管理者権限を奪取され被害拡大(イメージ/Adobe Stock)

2月18日、アサヒグループホールディングスは「サイバー攻撃被害の再発防止策とガバナンス体制の強化について」を発表しました。昨年からのランサムウェア攻撃によって発生した業務システムの停止や個人情報の流出インシデントに対する具体的な再発防止策が示されています。

特筆すべきポイントは大きく2つで、攻撃を受ける前提でのセキュリティ対策高度化と、迅速な復旧を可能とする社内ガバナンス体制の強化を目指すことが挙げられています。

旧来のセキュリティ防御の考え方では、対応に限界が見え、攻撃者の高度な攻撃を防ぐには、より高度な対策の推進が求められていると判断されたのでしょう。再発防止策は、攻撃経路の排除とゼロトラストを前提とした端末・ネットワーク・システム構成の再設計、監視・検知・初動対応の高度化、権限管理およびクラウドを含むインフラのセキュリティ強化、復旧性の向上並びに人的対策の継続的強化を総合的な実施が挙がっています。

今回の特徴の1つは、管理者権限の奪取による被害の拡大です。管理者権限を得た攻撃者は、芋づる式に他の権限の奪取を試み、次々と社内のデータやサーバへ侵入し、被害を拡大していきます。報告によれば、結果的にサーバやPC端末のデータ暗号化や、情報の流出などが発生しています。

ひとたび、管理者権限を奪取されると、影響範囲の特定が非常に難しくなります。理由は先にあげたように被害が広範囲になる可能性があるため。攻撃の調査対象が広げざるを得なくなり、証拠保全や影響範囲の解析、感染源の除去などで調査や対応に時間が費やされます。

しかもこの間、すべての業務を止めなくてはなりません。結果として多くの業務を、長期にわたり停止せざるを得ない状況となってしまいます。