「会社がサイバー攻撃を受けています」という電話がいつかかってくるかと怯えながら日々を送っている経営幹部が増えています。有名な企業がサイバー攻撃を受けてメディアの注目を集め、広報チームが被害状況や消費者の信頼回復に向けた対応策の説明に追われる事例が 2021 年から 2022 年初頭にかけて毎週のように発生しています。最近の調査によると、調査対象組織の 37% が昨年ランサムウェア攻撃の影響を受けています。
それだけではありません。経営陣が CISO に全責任を負わせることができる時代は終わりました。現実はどうあれ、世論調査では 40% の人がランサムウェア攻撃の責任は CEO にあると考えています。また攻撃を受けた事例の 36% で経営幹部が辞任に追い込まれています。経営幹部がセキュリティプログラムに関与しても立派な防御態勢を築けるとは限りません。ですが、経営陣が最終結果にある程度の責任を負い、情報を把握した上で自信を持って説明責任を果たすことができるようになるのは確かです。
Cisco Talos インシデント対応チーム(CTIR)は、最近のランサムウェアインシデントやエグゼクティブを対象とした机上演習において何百もの組織を支援してきました。このブログ記事では、経営幹部が社内のインシデント対応チームを適切に準備して評価する方法について説明します。
侵入されることを前提とした対策が必要
多くの場合、最初の攻撃をいかに阻止するかが計画の中心に据えられており、攻撃者に侵入された後の対応策はあまり検討されていません。ランサムウェア攻撃は常に多段階からなるプロセスであり、攻撃を受けたときに攻撃者の行動を抑え込んでなるべく有利に立ち回るための戦略を経営陣は策定しておく必要があります。計画を策定する際は、迅速な対応、封じ込め手法の確立と検証、根絶に焦点を当てる必要があります。検討すべき考慮事項の例としては次のものが挙げられます。
- 封じ込めのための標準業務手順書が策定されており、封じ込めの「戦闘訓練」を定期的に実施しているでしょうか?たとえばすべての特権アカウントパスワードを企業全体ですばやく変更することができますか?
- 侵害されたネットワークセグメントをすばやく分離して、ネットワークの他の部分の完全性を維持する方法が確立されていますか?
- ゼロトラストアーキテクチャの構築に向けてチームが取り組んでいますか?
- 重要なデータが存在する場所と保管時の暗号化の有無をチームが把握していますか?
- ビジネスに不可欠なサービスと、それらのサービスの技術的な依存関係をチームが把握していますか?
- バックアップは冗長化されており、侵害された管理者アカウントで偶発的にアクセスできないように保護されていますか?
- ここに挙げたような難問への回答次第で、ランサムウェア攻撃を受けたときの明暗が分かれる可能性があります。
チームワークで最善の対応を実現
攻撃を受けている最中に、業務分野をまたいで効果的に機能するチームを結成するのは困難です。サイバーセキュリティの緊急事態が発生したときの緊急対応を調整する役割については、ほとんどの CISO が信頼できる部下に委任しています。一般に、この役割は「インシデント指揮官」または「CIRT リーダー」と呼ばれています。ランサムウェアの「作戦指令室」をインシデント指揮官が設置するときに、適切な人材が参加していることが一目で確認できる名簿が用意されていますか?あなたは経営幹部として多忙を極めている中で、どのように最新情報を受け取りたいと考えていますか?インシデント指揮官や CISO はそのことを理解していますか?組織のインシデント指揮構造に法務は組み込まれていますか?
重大なインシデントが発生すると最前線の担当者が体力の限界を超えて対応に当たり、結果としてミスを犯すことがよくあります。信頼の置ける人材が、適切なペースで責務をこなすように互いを気遣い、各チームを見守っていますか?通常、インシデント対応担当者が意識を集中して対応に当たれるのは、1 日あたり約 10 ~ 12 時間がせいぜいです。この数値を参考にすれば適切なローテーションを組むことができます。重要な役割について、私生活で緊急事態が発生した場合に別の担当者が対応できるような効果的な休息計画をチームは策定していますか?CTIR のこれまでの観察によると、最も優れたセキュリティ オペレーション センター(SOC)では、軍事作戦の要員計画に似た緊急要員計画を導入しており、どの要員にも、その役割をこなす訓練を十分に受けた交代要員を 1 名から 2 名用意しています。
同様に、最も優れた SOC ではサードパーティとのシームレスな連携も実現していることが分かっています。CTIR では緊急時の第一報を多くのお客様からいただけることを光栄に思っていますが、最も効果的な対応を行うには、サードパーティのセキュリティ ソフトウェア/ハードウェア プロバイダーによる専門的なサポートも必要になることがよくあります。貴社のインシデント対応チームはこうした関係をすでに確立しているでしょうか?また、実際にサポートを受けるための詳細な手順が文書化されていますか?
社内外のコミュニケーション
机上演習でよく尋ねられる質問の 1 つに、ランサムウェア攻撃に備えたコミュニケーション態勢の整え方があります。社内のコミュニケーションについては、通知を送信するのに使用する通信システムを定義することが重要になります。何時間も経過した後でもチームに連絡して招集することができますか?企業ネットワーク全体がオフラインになる最悪のシナリオを想定して、真にアウトオブバンド(OOB)の通信手段を確保していますか?軍事計画モデルでは最下層の作戦命令でさえ一次、二次、三次の通信手段が定義されていますが、偶然そうなったわけではありません。
社外とのコミュニケーションでは時間が重要になります。有名な組織が攻撃された場合、通常は 24 時間以内にメディアに取り上げられることが分かっています。コミュニケーションチームや広報チームは、インシデントを最初に公表するときに使用できるテンプレートを事前に用意していますか?今すぐテンプレートを作成しておけば、危機に見舞われたときに時間を節約でき、重要な詳細を見落とすこともなくなります。ニュースを出すタイミングを早い段階で掌握するために必要な重要ポイントは何でしょうか?承認チェーンはどうなっていますか?CEO が直接確認する必要がありますか?それともコーポレート コミュニケーションの責任者の判断で発表できますか?
賢明な CEO なら、機密データの侵害が確認されたケースなど、直接確認する必要がある状況を決めておいて、それ以外の状況では CEO が確認せずに発表を行う権限をコーポレート コミュニケーションに与えるでしょう。カスタマーケアやヘルプデスクのようなお客様対応チームがある場合、機密情報を漏らさないようにしながらお客様に落ち着いていただくための定型メッセージは用意していますか?どのようなケースでも、法律顧問が助言を行い、コーポレート コミュニケーションと協力することが必要です。
攻撃者との交渉
いかなる状況でも身代金は支払わないという強硬な方針をとることができますか?そのような方針を公表すれば標的になる可能性が低下するかどうかはデータが存在しないため分かりませんが、逆の方針をとった場合にどうなるかは分かっています。過去に身代金を支払った組織は、都合のよいカモと攻撃者に認識されてしまい、何度も標的になっています。実際、最近の調査によると、身代金を支払った組織の 80% がその直後にまた攻撃を受けています。
身代金を支払わないという強硬方針をとれない場合は、さまざまな点を副次的に考慮することが重要になってきます。たとえば、米国財務省外国資産管理室(OFAC)規制にかかる取引に該当しないかの判断が必要になります。法律顧問、サイバー保険会社、場合によってはランサムウェア交渉の専門企業に迅速に連絡できる態勢は整っているでしょうか?まずは法律顧問にご相談ください。
CTIR では、ランサムウェア攻撃を受けても身代金は支払わないことをお勧めしています。支払ったとしても標的になったデータを攻撃者が返却したり復号したりする保証はないからです。一方で、ランサムウェアの支払いを質的または量的な観点から導く意思決定ツリーの作成支援を行っています。極度のプレッシャーにさらされた状況で合理的な意思決定を行っていただけるようにするためのものです。CTIR は精鋭チームである Ransomware Task Force にシスコを代表して参加していますが、同チームでは支払いの前に費用対効果を分析することを最近推奨しています。
ランサムウェア対応計画の策定に関する CEO へのアドバイス
- ランサムウェア対応計画の策定には経営陣も密接に関与することができ、またそうすべきです。
- 今日の平均的な組織にとって、ランサムウェア攻撃に見舞われることはほぼ不可避となっていますが、侵害後の対応を適切に行うことで被害を大幅に軽減させることができます。
- チーム構造と適切なコミュニケーション計画は、強力なサイバーセキュリティツールや構成と同じくらい重要です。
身代金の支払いにまつわる考慮事項は単純ではなく、「万能」の答えはありません。ただほとんどの場合、身代金を支払えばますます攻撃を受けることになります。
本稿は 2022 年 05 月 16 日に Talos Group のブログに投稿された「Ransomware: How executives should prepare given the current threat landscape」の抄訳です。