億単位の損害?｢大規模マルウェア感染｣の深刻度 システム1ヵ月停止で売り上げ何％減か想定を

マルウェアの活動を認知する手段としてわかりやすいのは、ウイルス対策ソフトやEDR （Endpoint Detection and Response）などによる検知だ。ウイルス対策ソフトでマルウェアを検知した場合、その動作自体は対策ソフトにより止まっているはずだ。

東洋経済Tech×サイバーセキュリティのトップページはこちら

ただし、検知できなかったマルウェアや、攻撃者が送り込んだ何らかのツールが動作している・していた可能性は残る。そこで検知したマルウェアを解析して動作内容を確認し、端末のOSやネットワーク機器のログを可能な限り突合して調査する必要があるが、この調査に必要な情報をつねに監視・記録して調査効率を図っているのがEDRだ。

マルウェアの活動を認知した時点では、それがどのような挙動をした可能性があるか、外部へのデータ転送など情報流出の可能性があるかを調査しなくてはならない。並行して、企業・組織の意思決定者やそれに直結する部署に対して事態の報告を行い、対処方針の検討を始めるための材料を提示することが必要だ。

システムが1カ月停止すると売上は何％減るか

ここでのカギは、攻撃の被害によって「事業の継続性」にどの程度影響が出ているか、「直接・間接」双方の観点で考えることだ。

例えば、ランサムウェア（マルウェアの一種で、復旧と引き換えに「身代金」を要求するもの）に感染してファイル群が暗号化されて読み込めず、事業に必要なシステムが一部停止に追い込まれた場合、この状態が1カ月続けば○○％の売り上げ減が見込まれる、といった具合だ。

実際の現場において、初動対応でここまで情報を整理するのは難しいかもしれないが、そのための状況把握や、最終的な経営判断の材料となり得る事実関係は押さえておくべきだ。