経営幹部たちは、同僚から会社がサイバー攻撃を受けたことを知らせる電話をますます恐れています。2021年から2022年初頭にかけて、ほぼ毎週のように有名企業がメディアの注目を集め、広報チームは攻撃の経緯や顧客の信頼回復策の説明に苦慮しています。最近の調査では、調査対象となった組織の37%が過去1年間にランサムウェア攻撃の被害を受けたことが明らかになりました。
さらに悪いことに、経営幹部チームがCISOに責任を完全に委譲できる時代は終わりました。実態とは関係なく、調査によると、ランサムウェア攻撃の責任に関する一般認識の約40%はCEOの責任であるとされており、攻撃の36%はCレベルの人材の喪失につながっています。経営幹部がセキュリティプログラムに関与することで防御が成功するとは限りませんが、経営幹部チーム(ELT)は最終成果物に対する一定の所有権を持ち、自信を持って知識豊富な発言をすることができます。
いつ、ではなく、
多くのチームは、攻撃者が足場を築いた後の対応ではなく、初期攻撃の予防を重点的に計画します。ランサムウェア攻撃は常に複数段階のプロセスであり、攻撃中に攻撃者の攻撃を遅らせ、妨害する戦略を策定するのはELTメンバーの責任です。計画においては、迅速な対応、実証済みの封じ込め技術、そして根絶に重点を置く必要があります。例えば、以下のような質問をしてみるとよいでしょう。
- あなたのチームには、ランサムウェア攻撃に対する標準的な運用手順があり、企業全体のすべての特権アカウントのパスワードを迅速に変更するなどの封じ込めの「戦闘訓練」を定期的に実施していますか?
- 侵害を受けたネットワークセグメントを迅速に隔離し、ネットワークの残りの部分の整合性を維持する方法はありますか?
- あなたのチームはゼロトラスト アーキテクチャに向けて取り組んでいますか?
- あなたのチームは重要なデータがどこに保存されているか、保存時に暗号化されているか知っていますか?
- ビジネスに不可欠なサービスが何であるか、またそれらのサービスにはどのような技術的依存関係があるかを彼らは知っていますか?
- バックアップは冗長化されており、侵害された管理者アカウントによる偶発的なアクセスから保護されていますか?
これらの難しい質問への答えは、差し迫ったランサムウェア攻撃に直面したときに成功と失敗の違いになる可能性があります。
チームワークが夢を実現する
緊迫した状況下で効果的な分野横断型チームを構築するのは容易ではありません。ほぼすべてのCISOは、サイバーセキュリティ緊急事態における即時対応の調整責任を、信頼できる部下(しばしば「インシデント・コマンダー」と呼ばれる)に委任しています。インシデント・コマンダーがランサムウェア対策の「作戦室」を構築する際、適切な人材が確実に含まれたメンバー構成を一目で確認できる名簿を用意していますか?経営幹部としての時間は非常に限られているため、どのように最新情報を入手したいですか?また、インシデント・コマンダーやCISOは、その要件を理解していますか?組織のインシデント・コマンド体制には法務部門が組み込まれていますか?
重大インシデント発生時、優秀な人材は疲労困憊の限界を超え、結果としてミスを犯してしまうことがよくあります。適切なペースを設定するために、互いに、そしてチーム全体で責任を負える信頼できるメンバーはいますか?一般的に、インシデント対応者は1日あたり約10~12時間しか最高の精神力を発揮できないため、この時間に基づいて適切なローテーションを組むことができます。チームには、個人的な緊急事態が発生した場合に備えて、主要役割を担う人材に冗長性を持たせた効果的な休息プランがありますか?一流のセキュリティオペレーションセンター(SOC)は、軍事作戦の人員計画と同様に、各人員に1~2名のバックアップが十分に訓練されているという点で、緊急時の人員計画を構築しています。
参照: 採用キット: データサイエンティスト ( TechRepublic Premium)
聞こえますか?
最もよくある質問の一つは、「ランサムウェアの通信にどう備えればよいか」です。社内コミュニケーションにおいては、通知の送信に使用する通信システムを明確にすることが重要です。勤務時間外でもチームに連絡を取り、合流できるシステムでしょうか?最悪のシナリオとして、企業ネットワーク全体がオフラインになった場合を想定し、真の帯域外(OOB)通信手段は確保されているでしょうか?軍事計画モデルを参考にすれば、最下層の作戦命令でさえ、一次、二次、三次通信手段が定義されているのは当然のことです。
社外コミュニケーションにおいては、時間が重要です。著名組織への攻撃は、通常24時間以内にメディアで報じられることが分かっています。貴社の広報・PRチームは、インシデント発生時の初期の公表に使用できるテンプレートを事前に用意していますか?今からテンプレートを作成しておけば、時間を節約でき、危機発生時に重要な詳細を見落とすこともありません。ニュースサイクルを早期にコントロールするために必要なポイントは何でしょうか?承認フローはどうなっているでしょうか?CEOが直接確認する必要があるのでしょうか?それとも、コーポレートコミュニケーション責任者の指示で公開できるのでしょうか?
思慮深いCEOであれば、機密データの漏洩が確認された場合など、直接確認が必要となる状況を明確にし、それ以外の状況ではCEOの確認なしに通知を公開する権限を広報部門に与えると考えるかもしれません。カスタマーケアやヘルプデスクなど、顧客対応チームがある場合は、機密情報の漏洩を防ぎつつ、全員の冷静さを保つための定型メッセージを用意しておくべきでしょう。いずれの場合も、弁護士に相談し、広報部門と連携して対応すべきです。
攻撃者との交渉
組織はいかなる状況下でも身代金を支払わないという強硬な方針を定める覚悟がありますか?そのような方針を公表することで標的にされる可能性が低くなるかどうかを示すデータはありませんが、逆の効果が観察されています。身代金の支払いを前例に挙げた組織は、攻撃者から確実に身代金が支払われると認識されるため、標的にされやすくなります。実際、最近の調査では、身代金を支払った組織の80%が、直後に再攻撃を受けたことが示されています。
支払いを拒否するという強硬な方針を定めることができない場合は、OFAC(米国財務省)の制裁対象事業体が関与している場合の支払いの合法性など、多くの二次的な考慮事項が重要になります。弁護士、サイバー保険会社、そして可能であればランサムウェア対策の専門会社など、すぐに連絡できる専門家はいますか?いつものように、弁護士に相談してください。
参照:COVID-19による男女格差:女性が仕事を辞める理由と復職させる方法(無料PDF)(TechRepublic)
ランサムウェア対策計画を準備するCEOへのアドバイス
- 経営幹部チームは、ランサムウェア対策計画の策定に密接に関与することができますし、また関与する必要があります。
- ランサムウェア攻撃の試みは、今日の平均的な組織にとってほぼ避けられないものですが、侵入後の適切な措置により、被害を大幅に軽減することができます。
- チーム構造と適切なコミュニケーション計画は、強力なサイバーセキュリティ ツールと構成と同じくらい重要です。
身代金の支払いに関する考慮事項は複雑であり、「万能の」答えはありませんが、ほとんどの場合、身代金を支払うと、将来的に標的が増加することになります。
ネイト・ポースは、Cisco Talosのインシデント対応指揮官です。サイバーセキュリティ分野で6年以上の経験があり、運用リーダーシップでも5年以上の経験があります。2021年2月にCiscoに入社する前は、米国国家地理空間情報局(NGIA)で上級サイバーセキュリティ監視官を務めていました。また、アメリカ海兵隊では戦闘工兵将校として勤務し、大尉の階級で退役しました。
