ロシアによるウクライナ侵攻が始まって以来、国際的な組織の間でサイバーセキュリティ攻撃等への懸念が高まっています。グローバル企業は、従業員を保護しウクライナの人々を支援するだけでなく、サイバーセキュリティインシデント、サプライチェーンへの影響に関して、自社の問題を見極めようとしています。
これらの脅威は、国家が支援するシステムやインフラへの攻撃、武力紛争の直接的な結果、またはその紛争による巻き添えの被害から生じる可能性があります。紛争の期間、規模、範囲など、依然として多くの不確実性が存在します。
本稿では、サイバーセキュリティに対する準備の度合いを評価するのに役立つ重要なポイントについて、解説します。

高まるサイバー脅威

ウクライナを標的とするサイバー脅威が著しく増加しており、やがて、同盟国や支援者にも及ぶと予想されています。ロシア政府は、国外に退避しようとする企業に対して資産の国有化を含む厳しい行動を取る、と強く表明しています。
企業はこういった報復措置の一環として、サイバー攻撃が増加する可能性に備える必要があります。また、紛争時に標的とされることが多い、エネルギー、通信、メディア、金融サービスなど、重要インフラ関連企業も警戒を強化するべきでしょう。
ロシア、ウクライナ、近隣諸国、あるいは西側諸国で部分的に事業を展開しているにせよ、企業はサイバーインシデントへの備えとサイバー攻撃からの回復力を見極め、広範な備えを構築する必要があります。

レジリエンスとインシデントへの備え

既存のサイバーインシデントへの対応計画は、事業内容や地理的条件によって異なるリスクを十分に考慮した上で見直す必要があります。

今、何ができるか

  • 自社のビジネスに対する脅威の状況を確認し、サイバーセキュリティ・インテリジェンスの協力者とともに、ビジネスリスクと取るべき行動をよく理解し、短期的には日々の脅威に関するブリーフィングに参加することを検討する。
  • 影響を受ける地域での業務の中断を想定し、業務に支障が生じた場合に事業へのリスクを最小化する方法(機能の停止やセキュリティ管理の追加など)を計画する。
  • インシデントレスポンスとレジリエンス(回復力)の計画を見直す。
    • 計画はどの程度の頻度で検証しているか。
    • 想定シナリオは、現在の実際の脅威とどの程度関連しているか。
  • セキュリティインシデント対応計画を更新するとともに、ランサムウェア対応計画を策定する。
  • サイバー保険の契約内容や適用範囲を確認し、適用される可能性のある免責事項も含めて検証する。
  • サイバーセキュリティインシデントに対応している企業に依頼し、契約が最新であるかを確認する。
  • サイバーセキュリティインシデントに関する規制当局の報告要件を確認する。
  • 大規模なサイバーセキュリティインシデントが発生した場合に関与することになる、法執行機関や政府機関と積極的に協議することを検討する。
  • 過去6ヵ月間にサイバー攻撃へのテーブルトップ演習を実施していない場合、実施を検討する。

サイバーセキュリティの保護

サイバー脅威に対する懸念が高まる中、サイバー攻撃の成功確率を下げるサイバーセキュリティ対策、特に紛争から生じる可能性のある、国家や組織犯罪の脅威を防御するのに役立つ対策を見直すことは理に適った必要な行動だと言えます。

今、何ができるか

  • 頻繁に悪用されている重要なシステムの脆弱性には、優先的にパッチを適用する。米国のサイバーセキュリティとインフラセキュリティ局(CISA)は、これらの脆弱性のデータベースを維持しており、多くの国家サイバーセキュリティセンターは、優先すべき領域に関するアドバイスを提供している。
  • 多要素認証の使用、未使用または期限切れのアカウントの削除、高リスクのシステムの隔離に重点を置いた主要システムへのアクセス制御を見直す。
  • マルウェア対策ソフトのインストール、ライセンスの更新、ソフトの定期的なアップデートを確認する。
  • インターネットに公開されているシステムに脆弱性スキャンを実施し、重大な問題が発見された場合は対処する。
  • 重要なシステムのバックアッププロセスが実施されていること、重要なビジネスデータのオフラインコピーが定期的に取られていることを確認する。

サイバーセキュリティの監視

サイバー攻撃の防御策は順次改善することができますが、侵入をタイムリーに検知し、迅速な対処を行うには効果的なセキュリティ監視策が不可欠です。侵入から破壊的なマルウェアが起動するまでの平均時間は、数週間から数ヵ月ではなく、数日単位と短期化しています。

今、何ができるか

  • ネットワークインフラ全体のサイバーセキュリティ監視能力を再度洗い出し、強力なインシデント検知・防止機能が備わっていること、ビジネス、システム、データを適切にカバーしていることを確認する。
  • サイバー脅威ハンティングチームがある場合は、現在の紛争に関与している国家や組織犯罪集団に関連する戦術、技術、手順(TTP)に基づき、特定の侵害指標(IOC)を探させる。
  • 自社の能力を強化するため、または重要なニーズに対して熟練したサポートを提供するために、サイバーセキュリティベンダーと連携し、検知と対応のマネージドサービスを提供することも検討する。

従業員やその家族へのケア

多くの人々が、不確実性への不安を抱いています。場合によっては、従業員がオフィスや国に戻れるまで、重要なサービスをカバーするための臨時サポートを手配しなければなりません。
従業員とその家族を支援するだけでなく、企業は組織的な犯罪集団のリスクにも注意する必要があります。これらのグループは、支援や情報を提供すると称する偽のウェブサイトを開設したり、寄付を求めたりして、現在の危機を利用しようと考えています。ウクライナをテーマにしたフィッシング犯罪や、ウクライナ危機への意見を表明した著名人が標的にされる可能性もあります。

今、何ができるか

  • 従業員が現在の危機に関し、信頼できる情報源にアクセスできるようにし、危機をテーマにしたフィッシングや偽サイトの危険性を認識させる。
  • リスクの高い地域や業務に就いている従業員に対し、サイバーセキュリティに関するアドバイスを提供する。
  • 通常どおりのセキュリティ機能を管理し、増大するセキュリティ警告のトリアージを行い、緊急のセキュリティ改善を行うためのサージサポートを検討する。

パートナー、ベンダー、サプライチェーンのリスク

新型コロナウイルス感染症(COVID-19)の流行が始まった当初、企業が営業を停止したため、企業は、重要なシステム、サービス、データを提供するために、いかに第三者の複雑なエコシステムに依存しているかを即座に認識しました。ウクライナ紛争は、改めて、サプライチェーンの重要な領域に関し、すべてのパートナーのセキュリティとレジリエンスを理解することの重要性を浮き彫りにしています。

今、何ができるか

  • ウクライナ、ロシア、近隣諸国のベンダーやパートナーへの依存度を認識し、サプライチェーンから遮断された場合の緊急対応策を構築しておく。
  • サイバー犯罪がより巧妙化することが予想されるため、紛争に関与している国からのネットワークトラフィックの監視を強化しておく。
  • 重要なサプライヤーについては、そのサプライヤーが実施しているインシデント対応とレジリエンス計画を把握しておく。
  • サプライチェーンで起こったインシデントが自社にどのような影響を与えるかを把握し、監視の強化や対応準備の強化に重点を置くべき箇所を決定する。

次のステップ

ウクライナ紛争によって、サイバーセキュリティインシデントや、重要なビジネス機能およびサービスの停止への懸念が増大しています。現在の情勢は予測不可能ですが、状況がどのように進展し、どのようなシナリオが発生するかを考察してみてください。また、それぞれのシナリオについて、人、ビジネス、サプライチェーン、テクノロジーのリスクという観点から、サイバーセキュリティが重要な要素であることと合わせて、自社への影響を想定するべきです。
万が一の事態に備えて自社のレジリエンスを向上させ、インシデントが発生した場合の影響を軽減し、その期間を短縮するために、何を実行しておくべきかを検討しなければなりません。

本稿は、KPMGインターナショナルが2022年3月に発表した「Cyber considerations from the conflict in Ukraine」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。

全文はこちらから(英文)
Cyber considerations from the conflict in Ukraine

お問合せ