絶えず進化するサイバー脅威を完全に防ぐことはできません。そのため、組織は、重大な影響を及ぼすインシデントの発生を想定し、事前に準備しておくことが重要です。また、インシデント発生時には、社内外に対して適切なコミュニケーションを短期間でとりながら対応しなければなりません。
本稿では、インシデント発生時における、社内外とのコミュニケーション、サードパーティへの対応、身代金支払いへの方針、情報漏洩への対応、復旧対応における重要事項を解説します。

インシデント発生時の情報発信

重大な影響を及ぼすインシデントの発生を想定し、インシデント発生後の対応を準備することは重要です。特に、重要インフラを提供する企業の場合は、自社のビジネスだけではなく、社会、経済にまで影響が及ぶため、インシデント発生を想定した準備、訓練を実施することで、脅威による被害の最小化、早期の回復を目指す必要があります。
ここで、実際にインシデントが起きた際のシナリオを考えてみます。

・ある公共サービスを提供する企業のオペレーションネットワーク内のワークステーションで、「Blue Screen/Dumping Physical Memory」とメッセージが表示され、5分後に、オペレーションシステムがマルウェアに感染したことが判明。

・初期対応として、マルウェアのさらなる拡散を防ぐため、ネットワーク接続を切断し、診断による被害範囲の調査を開始した。

・一方、インシデント発生の報告を受けた経営層は、意思決定の必要性から、CSIRTに神経質な質問を投げかける。

・インシデント発生によって組織全体が極度のストレス状態に陥り、社内の誰かがSNSを通してインシデント発生の事実を流布したのか、ジャーナリストが会社にインタビューを打診してきた。

 

これら一連のシナリオにおいて、組織は迅速に回答を準備しなければいけません。

【想定される質問】

・影響を受けたネットワークは隔離できているのか?

・ネットワークの隔離は実績ある作業か?

・ネットワークを隔離したことによる事業への影響は?

・運用中のネットワークを分離することで手動で業務継続は可能か?

・もし可能であるなら事態を想定した業務継続は訓練されているか?

・手動操作からリカバリーはできるのか?

・これを公表すべきか?

・公表するならマスコミに何と説明すべきか?

・公共サービスが影響を受けるか?

・影響を受ける場合どのような影響があるか?

・人命が危険にさらされないか?
・法執行機関を巻き込むべきか?
・規制当局を巻き込むべきか?
・身代金を払うべきか?

インシデント対応手順の整備

警戒すべきシナリオにおいては、技術的な解決策を準備しておくだけではなく、インシデント対応の手順を事前に整備しておくことが重要です。短期間で組織に大きな影響を与える意思決定ができるよう準備しておく必要があります。インシデント対応手順として組織が事前に定義すべき内容は、以下の5点です。

(1)コミュニケーションの手段と伝達先の整理
インシデント発生時においては、社内外のコミュニケーションを管理することが不可欠です。管理されている状態とは、正しいメッセージを、正しいタイミングで、それを受け取る人達に広めることです。したがって、インシデント発生時に最初に発するメッセージを整理しておき、社内および社外の適切なコミュニケーション手段とコミュニケーションをとるべき相手(従業員、顧客、規制当局、メディアなど)を特定して優先順位を整理することが重要です。メッセージは受信者ごとに適切な内容にしておく必要があります。

(2)サードパーティへの対応
サイバー攻撃の被害は、サプライヤー、顧客、規制当局などサードパーティに拡散する可能性があります。そのため、速やかにサードパーティとのネットワークを切断し、さらなる拡散を防ぐ必要があります。したがって、重要なネットワークを即座に分離するには、事前にキルスイッチを構成することが不可欠です。

(3)「払うか、払わないか?」の方針決定
一定の条件を明確にし、事前に企業としての方針を決定しておくことが重要です。身代金を払うのは簡単な方法のように思えるでしょうが、必ずしもそうとは限りません。第一に、身代金の支払いは、データの返還や盗まれた機密情報の非開示を保証するものではありません。また、身代金を払うことで、再び払う可能性があると相手に示すことにも成り得るので、再び攻撃をしかけてくる可能性も出てきます。

(4)情報漏洩への対応
ランサムウェア攻撃で狙われるのは、機密性が高いビジネスデータである可能性が高いです。そのため、事前にその情報が何であり、どこにあるのか、情報が漏洩した場合に組織が何をすべきか、事前に分類整理しておくことが重要です。

(5)復旧対応
身代金を支払っても、攻撃者からの復旧の保証がない、あるいは、石油パイプラインのインシデント事例のように提供された復号ツールが遅くて実用的ではない可能性もあります。つまり、必ずしも迅速なオペレーションのリカバリーが保証されるわけではありません。いずれにしても、バックアップとリカバリーの手段を最新の状態にしてテストしておくことは、リカバリーを成功させるために重要です。

第3回では、サイバー脅威への対応としてインシデント発生時に企業がとるべき対策を解説しました。
次回は、企業がサイバーセキュリティの機能を成熟させるために認識すべき課題と、セキュリティ機能の実装について解説します。

本稿は、KPMGインターナショナルのサイトで紹介している「Securing a hyperconnected world」のサマリーを4回に分けて紹介するものです。
全文は以下のリンクよりご覧いただけます。

全文はこちらから(英文)
Securing a hyperconnected world

重要インフラを標的としたサイバー攻撃への備え(全4回)

関連サービス

本レポートに関するKPMGのサービスを紹介します。

お問合せ