重要インフラを標的としたサイバー攻撃への備え（3）

絶えず進化するサイバー脅威を完全に防ぐことはできません。そのため、組織は、重大な影響を及ぼすインシデントの発生を想定し、事前に準備しておくことが重要です。また、インシデント発生時には、社内外に対して適切なコミュニケーションを短期間でとりながら対応しなければなりません。
本稿では、インシデント発生時における、社内外とのコミュニケーション、サードパーティへの対応、身代金支払いへの方針、情報漏洩への対応、復旧対応における重要事項を解説します。

インシデント発生時の情報発信
インシデント対応手順の整備

重大な影響を及ぼすインシデントの発生を想定し、インシデント発生後の対応を準備することは重要です。特に、重要インフラを提供する企業の場合は、自社のビジネスだけではなく、社会、経済にまで影響が及ぶため、インシデント発生を想定した準備、訓練を実施することで、脅威による被害の最小化、早期の回復を目指す必要があります。
ここで、実際にインシデントが起きた際のシナリオを考えてみます。

これら一連のシナリオにおいて、組織は迅速に回答を準備しなければいけません。

【想定される質問】

警戒すべきシナリオにおいては、技術的な解決策を準備しておくだけではなく、インシデント対応の手順を事前に整備しておくことが重要です。短期間で組織に大きな影響を与える意思決定ができるよう準備しておく必要があります。インシデント対応手順として組織が事前に定義すべき内容は、以下の5点です。

（1）コミュニケーションの手段と伝達先の整理
インシデント発生時においては、社内外のコミュニケーションを管理することが不可欠です。管理されている状態とは、正しいメッセージを、正しいタイミングで、それを受け取る人達に広めることです。したがって、インシデント発生時に最初に発するメッセージを整理しておき、社内および社外の適切なコミュニケーション手段とコミュニケーションをとるべき相手（従業員、顧客、規制当局、メディアなど）を特定して優先順位を整理することが重要です。メッセージは受信者ごとに適切な内容にしておく必要があります。

（2）サードパーティへの対応
サイバー攻撃の被害は、サプライヤー、顧客、規制当局などサードパーティに拡散する可能性があります。そのため、速やかにサードパーティとのネットワークを切断し、さらなる拡散を防ぐ必要があります。したがって、重要なネットワークを即座に分離するには、事前にキルスイッチを構成することが不可欠です。

（3）「払うか、払わないか？」の方針決定
一定の条件を明確にし、事前に企業としての方針を決定しておくことが重要です。身代金を払うのは簡単な方法のように思えるでしょうが、必ずしもそうとは限りません。第一に、身代金の支払いは、データの返還や盗まれた機密情報の非開示を保証するものではありません。また、身代金を払うことで、再び払う可能性があると相手に示すことにも成り得るので、再び攻撃をしかけてくる可能性も出てきます。

（4）情報漏洩への対応
ランサムウェア攻撃で狙われるのは、機密性が高いビジネスデータである可能性が高いです。そのため、事前にその情報が何であり、どこにあるのか、情報が漏洩した場合に組織が何をすべきか、事前に分類整理しておくことが重要です。

（5）復旧対応
身代金を支払っても、攻撃者からの復旧の保証がない、あるいは、石油パイプラインのインシデント事例のように提供された復号ツールが遅くて実用的ではない可能性もあります。つまり、必ずしも迅速なオペレーションのリカバリーが保証されるわけではありません。いずれにしても、バックアップとリカバリーの手段を最新の状態にしてテストしておくことは、リカバリーを成功させるために重要です。

第3回では、サイバー脅威への対応としてインシデント発生時に企業がとるべき対策を解説しました。
次回は、企業がサイバーセキュリティの機能を成熟させるために認識すべき課題と、セキュリティ機能の実装について解説します。

本稿は、KPMGインターナショナルのサイトで紹介している「Securing a hyperconnected world」のサマリーを4回に分けて紹介するものです。
全文は以下のリンクよりご覧いただけます。

全文はこちらから（英文）
Securing a hyperconnected world

第1回：増大するランサムウェアの脅威
第2回：OTサイバーセキュリティ推進のための7つのポイント
第4回：着実にセキュリティ機能を成熟させるために

本レポートに関するKPMGのサービスを紹介します。