ビジネスシーンで役立つ極意（第3回）セキュリティのプロが指摘する企業がとるべき対策

　ランサムウエアによる被害事例が増加しつつあります。例えば、2022年4月頃には東北の建設系公共団体が、外部からの不正アクセスによってサーバーがロックされる事例が発生しました。センター内の業務用サーバーがランサムウエアに感染し、データが暗号化された結果、同日朝から業務がほぼできない状態になりました。サーバーが感染によって使用不能となり、ネットワーク遮断も余儀なくされ、クラウド型の積算ソフトウエアも使用できなくなりました。バックアップサーバーも感染し、対外的なメールのやり取りが可能になったのは同年8月。機能復旧まで実に4カ月を要しました。

　また少し前には、四国のとある病院が2021年10月頃にランサムウエア被害に遭い、電子カルテシステムなどが暗号化され診療が制限される事例が発生しています。犯罪者側からはデータ復旧に際しての身代金の要求もありました。同病院は、11～12月頃に暗号化されたデータの復旧を東京の事業者に依頼し、2022年1月頃に電子カルテシステムが復旧、通常診療を再開しています。

　これらと対照的な動きを実現したのが、関西の医療センターです。2022年10月末日にインシデントが発生。適切な初動支援要請を行い、厚生労働省の初動対応支援チームとともに状況把握にあたり、同日夜に当該事案を公表しています。事案発生から1週間後には、現状と今後の復旧計画について記者会見を行い、感染経路としてVPN経由で取引事業者からランサムウエアの侵入を許した可能性を示唆しました。その後、11月第2週には電子カルテの一部が参照可能となり、患者受け入れの一部を再開しています。

――初動対応に差が生じたのはなぜでしょうか。

　四国の事後調査報告書からは、同病院に情報システム担当者が少ないことに加えて、複雑なマルチベンダー環境が併存していたことが分かります（VPN装置やサーバーを設置したA社、被害後に暗号化データの復旧作業を請け負ったB社、電子カルテシステムなどを統括するC社などが存在）。また、攻撃を受けた要因として、VPN装置の脆弱性放置やグループポリシーによるWindowsアップデートの更新停止、マルウエア対策ソフトの稼働停止など、人材不足とともにIT運用のマネジメント不全が指摘されています。10月末に攻撃を受け、その後の対応に時間を要した点から、事態見極めや専門家への連絡などの初動対応に難があったことがうかがえます。

　サイバー攻撃の組織化・巧妙化が進む中で、いつ攻撃対象となるかは分かりません。重要な視点としては、「平常時における情報共有体制の確立と専門家筋への相談先の確保」と「インシデント時における証拠保全」の2つがあります。

　情報共有体制には、企業規模に左右される部分もありますが「CSIRT（シーサート）」と呼ばれるセキュリティ事故対策チームを構築し、経験値を蓄えた人材育成と対策拡充を図る方法もあります。ただ、大切なのは、「インシデント発生時にどこに相談するのか」を自社状況に即した形で明確にしておくことです。例えば、利用しているセキュリティ対策ソフトウエアのITベンダーでもよいでしょうし、自治体などが展開する相談窓口を利用してもよいでしょう。

　証拠保全の観点については、攻撃を受けた状況を適切に保全して専門家にバトンを渡すことが重要です。一般社員の場合であれば、感染が疑われる端末を社内のネットワークから切り離し、状態を保全するなどが考えられます。情報システム担当者であれば、「状態を見極める」のが大切です。例えば、サーバーに何らかの攻撃を受けたとします。この時点では“攻撃を受けた”とは気づいていません。よくあるのは、担当者が管理者権限を持つ場合に不具合の原因を調べようとログインして行動した結果、感染や攻撃を広げてしまうケースです。攻撃に遭った際には、何かしらの症状や機器の挙動があります。この兆候を捉えるための知識や経験値があれば、こうした行動は防ぐのが可能です。

　ナショナルサイバートレーニングセンターでは、こうしたインシデントへの対応に寄与する実践的なサイバートレーニングを企画・推進しています。現在ではサイバー攻撃の対処に関する情報がさまざまなところから発信されています。これらを参考にしつつ、セキュリティインシデントに際して、リスクを最小化する訓練や取り組みが大切です。

――セキュリティ対策力の向上には、どのような発想が必要なのでしょうか。

　「セキュリティリスクは経営リスク」と認識することです。例えば、ランサムウエアによる身代金要求に応じて、データを復旧したとします。攻撃者側もあくまで“ビジネス”として取り組んでいるため、ビジネスとして復旧させてはくれるでしょう。確かにデータは復旧するでしょう。しかし、これをコンプライアンスとして捉えたときには、経営責任が問われる事態も想定されます。その後、再び身代金の要求を受ける可能性もあり得ます。

　こうした事態を避けるためにも、自社の事情に即した体制づくりが重要です。その要は人材の確保です。しかし、セキュリティ技術者は引く手あまたの状態で、外部からの技術者採用は多くの企業にとって難しいでしょう。むしろ「育てる」ことに重きを置くほうが現実的です。企業や組織の中には、情報システムを管理する人は少なくとも１人はいてほしい。もし、そういう方がいるならその方を鍛えるのが一番早い。経営側は、その学びを支援するなどに一つ力を注いでほしいと感じます。

――最後に、「サイバー攻撃に強い企業」の条件について教えてください。

　「攻撃者に狙われにくい環境」を整えることが重要です。攻撃者は不正アクセスや総当たり攻撃などに際して、いくつかの段階に分けて“小さな攻撃”を仕掛け、具体的な攻撃対象を選定します。例えば、調査目的の通信データを送り、ソフトウエアのバージョンなどをチェック。その反応を見て、相手のセキュリティレベルを確認します。当該企業・団体などのセキュリティ対策が弱いことが分かれば、具体的な攻撃に向けて事前の攻撃を複数回実施し、調査を重ねます。そして、十分に対策の弱さが確認されたところから攻撃を仕掛けていく筋書きです。

　監視ツールなどのセキュリティツールが企業・団体の側で利用されていれば、攻撃者側はその反応で利用の有無が分かります。時間や手間のかかる相手は「脈なし」と判断し、次の対象を探す例が多くあります。サイバー攻撃に強い企業の条件として言えるのは、ウイルス対策ソフトウエアの導入、OSの適切な更新、添付ファイルを安易に開かない、データのバックアップを行う、といった王道の対策をきちんと行うこと。以前と大きく異なる点は、攻撃を受けた際に「誰が」「どこに」「何を」「いつまでに」報告するのかといった「きちんと」の部分を、より明瞭にしておく必要があるということです。

園田 道夫（そのだ・みちお）
国立研究開発法人情報通信研究機構（NICT）ナショナルサイバートレーニングセンター長。中央大学大学院工学博士課程修了。博士（工学）。2003年よりNPO日本ネットワークセキュリティ協会（JNSA）非常勤研究員、2004年より独立行政法人情報処理推進機構（IPA）非常勤研究員、経済産業省、IPA主催セキュリティ・キャンプ実行委員・講師等として携わる。2007年4月より、サイバー大学IT総合学部准教授、2007年より白浜サイバー犯罪シンポジウム危機管理コンテスト審査委員、2012年よりSECCON実行委員（事務局長）、2014年4月サイバー大学IT総合学部教授（2017年退官）、2016年 国立研究開発法人情報通信研究機構セキュリティ人材育成研究センター長等を経て、2017年同機構ナショナルサイバートレーニングセンター長として、現在に至る。

※掲載している情報は、記事執筆時点のものです