(イメージ:写真AC)

組織に深刻な影響を及ぼすランサムウェア攻撃。今回は、米連邦政府が提示したガイドラインをもとに、組織がランサムウェア攻撃への迅速な対応と被害を最小化していくための計画作りについて解説していく。

最初の目標

ランサムウェア攻撃による被害は、もはやここで紹介するまでもなくあらゆる組織に甚大な影響を及ぼしており、その被害は金銭的損失だけでなく事業中断やデータ損失まで多岐におよぶ。2021年には米国の医療機関がランサムウェア攻撃を受け、患者の診療が停止する事態が発生した。また、2022年には日本最大の製薬会社がランサムウェア攻撃を受け、研究データが盗まれる被害が発生している。

米国のジョイント・ランサムウェア・タスクフォース (JRTF) が「#StopRansomwareガイド」を作成し、CISA(重要インフラ・サイバーセキュリティ庁)が2023年5月23日にリリースした。[1]

このガイドラインでは、ビジネスリーダーがランサムウェアの犠牲にならないように実装できるベストプラクティスを、主に技術的な観点からレビューしている。ガイドラインの第一部ではまず、サイバーセキュリティの技術課題に焦点を当てており、サイバー犯罪者がランサムウェア攻撃を行う際にまず利用する「初期アクセス・ベクトル」や、組織の防御を強化するためのアプローチなどについて説明している。

第二部ではランサムウェア攻撃に対する対応戦略に焦点を当てている。ここでの解説は、企業の評判に関わる責任者や「インシデント対応チーム」のリーダーにとって特に重要な内容が述べられている。インシデント対応チームに対しては、企業の内部および外部の関係者と連携する計画を立てることを推奨しており、今回はこの計画の作り方について解説していく。

ここでインシデント対応チームがまず取り組むべき最初の目標は、全ての関係者を特定することである。これを一覧表のような形で、コミュニケーション・マトリクスに書き出し、「WHO(通知の対象者)」、「WHY(通知の理由)」、「WHAT(通知の内容)」、「WHEN(通知の期限)」、「HOW(通知方法)」、「WHO #2(通知担当者)」の項目それぞれについて記述していく。詳細は後述する。

今回、このガイドラインは2020年に初めてリリースされた「#StopRansomware ガイド」の更新版としてリリースされた。このガイドは、過去2年間に得られた教訓を踏まえ、ランサムウェアの戦術と技術が進化したことを反映している。

ステークホルダーの認識

インシデント対応チームのリーダーにとって特に重要なこととして、組織内外のチームとステークホルダーとの対話計画を作成することを推奨している。この計画はインシデント対応計画やコミュニケーション計画の一部であり、ランサムウェア攻撃が発生した場合にどのように対応するかを決定するための基礎となる。そして、この計画は具体的なアクション、役割、責任を明確にするものであるため、事前に詳細に作成しておくことになる。

計画の作成においては、内部と外部のステークホルダーを認識することが重要である。

ここにはインシデント対応チームのメンバー、取締役会、上級管理職、従業員、主要な顧客、主要なサードパーティベンダーなどが含まれる。もちろん、法執行機関や保険提供者なども重要なステークホルダーとして認識されることになる。これらのステークホルダーとのコミュニケーションは、ランサムウェア攻撃時に会社のメッセージを効果的に伝え、法的な期限を守り、ステークホルダーが情報を欠いてしまうことを防ぐために重要である。

そして、このようなコミュニケーションの計画と準備が行われていることによって、ランサムウェア攻撃が発生した際に組織がパニックにならず、効率的に対応していくことができる。そのため、インシデント対応チームのリーダーは計画を作成し、事前にチーム全体で確認し、必要に応じて更新することが重要な取り組みとなる。