ランサムウェアは、企業や政府のデジタルや技術活動に対する脅威です。これは驚くべきことでも、オリジナルのニュースでもありませんが、ランサムウェアの巧妙化、頻度、威力の増加は、このサイバー犯罪を無視したり、過小評価したりできないことを証明し続けています。Cybersecurity Venturesは、ランサムウェアの攻撃が現在の11秒に1回から、2031年には2秒に1回になると予測しています。また同社の2020年の調査では、2021年末までにサイバー犯罪の経済規模が日本を飛び越え米国と中国に続く世界第3位になると予想しています。
本連載の第3回では、ランサムウェアの進化とその影響範囲について、悪意のある攻撃者が、企業の本番データへの攻撃を中心に行っていた(Ransomware 1.0)ところ、バックアップを破壊し、その後に暗号化するように変化(Ransomware 2.0)し、さらにはデータを流出させて複数の身代金を要求し、風評被害を与える二重脅迫型の攻撃(Ransomware 3.0)へと移行していることを解説しました。
情報処理推進機構(IPA)は、この二重脅迫型が日本でも増加傾向にあると指摘しています。このようにランサムウェアが進化したことで、組織がサイバーレジリエンスの確立に注力する必要性は、ますます高まっています。なぜなら、ほとんどの組織にとってサイバーイベントがその環境で発生することは現実であり、攻撃の影響に対する迅速な対応とレジリエンスの確立に注力することは、セキュリティ体制の強化と事業継続の確保にとって、極めて重要だからです。
今回は、ランサムウェアによる混乱を軽減するために、サイバーレジリエンスを確立または改善する方法について説明します。まずはその前に、デジタルレジリエンスとは対照的に、サイバーレジリエンスという用語や概念を定義することが重要です。
サイバーレジリエンスは、比較的新しい概念ですが、サイバー上の有害な事象に対して、組織が意図した成果を継続的に提供できる能力のことです。サイバーレジリエンスがセキュリティ対策やデータ管理の目的になることで、ビジネスを安全に行うことに焦点が移り、データガバナンスや保護の問題への対処の仕方や、セキュリティ対策が解決すべき問題も変わってきます。特に日本では、IPAの産業サイバーセキュリティセンター(ICSCoE)で、部門や部署内でのサイバーセキュリティに関する準備とレジリエンスの向上、業界の特性を意識して企業組織全体を強化する」ことを目的とした「産業別サイバー回復力強化演習(CyberREX)」コースを推進しており、組織のサイバーレジリエンスの向上を促すことにも力を入れています。CyberREXは、サイバーレジリエンスを強化し、企業組織全体のレジリエンスを高めることを目的としたコア人材育成事業です。
サイバーレジリエンスの確立と優先事項
サイバーレジリエンスの優先順位を確立または向上させるためには、ITレベルで、しかもITやセキュリティ部門を超えたリーダーシップとの連携が必要になります。そして、サイバーレジリエンスを維持または確立するために不可欠なデータ管理が、セキュリティと並んで取締役会の優先事項となり始めています。この連携がより容易に、そして一般的になりつつあるというのは明るいニュースです。実際、Gartnerは2021年初めに、3~4年以内に40%以上の取締役会が、資格を持つ取締役が監督するサイバーセキュリティ専門委員会を設置すると予測しています。なぜ、このような取り組みが必要なのでしょうか。組織は、ランサムウェアなどのサイバー脅威が業務を侵害し、ビジネスプロセスを混乱させ、収益に大きな影響を与え、企業の評判にダメージを与えることを理解しており、取締役会は、サイバーセキュリティだけでなく、これら全てを重要な優先事項として管理、監督する責任があるからです。
情報セキュリティ部門やセキュリティ運用部門は、ほとんどの場合、デジタルと物理のオペレーション(今日の情報がつながれた世界では、これらは密接に絡み合っています)を安全に実行し、同時に会社の顧客、従業員、パートナー、および組織のデータを安全に保護することを任務としています。データは、プロセス実行の生命線であるため、これらを共に保護することが非常に重要です。
しかし、データを保護するには、データの所在を知ることが不可欠です。企業は、データフットプリントを知らなければデータを保護することができないため、「ダークデータ」(企業が持っているデータの種類、場所、安全かどうか、バックアップが行われて復旧が可能かどうかを把握していないことを表す用語)が、データ管理、規制順守、サイバーレジリエンスの確立、セキュリティ体制の維持にとって重要な関心事となっています。データの保存・管理場所を統合してデータフットプリントをシンプルにすることで、サイバー脅威の攻撃対象を低減し、サイバーレジリエンスの向上・維持が可能となります。
このように、データの管理とデータを利用するプロセスの関係の変化によって、われわれがヒアリングした企業では、データコンプライアンスとデータ管理の融合から、データ管理と情報セキュリティの融合へと変化が見られました。これは、データの分類(機密、非公開、公開)ごとにデータの所在を把握し、そのデータがどのように業務に利用されているかを知ることで、業務とサイバーセキュリティの両方の目標や規制要件を満たすために、データの拡散やアクセスをどのように管理するかを決定するのに必要な可視性が提供されるからです。その結果、サイバーレジリエンスの重要性が高まり、組織が意図したビジネス成果を継続的に実現するためにデータとオペレーションを保護することができるかどうかが明らかになります。
