サイバー攻撃発生時の最初の24時間にいかに備えるのか
サイバー攻撃を受けた後の最初の24時間に何をするのかによって、企業のその後の命運が決まるといっても過言ではありません。
今日のサイバー攻撃の脅威は、ほぼすべての組織にとって避けることのできない問題です。 インシデントを想定した備えは、衝撃的な出来事の発生によって、組織が危機的状況に陥らないようにするための鍵となります。 エフセキュアの検知・対応担当ディレクターであるMat Lawrence(マット・ローレンス)は次のように述べています。「効果的な初動計画がなければ、単にモグラたたきをしているだけで終わってしまいます」
彼は、エフセキュアと英国の法律事務所、Mishcon de Reyaのサイバーインテリジェンス担当ディレクターであるMark Tibbs(マーク・ティブス)氏が共催したウェビナー「Preparing for the First 24 Hours of a Cyber Attack(サイバー攻撃発生後24時間の対応への備え)」の中で、「スピード、可視性、専門知識が極めて重要になる」と語っています。
また、計画の不備がもたらす潜在的な影響は深刻さを増しています。多くの人々にとって最大の懸念は、ランサムウェアの蔓延と攻撃の巧妙化です。ウェビナーの参加者を対象にしたアンケート調査の結果、回答者の50%が、今年はランサムウェアの脅威が主要なセキュリティ問題になると予想しています。
Lawrenceは、最も急速に増加しているランサムウェア攻撃は、ハッカーが複数の段階を経て標的型攻撃を仕掛ける人為的なものであると指摘しています。 これは通常、ネットワークに侵入するための一般的なフィッシングから始まりまり、その後、人間が操作することでシステム内に侵入し、ランサムウェアの効果を最大限に引き出す準備が整うまでの間、環境をより多くコントロールし、あらゆるテクニックを駆使してシステム内に侵入します。
それ以外の深刻な脅威も拡大し始めています。Lawrenceによると、たとえば最近のSolar Windsの攻撃によって、多くの組織にサプライチェーン攻撃の難題を突き付けたと述べています。
しかし、ハッカーがどのようにして侵入してきたとしても、それを素早く追い出すことができなければなりません。「攻撃者がネットワークに侵入し、ネットワーク内を広範囲に移動して機密情報を発見する可能性がある場合、そのリスクを軽減する能力が不可欠です。」とローレンスは指摘しています。
組織は、攻撃を受けた場合に備えた包括的な計画を立案する必要があります。特に攻撃を検知した直後の24時間が重要になります。この点に関しては、アンケート回答者のほぼ全員(97%)が同意しています。
しかし、その計画をどのように策定し、実行するにはどうすれば良いのでしょうか?
まず、基本的なことを正しく行うことです。たとえば、すべてのログが有効になっていることや、IT管理が最新の状態になっていることを確認します。「管理者パスワードを共有していると最悪の事態を招くことになります。攻撃者に食べ放題のビュッフェを提供しているようなものです」とLawrenceは警告します。
また、技術的な準備も必要になります。効果的な脅威検知とインシデント対応機能を提供するツール、プロセス、および専門知識(社内外を問わず)を整備します。
さらに、企業文化の観点においても同様に準備しなければなりません。ウェビナーの共同講演者のMark Tibbs氏は次のように述べています。「演習をしましょう。埃をかぶった計画では意味が有りません。関係するすべての関係者と定期的に机上演習を行うべきです」
Tibbs氏は、強力なリーダーシップが不可欠であり、誰がいつインシデント対応に関与する必要があるかを全員に周知すべきだと付け加えています。ITおよびセキュリティ担当者だけでなく、法務や広報部門、アウトソーシングパートナー、データ保護およびコンプライアンス担当者、サイバー保険会社などが含まれるケースもあります。これらの関与者は、組織の性質や直面している脅威によって異なります。
カテゴリ