先ほどの調査ではインシデントを公表しない企業が約半数を占めていたが、事案を握りつぶしたり、隠し通したりするのではなく、専門家や相談できる専門機関を迅速に頼るのが重要だ。最近のサイバー攻撃は発見しにくくなっており、侵入から時間がたつほど被害が深刻化する。
攻撃対象領域が拡大した結果、従来のウイルス対策ソフトだけでは攻撃を防ぐのは困難になっている。特にサイバー攻撃者は脆弱な機器を標的にしている。門林氏は例としてプリンタなどを挙げる。プリンタやNAS、IoT機器は「Linux」で動いているものが多くしばしば標的になるという。狙われているのはPCだけではないことを念頭に対策が必要だ。
プリンタやVPNなどの機器に脆弱性がないかどうかを調べて、必要に応じてアップデートするために、まずはそれらの機器がどこにあるのか、ファームウェアのバージョンや最後にアップデートしたタイミングなどを把握する必要がある。
最近は「Google Bard」といった生成AI(人工知能)ツールに質問すればベンダーが公表している脆弱性情報を収集できる。情報収集が難しい場合はこういった手段を利用するのもいいだろう。
IT資産をしっかり棚卸しし、脆弱性を管理することは重要だ。ただ、リスクはゼロにはできないため、万が一ランサムウェア被害に遭ったとしても会社が倒産しないように回復する能力、つまりサイバーレジリエンスを日頃から整えておくことも怠ってはいけない。
門林氏は「サイバーレジリエンスとは地震や火事などへの対策である防災・減災と同じ発想だ。これらの災害が発生する前提で防災担当者は訓練を実施しているが、サイバーリスク対策にもその考え方を取り入れる。皆さんの会社では、ランサムウェア被害を想定して防災訓練をしているだろうか」と指摘する。
サイバーレジリエンスは最近出てきたバズワードのように思われがちだが、世界経済フォーラムが2012年にまとめた「サイバーレジリエンスへの連帯」では4カ条が定められている。門林氏はこれを訳し、以下のように提示した。
これらに加えて大事なのは基本の基本ではあるが「脅威を想定すること」だ。門林氏は「安全は無料で得られるものではない。経営にとっては嫌な話かもしれないが、デジタルトランスフォーメーション(DX)というキラキラした話の背景には、セキュリティが必要不可欠だ。リスクを直視してそれを低減しなければ、DXはただのおとぎ話でしかなくなる」と指摘する。
海外ではランサムウェア対策ガイドラインが多数公開されており、フレームワークとして整理されている。「これら全てを実施するのは困難だし、新たな対策を実施するのにはリソースやコストもかかる」と考える人もいるだろう。
しかし先ほどの生成AIを使用してガイドラインで頻出するキーワードを20個取り出すと、意外にも基礎の基礎といえるような、分かりやすいキーワードが並んでいることが分かる。
門林氏は「これらはISO27001やNIST(米国立標準技術研究所)の『サイバーセキュリティフレームワーク』で既に求められている事項で、当たり前の話だ。結局、難しく捉えすぎず、セキュリティ対策の基本を確実に実施することが重要になる」と述べた。
門林氏は最後に「ランサムウェア被害は末期症状であるため、それが判明してからでは遅い。ボヤが起きるのは仕方がないとして、それをボヤで止められるのがサイバーレジリエンスだ。会社全体が焼け落ちることが最悪な事態として、そうならないために何ができるか、真剣に検討してほしい」とまとめた。
Copyright © ITmedia, Inc. All Rights Reserved.