会社の健康診断してる？｢うちは狙われるような情報はない｣が命取り､“プロの侵入成功率は9割以上”ランサムウェアに泣く前に脆弱性診断を

「ランサムウェア攻撃を仕掛ける攻撃者、いわゆるブラックハッカーと呼ばれる攻撃者は外部から社内ネットワークへアクセスできる隙間を見つけて侵入した後、すぐに行動を起こすわけではありません。数週間から、長い場合は数カ月にわたってネットワーク内部に潜伏し、静かに調査活動を行います。人手でネットワーク内を探索し、事業継続に不可欠な基幹サーバーや業務システム、場合によっては人手でバックアップデータがどこに保管されているのかを徹底的に特定するのです」と阿部氏は話します。

阿部慎司（あべ しんじ）GMOサイバーセキュリティ byイエラエ 執行役員 兼 ディフェンシブセキュリティ部 部長（写真：本人提供）

情報を収集しきると、会社が最も打撃を受けるであろうタイミングを見計らって、一斉にデータを暗号化し、事業活動を完全に麻痺させます。多くの場合、そこから身代金を要求してきます。

「バックアップがあるから大丈夫」という考えも、安易かもしれません。バックアップデータも本番環境と同じネットワーク上にある場合は、一緒に暗号化されてしまうケースがあるのです。そもそもバックアップが一部のデータしか取れておらず、復元してもシステム全体が機能しないパターンも多いといいます。

しかも、身代金を支払ったところでデータが元通りになる保証はどこにもなく、二重、三重の脅迫を受けるリスクさえあります。事業再開のメドが立たないまま、倒産へと追い込まれる企業も存在するなど、その被害の大きさは筆舌に尽くしがたいものになります。

まずは「自社の健康状態」の把握から

ウェブサイトの改ざんやランサムウェアによる事業停止をはじめ、多様化・高度化するサーバー空間の脅威に対し、問題が起きてから対応するような場当たり的な対策では、もはや限界があります。

では、組織として体系的かつ網羅的にセキュリティ対策に取り組むには、何から手をつければよいのでしょうか。

その羅針盤となるのが、阿部氏が策定に深く関わった「セキュリティ対応組織の教科書」です。このガイドラインは、日本の主要なセキュリティ事業者が加盟する「日本セキュリティオペレーション事業者協議会（ISOG-J）」が、現場の知見を結集して作成したものです。