ランサムウェア攻撃によるダウンタイム削減に効く封じ込め戦略：Gartner Insights Pickup（344）

ランサムウェア攻撃の脅威が年々エスカレートしており、最高情報セキュリティ責任者（CISO）には、自社の被害を防ぎ、最小限に抑えなければならないというプレッシャーがのしかかっている。自社のレジリエンスを高めるには、強靭性を維持し、ダウンタイム削減に役立つ協調的な封じ込め戦略の準備をしなければならない。

[Wayne Hankins, Gartner]

ガートナーの米国本社発のオフィシャルサイト「Insights」などのグローバルコンテンツから、＠IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

　ランサムウェア攻撃の脅威が年々エスカレートしており、企業に混乱をもたらしてダウンタイムを発生させている。最高情報セキュリティ責任者（CISO）には、ランサムウェア攻撃による自社の被害を防ぎ、最小限に抑えなければならないというプレッシャーが重くのしかかっている。

　ランサムウェア攻撃に対する自社のレジリエンス（強靭〈きょうじん〉性、回復力）を高めるには、サイバーセキュリティリーダーは強靭性を維持し、将来の攻撃から迅速に回復するのに役立つ協調的な封じ込め戦略を実行する準備をしなければならない。さもないと、連携の取れた効果的な対応ができず、復旧に時間がかかるリスクが高まる。

封じ込め戦略を策定するには

　CISOはランサムウェア攻撃の影響の軽減に向けて、ステークホルダーと協力し、封じ込め戦略を策定する必要がある。この戦略の主な目的は、攻撃の検知から封じ込めまでの時間を短縮すると同時に、ビジネスの混乱を抑えることにある。CISOはまず、以下の手順を踏んでこの戦略を策定しなければならない。

• ビジネスクリティカルなシステムとビジネスへの影響を特定する。こうした重要なポイントの特定に当たっては、ビジネスステークホルダーに大いに頼る
• これらのシステムのビジネスへの影響度を見極める
• アーキテクトやベンダーなどのSME（Subject Matter Experts：内容領域専門家）と協力し、自社が感染システムを隔離する能力を把握する。封じ込め方法を明確に定義し、テストする必要があるからだ
• 自社システムの汚染リスクレベルを前もって判断しておく。例えば、相互依存関係にあるシステムがほとんど、または全くないシステムは、相互依存関係にあるシステムが多いシステムと比べて、汚染リスクレベルが低い可能性がある
• 以上の作業を、封じ込め戦略ワークブックに文書化する

封じ込め戦略をサイバーセキュリティインシデント対応計画に統合

　ランサムウェアはビジネスに影響を与えるため、Gartnerは、この種の攻撃を管理するプロセスと手順を盛り込んだ“ランサムウェアプレーブック”を作成することを推奨している。CISOは、定義した封じ込め戦略を、自社のサイバーセキュリティインシデント対応計画やランサムウェアプレーブックに統合する必要がある。

　統合が成功したら、CISOは、サイバーセキュリティインシデント対応計画やランサムウェアプレーブックと併せて、封じ込め戦略の信頼性と有効性をテストしなければならない。机上演習を通じて、自社のインシデント対応計画とランサムウェアプレーブックの実行能力をテストする必要がある。これは、両文書の改善を要する問題点を特定するのにも役立つだろう。

出典：How Can CISOs Reduce Downtime During a Ransomware Attack（Gartner）

筆者　Wayne Hankins

Senior Director Analyst