Gartnerが語る「ランサムウェアの身代金は支払うべきか」問題:ITセキュリティ責任者の有事における役割とは
ランサムウェア被害が相次いでおり、身代金を支払うべきかどうかについての議論も聞かれるようになった。果たして支払いはすべきなのか。IT/情報セキュリティ責任者は被害があった際にどう行動すればいいのか。Gartnerのアナリストに聞いた。
ランサムウェアの脅威が止まらない。2024年になっても、KADOKAWAグループをはじめとした大小の被害事例が次々と明らかになっている。その過程で、ランサムウェアの身代金についてどう考えるかについても話題となっている。身代金は支払うべきか否か。支払うならば、どのような考え方の下で判断を下すべきなのか。
CISO(最高情報セキュリティ責任者)などのIT/サイバーセキュリティ責任者は、このプロセスにどう関わるべきなのか。そもそも、ランサムウェアによる侵害が発覚した場合に、サイバーセキュリティ責任者はどう振る舞えばいいのか。
企業に対してランサムウェアについてのアドバイスをすることも多い、調査会社Gartnerのバイス プレジデント アナリスト、クリス・シルバ氏に聞いた。
身代金を払った結果、さらに多く支払わされたケースが68%
ランサムウェアによってデータを暗号化されて身代金を要求されたとき、端的に言って支払うべきか、そうではないのか。
シルバ氏は「組織と状況によって異なる」と答えた。一方で、統計的に言えば払わない方がいいという。
まず、組織と状況によって異なるという点に関しては次のように説明する。
「例えば小売業の場合、ホリデーシーズン中には閑散期とは異なる意思決定をする可能性がある。閑散期には支払わないかもしれないが、繁忙期には支払うかもしれない」(シルバ氏、以下同)。繁忙期に支払いたくなる理由は、できるだけ早くビジネスを再開したいからだ。
つまり、多くの企業は自社のビジネスへの影響により、身代金を支払うかどうかを決めている。実際に支払いをするケースも多い。Gartnerの調査では、ランサムウェアの被害に遭った調査対象のほぼ半数が支払ったことがあるという。支払うべきかそうでないかを議論するのはほとんど意味がない。
一方、支払わないほうがいいとシルバ氏が話す理由は、効果が少ないことが多いのに加え、より重大な被害につながる可能性があるからだという。
「身代金を支払ったからといって、攻撃者から受け取った復号キーが機能しないことがある。復号キーが使えたとしても動作が遅く、自社で取っておいたバックアップデータからの復旧のほうが早いということもある」
同じ調査では、身代金を支払ったが、1カ月以内にさらに多額の身代金を支払わされた組織が68%に上った。また、同じ組織、あるいは別の組織から、その後再び攻撃されたケースもよく見られるという。
言いかえると、攻撃者に関与することで、将来の攻撃リスクが高まることが分かっている。また、身代金を支払っても、データの悪用や再利用、売却のリスクはなくならない。ランサムウェアはビジネスであることを理解することが必要だとシルバ氏は強調する。
「攻撃者がRansomware as a Serviceを使わずに、自らランサムウェアを開発する傾向も増している。攻撃者の立場は強くなってきている。身代金を支払う効果がますます期待しにくくなっているし、攻撃の真の目的が身代金なのかどうかが疑わしいケースも増えている」
身代金交渉への関与がセキュリティ責任者の仕事ではない
では、CISOは身代金の交渉や支払いについて、何らかのアドバイスをすべきなのだろうか。シルバ氏の答えはノーだ。
身代金の支払いは、技術的な判断ではない。ビジネス上の判断であり、政治的な判断でもある。交渉についてアドバイスしたり、交渉を代行したりする専門企業も存在している。IT/セキュリティ責任者は身代金の交渉について考えるのではなく、自社が取得しているバックアップからデータをできるだけ早く、確実に、可能な限り完全な形で復旧することに集中すべきだという。
ランサムウェアの事例ではないが、シルバ氏はCrowdStrikeのアップデートのバグによって世界中に混乱が広がった2024年7月の事例を取り上げ、次のように指摘する。
「障害発生から1週間経っても、米国の航空会社は世界中の空港にUSBキーを持ったスタッフを派遣し、Windows端末をリブートしなければならない事態に陥っていた。ランサムウェア被害でも同様なことは起こる。実際には、顧客データの損失や時間的損失が、身代金よりも大きな被害となる可能性がある。復旧プロセスはいつでも複雑で、時間がかかるものだ」
結局、IT/セキュリティ責任者が注力すべきなのは、ランサムウェアの被害に遭ってもビジネスへの影響を最小化できるように、周到な準備を行うことだという。
CISOは、セキュリティ確保やデータ保全のために必要なテクノロジー投資を見極め、経営トップに掛け合って確保する必要がある。その上で、有事の際には『どの重要システムが影響を受けているか』『どのデータが確実にバックアップされているか』『復旧にどれくらいの時間がかかるのか』といった経営トップからの質問に答えられなければならない、とシルバ氏は話す。
セキュリティ確保やデータ保全については、さまざまなツールが出回っている。だが、そうしたツールを導入したとしても、確実に運用できていなければ意味がない。
「私は27年にわたってサイバーセキュリティの世界にいるが、完璧に対策している企業を一社も知らない」
例えば、ある大規模テクノロジー企業では、セキュリティに十分な注意を払ってきたが、買収によって新たに加わった事業部門だけが多要素認証を導入していないことが、後になって分かったという。
マルウェア対策では、詳細な手順書を用意することは必須だ。その手順書には、有事の際のIT部門とその他部門の役割分担や連携方法、意思決定権限などを書き込む必要がある。
「こうした取り組みには、災害に備えたBCP(事業継続計画)と似た側面もある。しかし、システムが動かないというだけでなく、データがどこかに持ち出されたかもしれない。どんなデータが持ち出されたかによって、通知すべき相手も変わってくる。ランサムウェア被害の現場では、このようにすぐには分からないことが多い、従って、IT/セキュリティ担当部署は、BCPの場合よりも能動的に動けなければならない」
シルバ氏が特に強調するのは予行演習の必要性だ。
どれほど優れたツールを使っているとしても、データ復旧などのプロセスでは、必ずと言っていいほど人による作業が介在する。確実にデータを復旧できるようにするためには、テストを繰り返す必要がある。
また、身代金の要求が来るとパニックに陥り、自社のシステム全てが被害を受けていると錯覚するCEO(最高経営責任者)があまりにも多いとシルバ氏は指摘する。身代金を払ってしまった後に、CISOからその必要はなかったことを聞くといったことが起こるのだという。
IT/セキュリティ責任者自身も、有事の際に冷静に対処できるよう、サイバーセキュリティ演習に参加すべきだとする。
「軍関係機関と民間企業のセキュリティ責任者が集まったサイバーセキュリティ演習に参加したことがある。軍関係者は日常業務のようにこなしていたが、民間企業の関係者には戸惑ってしまい、対応するのに時間がかかった人が多かった」
つまり、IT/セキュリティ責任者はメンタル的な準備をする必要もあるのだという。
Copyright © ITmedia, Inc. All Rights Reserved.