ランサムウェアは何カ月も潜伏するのがフツー《アスクルとアサヒGHDへの｢サイバー攻撃｣》対策していたのに被害･･･どこに隙があったのか

ランサムウェア被害を前提に、「どのシステムが止まったら、誰が何をするのか」「代替手段は本当に使えるのか」を、平時から訓練しておく必要があります。紙の上の計画だけでは、いざというときに役に立たないのです。

形だけの対策から、実効性のある運用へ

アスクルは今後、NISTフレームワークに基づくセキュリティ強化など、教科書的とも言える対策を進めるとしています。これ自体は正しい方向性です。

しかし、アサヒGHDの事例が示すように、フレームワークに沿っていることと、実際に守れていることは別問題です。

アサヒGHDでは、NISTフレームワークに基づくセキュリティ対策を行ったとしているだけでなく、セキュリティベンダーの外部評価を受け、さらにペネトレーションテスト（外部からの第三者模擬侵入テスト）まで行っていたということを忘れてはなりません。形だけの対策にならないことを肝に銘じるべきです。

両社の事例から見えてくる共通点は明確です。

「対策は取っていたが、運用が伴っていなかった」
「ランサムウェア被害を本気で想定していなかった」

この2点に尽きます。

サイバー攻撃を完全に防ぐことは難しいでしょう。しかし、早期に侵入を発見し、被害を最小限に抑え、事業を立て直す力は備えることができます。アスクルとアサヒGHDの事例は、その現実を私たちに突きつけています。

ランサムウェア対策とは、最新のツールを導入することではありません。日々の運用と、「最悪を想定する覚悟」こそが、本当の対策なのです。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティーの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、森井 昌克さんの最新記事をメールでお知らせします。