進化し続けるサイバーセキュリティの世界では、自信を持ち過ぎることは良いことではありません。ランサムウェアの脅威がますます増大するなか、企業が今日の攻撃を回避することに成功しても、未来の、より高度な脅威に備えることができるとは限らないからです。
KPMGグローバルCEO調査2021」によると、多くの経営者がランサムウェア攻撃への準備について自信を持っていることがわかりました。しかしそれは、デジタル化で相互に密接に関連するようになったビジネス環境において、レジリエンス構築のための対策をとらずに、過去の脅威に対応するサイバーセキュリティ計画に注力しているに過ぎません。真にレジリエントな組織を構築するには、集中力、持続力、規律が必要です。

過去の攻撃への備えでは不十分

1,325人の最高経営責任者(CEO)が回答した調査結果によると、65%が「ランサムウェア攻撃への対応策を用意している」と答えたことは明るい兆しです。
一方、この意見に「強く同意する」と答えたのは28%に過ぎず、大半の企業がランサムウェアへの対策に十分な自信がないことを示唆しています。これ自体は良いこととも言えます。破壊的なランサムウェアの危険性が高まる中、自分の会社が「不沈艦」であると考えるのは甘すぎるからです。
上級管理職は「私が知っているのは、知らないことがたくさんあるということだけ」と控えめに話しがちですが、ここで重要なのは、ランサムウェア対策に向けた計画が、脅威の性質の変化や顧客企業のビジネスエコシステムを真に考慮したものになっているか、ということです。
多くの組織において、ビジネス的な検討事項とITとの紐づけが不十分なこと、継続的な改善能力が組み込まれておらずそのことに焦点が当たらないことにより、深い議論がなされないといったことがよくあります。その結果、組織は将来の攻撃ではなく、過去の攻撃に対応するために「準備万端」という状況になってしまうのです。

現実のリスクとしてランサムウェアへの対策を

ランサムウェア攻撃のシミュレーションにショックを受ける経営者が多くいます。シミュレーションでは、最新の攻撃を防御できる十分な保護手段がないことが明らかになるだけでなく、早期復旧を阻む脆弱性や仮定が明らかになることもあります。
実際のケースでも、シミュレーションルームに集まった経営陣が、サイバー攻撃がビジネスにどのように影響を及ぼすのかを迅速に把握できないことに驚いていました。個々のシステムに関する想定はあっても、複合的なシナリオを想定した実際の計画はほとんどありません。また、ITシステム、業務、連絡窓口の関連性や依存関係が明確にマッピングされていないため、経営陣は電話や苦情が来るまで業務や生産、顧客への影響を予測できませんでした。

こうした企業では、問題を評価するための視点が不十分なほか、長期間のシステム停止を回避することを目的とした、十分に検証された事業再開計画がないことも少なくありません。基本的な機能への復帰をどのように想定しているのか、どの位の時間がかかるのか、手動で操作できるか、顧客に提供できる最低限の製品・サービスは何か、データはどうするか、整合性の問題にはどう対処するか、といったことが重要になります。これらの新しい問題は、経営会議でようやく議論され始めてきた段階です。
システム停止等の期間が長くなり、ビジネスへのダメージが明らかになるにつれ、事前に承認された手順や意思決定系統ではカバーしきれない、さらなる検討事項が出てきます。多くの場合、幹部層が慎重かつ迅速に行動するためには、手順や事前に合意された原則が有益です。たとえば、さまざまな深刻度のシナリオに基づいて、ランサムウェアに対する身代金を支払うかどうかの判断基準を用意しておきます。
このようなシミュレーションは、通常、経営層に現時点での準備の欠陥への対応を促すものですが、次なる問題は「サイバー攻撃がより巧妙になり、デジタル接続されたビジネスとテクノロジーのエコシステムで企業が危険にさらされる機会が増加する中、セキュリティ対策をいかに維持していくか」ということです。

真のサイバーレジリエンスの構築

「現在直面する危機と将来的なリスクに対応するために、どのようにサイバーセキュリティ能力を強化すればよいか」と頭を悩ますビジネスリーダーには、以下の3つの分野に焦点を当てた行動をお勧めします。

  • オペレーション上のレジリエンスプログラムを精査する
    より広範なデジタルレジリエンスの課題をオペレーショナル・レジリエンス・プログラムと整合させます。また、以下の4点を確認します。
    (1)さまざまな関係者を集め、混乱のシナリオが明確に文書化され、詳細に説明されていること
    (2)依存関係とリスクが適切にマッピングされていること
    (3)法律、規制、保険の問題が十分に理解されていること
    (4)危機のまっただ中での意思決定を支援するための適切な方針と手順が整備されていること
  • レジリエントなテクノロジー・プラットフォームに投資する
    破壊的シナリオにおいて、自社のインフラやテクノロジー・プラットフォームが直面するかもしれない既存の課題を分析します。また、(1)攻撃から十分に防御され、(2)脅威の状況でビジネスの回復をサポートし、(3)脅威や需要の変化や成長に合わせて拡張できる、エアギャップ/マイクロセグマント化された環境下での、代替のセットアップやクラウドベースのシステム整備を検討します。
  • オペレーション対応能力の強化
    インシデント発生時、業務やビジネスへの影響を最小限に抑えながら、(シームレスに運用するために必要な)さまざまな技術的・ビジネス的要件に対応するには、適応力と回復力のある組織になることが重要です。これには、利害関係者を安心させるための綿密な運用・通信プロトコルの導入、重要なサービスの継続、影響を受けたサービスの許容範囲内での再開などが含まれます。

興味深いことに、これらの活動の有効性を高めるには、ビジネスとテクノロジーの両方を考慮に入れたプランの作成が必要で、ITチームとビジネスチームの間で統合と協力を深める必要があります。このことは、サイバーセキュリティ、IT、ビジネスの各チームの戦略を調整したり、組み込んだりすることで、組織文化を大きく変える必要があることを物語っています。

KPMGグローバルCEO調査2021」によると、世界のビジネスリーダーのうち、こうした活動に注力しているとの回答は半数にも達しませんでした。今後3年間で「ガバナンスとオペレーションの回復力、および大規模なインシデントからの復旧能力を強化する」「安全で回復力のあるクラウドベースのテクノロジーインフラを開発するために投資する」と回答したCEOは半数以下でした。
さらに、調査対象となったCEOの約3分の1は、「セキュリティとITのリスク管理を合理化、最適化するために自動化を導入する」ことを計画しており、4分の1強のCEOは、「将来のシステムやサービスの設計にセキュリティとレジリエンスの原則を組み込む」ことを予定しています。

半数近くの経営者が「サイバーセキュリティのスキル向上に注力する」「強力なデジタルおよびサイバーリスク文化を確立する」と回答しているのは心強いことですが、これらの行動は、企業がランサムウェアの脅威に備えるための基本的な行動になりつつあります。現在のランサムウェアの攻撃がサイバー犯罪者の頭の中に浸透し始めたのが5年前(執筆当時:2022年時点)であることを考えると、企業は5年先のことを考え、はるかに悪質な攻撃に備えるべきであることは明らかです。
過去のランサムウェア攻撃を想定して計画を立てるだけでは、デジタル化された組織を守ることはできません。幸いなことに、「KPMGグローバルCEO調査2021」によると、ビジネスリーダーのマインドには健全な疑念があり、それが今後数年間のサイバーレジリエンスの高い組織を作るために必要な努力を後押ししてくれることでしょう。

本稿は、KPMGインターナショナルが2022年2月に発表した「Really ready for a ransomware attack?」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。

全文はこちらから(英文)
Really ready for a ransomware attack?

お問合せ