Episode 54: ランサムウェアのインシデントの影響を最小限に抑えるために企業ができること
ランサムウェア攻撃の被害は、すべての企業にとって悲惨な出来事です。 しかし、攻撃に効果的に対処できれば悲惨な状況を避けることができます。サイバーセキュリティサウナのEpisode 54のゲストが説明しているように、ランサムウェアが発生した際に、その影響を軽減するため、企業が事前に実行できることがあります。エフセキュアのインシデント対応の専門家であるJordan LaRose(ジョーダン・ラローズ)とMatt Lawrence(マット・ローレンス)が今回のポッドキャストに参加しました。
Janne: このポッドキャストへようこそ。
Matt: お招きいただきありがとうございます。
まず、ランサムウェア攻撃への対応は、他のインシデントや侵害への対応と比べてどのような点が異なるのでしょうか?
Jordan: ランサムウェアといっても、キルチェーン自体は他の攻撃とほぼ同じです。攻撃者は同じ手法で侵入してきて、同じ手法で侵入拡大します。異なるのは最終目標です。しかし、ランサムウェアが企業の資産に与える影響やリスクの大きさを考えると、ランサムウェア攻撃ほど時間が重要な意味を持つものはないと思います。
ランサムウェア攻撃への対応は素早く、組織的に、そして効率的に行う必要があります。その理由は、JIRAチケットを作成したり、何らかの承認プロセスなどに20分もかかってしまうと、ネットワーク全体が炎上し全員が真っ青になるか、逆に攻撃者が断念するか、運命の分かれ道になるからです。
それでは、ランサムウェア攻撃を早い段階で検知することで、被害を未然に防ぐことは可能なのでしょうか?
Matt: 可能ですが、他の攻撃者集団と同様に、ランサムウェアの攻撃者にもさまざまな規模があります。一般的な意味では、金銭的な動機を持った犯罪集団と対峙することになります。しかし、一部の常軌を逸した輩や、おそらく国家によるランサムウェアのような恐喝行為が倍増しています。
ここ数年間、攻撃方法の変化を目の当たりにしてきた私たちにとって、WannaCryのような大規模な攻撃が目立ってきていることは明らかです。マルウェアがネットワーク経由で複製され、アクセスできるすべてのデバイスをゆっくりと暗号化することを理解しました。その配布方法は、最初の侵害からほぼ自動化されています。
今回話題にしているのは、人間が操作するランサムウェア攻撃です。これは、攻撃者が何らかの手段で(多くの場合あらゆる手段を使って)アクセス権を取得します。そして、その後キルチェーンを進めて環境を侵害していきます。このような犯罪集団は、標的としている組織のセキュリティ技術を無効化し、最終的にはランサムウェアを展開しやすくしていることを示す証拠が数多く見られます。
そのプロセスの中で、攻撃者が目指す目標があれば、それを達成するためにどこかで何かを実行しなければなりません。それが検知するチャンスになります。
ランサムウェア攻撃者の場合は、時間の経過とともに戦術が改良されていきますが、今日では、ランサムウェア攻撃者を撃破する機会は非常に多いと言えます。彼らの攻撃手法は最先端のものとは言えません。子どもが台所に行って、鍋やフライパンをたたいているようなものです。つまり、ステルス性は決して高くないのです。したがって、検知の可能性は大いにあり、優先度の高い対応から適切に処理すれば多くのことができます。
それは心強いですね。そのようなランサムウェアが発生している一方で、WannaCryのようなランサムウェアは、コンピュータの速度で発生しているようです。しかしあなたは、それが人間のスピードで起きており、職人的な攻撃者によってランサムウェアが手動で拡散しているというのですね。だから、すべてが終わってしまう前に捕まえることができる瞬間があるのですね。
Matt: その通りです。これもまた、脅威アクター集団の経験と高度な技術の組み合わせによるものです。しかし、一般的な意味では、それらは検知可能であり、組織や個人は壊滅的な打撃を防ぐためにできることがあります。ランサムウェアは、組織が亡びる事態になる可能性があると私はいつも言っています。
Jordan、あなたの見方も同じですか?事態が悪化する前に、犯罪者を捕らえやすくするために企業ができることはありますか?
Jordan: ランサムウェアに関して言えば、それがビジネスであるという点が最も興味深い差別化要因の一つだと思います。その動機は経済的なものです。これは、私たちが苦労している他の多くの種類のインシデントでも言えることですが、動機を明らかにして、その知識を活かしてインシデントに対応する方法を見つけることです。
しかし、ランサムウェアに関しては、多くの点で企業の取引に似ています。彼らは皆、予算を抱えています。基本的にその企業を標的にする価値があるかどうか、利益を得ることができるのかを評価しています。
そのため、それを阻止するためにできる最善策の1つは、忍者のように撒き菱をたくさん投げつけて、攻撃のスピードを落とすことです。彼らが身代金を要求するのに時間がかかり、煩わしくなればなるほど、しつこく付きまとう可能性は低くなります。最終的には「いくらがんばったところで、これは金にならない。大金を手にすることはないだろうから、次のカモを探そう」ということになります。
なぜなら標的は無限にあるからです。彼らのターゲット層はインターネット全体です。したがって、自社を可能な限り小さな標的に見せることができれば、逃れるチャンスが増えます。それはどういう意味でしょう?例えると、「クマより速く走る必要はありません。他より少しだけ速ければ良いのです。」ランサムウェアも同じです。
では、攻撃者のスピードを抑え、苦痛を与えるために使える撒き菱とは何でしょう?
Jordan: その多くは侵入拡大を止める程度のものです。たとえば、Windowsのローカル管理パスワードソリューションの実装や、適切なネットワークセグメンテーション、管理者アカウントと作業用アカウントの適切な使い分けとセグメンテーションなどが挙げられます。キルチェーンを1つ、2つ、3つ、4つと何段階にも増やしてくれるものなら何でもかまいません。できる限り多くのことを実行すれば良いのです。
また、対応についても同様です。多くの場合、このようなインシデントに対応しているときは、ネットワークトラフィックの速度を遅くしたり、ネットワーク内の重要な経路を遮断して急激な拡散を阻止しています。それでも拡散するかもしれませんが、利益を得られるほどの速さではないでしょう。そして、「もう攻撃する価値がない」とお手上げにさせるのに十分効果的であることがわかります。
ごもっともです。あなたは、インシデント対応は単なる事後処理であってはならないと主張していますね。どういうことなのか説明してもらえますか?
Matt: ここで現状を大きく変えるためには、インシデント対応を常日頃の活動にする必要があります。インシデント対応をBAU(いつもどおりの仕事)にするには、いくつかやるべきことがあります。エフセキュアでは、インシデント対応の重要性について語ることに多くの時間を費やしています。これは、侵害を分析し、それを阻止するためには、証拠を検討する必要があるという事実につながります。
つまり、必要な証拠を入手する可能性を最大限に高めることができれば、検知できた場合に、それらに適切に対応できる可能性も大幅に高まります。
また、組織がコントロールを取り戻すための手段についても考えなければなりません。たとえば、ランサムウェア攻撃者の場合、キルチェーンの途中に攻撃が発生します。最初の攻撃が開始された後、防御層を乗り越えて侵入拡大を始めます。一般的にWindows環境では、より広範な組織に対して最高レベルのアクセス権を提供する理由で、サーバーインフラが使用され、このことからサーバーインフラが悪用されます。
しかし、そうした状況で攻撃を検知した場合、さらにリスクを軽減するためにできることがあります。これは森林火災を管理することに相当すると言ってもいいでしょう。火災が継続している場合は、その拡大のリスクを軽減する必要があります。そのための1つの方法が防火帯を設置することです。言うは易し行うは難しですが、事前に行うのはかなり簡単です。
火事の最中に木を切り倒して防火帯を作ろうとすると、途中で火傷を負う可能性があります。しかし、適切な計画を立て、森林火災が発生する数ヶ月前、おそらくは雨季に行動を起こせば、適切かつ確実に作業できる可能性がはるかに高くなります。
攻撃者がネットワークやクラウドインフラに侵入したときの対処法を事前に考えておくことで、最終的に人々が行動を起こせるようになります。それができるようになったら勝利は目前です。なぜなら、より早く対応段階に移行できるからです。対応が早いほど、脅威アクターを封じ込め、最終的には修復することができます。
これにより、インシデント対応は、ビジネスに深刻な障害が発生している時点で実行される例外的な活動から、攻撃は常に発生しているが組織の他の部分が事業継続できるようにコントロールする活動へと変わるのです。
まったく同感です。Jordan、あなたの見方も同じですか?インシデントの影響を最小限に抑えるために、組織に対して他にアドバイスすることはありますか?
Jordan: 広報活動に関して言えば、事後に考慮するようではまずいのは言うまでもありません。もちろん、攻撃者を完璧に撃破したいのは当然ですが、Mattの言うことは本当に重要だと思います。中には、一部のデータが失われ、ホストが数台ダウンしたに過ぎないと考える組織もあるでしょう。しかし、攻撃を受けて石器時代に逆戻りしてしまうような状況も見受けられます。私たちに連絡してきたあるお客様は、ペンと紙を持って右往左往し、サーバーなどのコンピュータがしていた処理を手作業で行っていました。まるでタイムマシンで1800年代に戻ったかのようです。
明らかに、そのような状況に陥ることは、どの企業もまったく望んではいません。しかし、これを防ぐことが難しいからこそ、多くの企業が悩んでいるのです。広報に関して言えば、基本的にチェーンの問題ですね。チェーンの中に1つでも脆弱なリンクがあれば、チェーン全体が脆弱になります。
したがって、アドバイスと言ってもピンキリです。実施すべき注意努力が多過ぎるということはありません。最大の課題は、何ができるかではなく、何をすべきかを見つけることです。
例え話ばかりするつもりはないのですが、私はドラッグレースのようなものだと考えています。つまり、このレース専用の車を作っているようなものです。レース自体は、10秒程度で終わりますが、車体を組み上げるのには何年もかかります。そして、どの部品も手を抜きたくはありません。誰もが最高のドラッグレーシングカーを作れるわけではありません。したがって、何に投資すべきかという問題になります。エンジン?タイヤ?それとも、ピットクルーでしょうか?誰に、あるいはどれに投資すべきでしょうか? つまり、組織が自問自答すべき問題は、「何」ではなく「どれ」なのかということなのです。
この例え話を続けます。ドラッグレースでもうひとつ気をつけなければならないのは、スタートのピストルを撃つ人は、公平な第三者ではないということです。ピストルを撃つのは競技者次第です。競争相手は自分の車がスタートする準備できたらすぐに発進します。競争相手は、敵がいつピストルを撃つかは気にしません。だから、車体以外にも投資しなければならないのです。高価なピストルにも投資が必要です。
それは驚きですね。あなたはインシデント対応の専門家であるだけでなく、私よりもドラッグレースにとても詳しいですね。すごいです。それでは、この点について企業の実力はどの程度でしょうか?あなたの経験では、どのくらい準備ができていると思われますか?
Jordan: それはさまざまですね。私たちが目にしているインシデントの中には、すべてがスムーズに進行しているケースもあります。攻撃者が足場を作る前に撤退してしまい、防御が成功する例です。また、誰も準備をしていないケースもあります。すべてが炎上し企業生命が終わりを告げます。
残念ながら、前者よりも後者のケースの方がはるかに多く見られます。つまり、準備ができていないことの方が多いのです。多くの場合、インシデントが起こる前は準備ができていると思っていても、実際に起きていざ事態に対処しようとすると、誰もが「こんなことになるとは思わなかった」「このシステムが感染するとは予想しなかった」「プロセスが壊れてしまったのに、どうやって遵守すればいいのか」などと言い出します。
だからこそ、準備の演習や机上訓練、そして基本的には実践的な訓練などが極めて重要なのです。たとえインシデント対応に関する世界で最も優れた技術やプロセスがあったとしても、それを実践したことがなければ、突然適用しようとしても、そのプロセスや技術の構築に費やした努力を台無しにしてしまうかもしれないからです。
先ほど言ったように、あらゆる面で準備をしておくことが大切です。すべての卵を一つのかごに入れないだけでなく、それらをどうやって分散するかということが大変難しい課題です。
確かに。もう1つ私が知りたいことは、上手に対応している会社と、そうでない会社は何が違うのでしょうか?準備について言うと、対応が優れている企業は、要するに平時から時間をかけて塹壕を掘っているということでしょうか?
Jordan: はい、それが準備するということです。また、技術的な準備もあります。Windows ADなどでできる技術的な手順についてお話ししました。それは従業員を育て、強くすることです。
前にも言いましたが、もう1つの重要なステップはプロセスです。そのためには、計画を立てる必要があります。ドラッグレースは10秒で終わってしまいます。だから全員の任務をあらかじめ決めておくべきです。会議室に集まって、「はい、これらのタスクを実行します。これがチェックリストで、これがやるべきことのすべてです。」と説明する時間はありません。もしこの時間に対応チームの数、たとえば100を掛け合わせると、この会議にはインシデント全体よりも長い時間がかかることになります。危機が発生する前に、これらすべてを構築しておく必要があります。
組織がこの分野に投資するのは困難です。なぜなら、すぐには効果が見込めないからです。インシデント対応能力の向上に数百万ドルを投入したとしても、何年にもわたって投資対効果が現れないことがあります。しかし、たった1つのインシデントがあれば、その投資を正当化することができるのです。侵害される、されないの問題ではなく、いつ侵害されるかの問題なのです。だからこそ、投資して何年も効果が見られない場合でも、一度侵害されれば、ほぼ確実にその投資対効果を得ることができます。インシデントの間に、数百万ドルではなく、数十億ドルを失った企業や、少なくとも危機に瀕した企業を目の当たりにしてきました。
Matt: 私は自分で新しい法則を作って、Mikkoの法則に対抗しようとしています。これを「Mattの法則」と呼んでいます。Jordanが説明したように、普及させるのは非常に難しいのですが、一般的には、組織が大きくなればなるほど、準備状況が悪くなるという傾向があります
(笑い)これはうけますね。
Matt: 大規模な組織は、巨大なクルーズ船のようなものだと言われます。操縦が非常に難しく、時にはスエズ運河で立ち往生することもあります。しかし、これは興味深く、そして難しい問題であり、業界として継続的に取り組むべきだと思います。
質問に戻りますが、私の経験から言えることは、大企業より中小企業の方が多少有利だと言うことです。適切に取り組むことが前提ですが、一般的に小規模組織では、技術的な複雑さがはるかに少なく、組織構造も比較的フラットです。官僚主義が横行することは少なく、文化を醸成しやすいでしょう。
なぜなら、実際には技術よりもリーダーシップや文化がインシデント対応に大きな影響を与えるからです。インシデントがコンピュータセキュリティに関するものだから、それは技術分野で起こっていると言うのは少しばかげています。文化やリーダーシップはどのように影響するのでしょうか? 攻撃が起こるか起こらないかは別として。
大規模な情報侵害では、強力なリーダーシップの影響が見られます。危機的状況の中で、責任のなすり合いをするのではなく、任務をやり遂げビジネスを立て直すことに注力しています。
それに加えて文化です。これは平時からすべての組織が注意を払うべきことだと思います。Jordanが語ったテーマは、まさに的を得たものでした。訓練し、実践することでこれらのことを見つけ、必要なチェックとバランスを整え、それに合わせて実行します。
実現不可能なことをやろうと言うのではありません。1%の準備をするために、組織として週に1時間だけでも(理想的にはそれ以上ですが)費やすことをコミットできれば、態勢は時間の経過とともに積み重なっていきます。そして、侵害されたときに初めて、大いにその恩恵を受けることになるでしょう。
それなら納得できますね。かつて当社は、企業から「うちは小さな会社だから関係ない」と言われた時代もありました。誰もこんな小さな会社に興味はないと言うことでした。しかしランサムウェアが登場しました。ランサムウェアは、組織の規模の大小は問いません。標的にされて、ワームや攻撃者に侵入されれば一巻の終わりです。他のもっと魅力的な会社などと変わりはないのです。
Matt: はい。確かにその通りです。しかし、それをランサムウェアという言葉で括ってしまうのは少し違うと思います。もちろんランサムウェアは最終的には攻撃者のツールボックスの中にありますが、この種の攻撃を説明する言葉としては不十分だと思います。それは、かつて世界の多くの地域でマフィアが行っていた、そしておそらく今も行っているような、みかじめ料の取立てに近いものです。それは、組織の恐怖心を煽って、データ侵害、風評被害、規制による罰金などの危険にさらすことです。すべては恐怖心があるからです。
したがって、ランサムウェア攻撃などに直面したときに、ある程度準備ができていて、すぐに対応できることは、信じられないほど大きな力になるのです。
興味深い指摘ですね。ゲームが変わりますね。今では、脅威アクターはただデータをロックするだけではありません。盗んで公開すると脅します。かつて、私たちが企業に推奨していたバックアップを取ることなどは、もはや定型的な解決策ではなくなりました。今度はどうすればよいのでしょうか?企業はこれをどう受け止めればよいのでしょう?
Jordan: この業界はこれまで以上に複雑になっていると思います。インシデント対応は簡単になることはなく、ますます困難になっていきます。攻撃がどのように展開しているか、そしてどのように対応できるかということに関しては、もはや簡単な解決策などないと思います。バックアップを取っておけば大丈夫だろう、ということはないのです。20年前なら、ウイルス対策をすれば大丈夫だったでしょう。もはや1つの解決策だけでは事足りません。そのためには、人、プロセス、技術、これら3つのサイクルを組み合わせた堅牢なツールキットを用意することです。
これらの分野を要素に分解すると、特に重要になるのがEDRです。EDRはレスポンス対応を語る上で非常に重要です。というのも、証拠がなければどのようなフォレンジックも困難になります。探偵の仕事をするには犯罪現場を押さえなければなりません。
プロセスを進める上でインシデント対応計画は必要最低限のものです。何をするかについて、ある程度のハイレベルな計画を立てる必要があります。そうしないと、Eメールを送信したり、インシデントブリッジを開いて「さあ、今から対応しよう」と急に言っても大混乱に陥ります。多くの人が「一体、何をすればいいのですか?計画もないのに。」と騒ぐことになるでしょう。計画がないと悲惨なことになってしまいます。
そして最後に人に関して言えば、訓練することがすべてです。それは、手を汚して取り組んだり、論争したり、実際にやってみることで学ぶ機会を与えることです。準備について話すと、多くの人がすぐにインシデント対応計画に飛びつくと思います。もちろんこれらは重要ですが、本当に重要なのは、参加してその一役を担う機会を人々に与えることです。
これは、インシデント対応チームの多くの人が、これまで考えたこともないことでしょう。彼らはシステム管理者かもしれないし、法務担当者かもしれません。人事担当者でもかまいません。インシデント対応は、彼らの眼中にありません。日々の業務に追われる中では、頭の片隅にもないでしょう。ですから、会社全体が危機に瀕する前に、彼らにこのようなことを実践する機会を与えなければなりません。
私が本当に強調したいのは、これは複雑な方程式であり、技術開発が進むにつれてさらに複雑になるということです。最近のクラウド技術などは非常に複雑化しています。ホストのフォレンジックを行う際には、ホスト内のすべてのコンテナを分解して個別に分析する必要があります。これは技術開発が進み、どれだけ複雑になっているかの一例に過ぎません。そして残念なことに、少なくとも私が見ている限りでは、もはや簡単になることはありません。
それにしても、多くの企業は業績を向上させるために技術に投資しているはずです。では、Mattはどう思いますか?何かアドバイスはありますか?インシデント対応の担当者がより効果的に仕事をするために、組織に導入してもらいたい技術はありますか?
Matt: 彼らの観点からすると、EDR導入は当然のことだと思います。可視性と行動を起こす力を与えてくれるものだからです。
しかし、準備がすべてではありません。それは深層防護の一部です。対応の準備ができていても、適切な検知ができなければ意味がありません。なぜなら、最終的にインシデントに対応するためには、まずそれを検知する必要があるからです。だからこそ発見が鍵になります。
しかし、すべては人々を活かすことに尽きます。組織は、エリートスポーツチームからヒントを得るべきです。エリートスポーツ選手がしていることで重要なのは、心構えです。それは、プレッシャーの中でクリアな思考をすることです。8万人もの観衆の目前でペナルティを課せられたときに、冷静かつ的確に対処できる心の持ちようです。
それをビジネスやインシデント対応に置き換えてください。最悪の事態に直面したときこそ、時間的余裕を持って会社に選択肢を提案します。そして、チームがよく訓練されて、実践を積んでいればこそ実力を発揮できるのです。どのような手段があって、何が使えるかを理解しており、実行に移すことができます。
そこで、Janneの質問に端的に答えると、組織が準備のためにできる最善のこととは、初心に戻ってすでにあるものに目を向け、まずそれらを改善し、素早く実行し、それから新機能を追加することに移るということです。というのも、インシデント対応の担当者が、すでに持っているものを最大限に活用できていない組織を非常に多く見かけるからです。
私にとっては大切なことですが、もしできるなら、ぜひゲートウェイのログを確認してください。インストールしてから一度も見ていなければ、十中八九、そのスイッチはオフになっているでしょう。実は、それは組織で起っていることの縮図なのです。可視化されていないものは、可視化されない限り明らかになりません。
そして準備とは、これらのことをプロアクティブに明らかにし、状況に臨み、侵害の最中にこのレンズから組織を評価し、それを改善するための手段を講じることです。前述したように、どんな改善でも役立つでしょう。1%の改善を数多く積み重ねることで、時間の経過とともに効果的なアプローチになるでしょう。
そうですね、皆の思いが一致している限り、と言いたいです。非常に具体的なアドバイスでしたが、「言うは易く行うは難し」だと感じます。しっかりと準備をするためには、適切に準備する必要があります。組織がこの問題にもっとプロアクティブなアプローチができるかもしれないと感じた場合、どのように始めることをお勧めしますか?
Matt: まずは、既存の計画を見直すことから始めましょう。その計画を見て、ストレステストをすることです。その例として、机上演習が挙げられます。机上の演習といっても、もはや単純な紙ベースの演習だけではありません。年に一度、何かの規制をクリアするためにチェックボックスに印をつけるようなテストを行うものでもありません。これは発見プロセスで使用できるツールなのです。
なぜなら、思い出してください。すべては人に帰結するからです。深刻な侵害の核心にいるのは人です。既存の計画に対してストレステストをして、そのシナリオで実際に何が起こるかを見てみましょう。
不合格になることを心配しないでください。早い段階の不合格なら許容できるからです。チームを机上の演習に参加させて、計画に対するストレステストを行うと、その初期段階で目を見張るような経験をすることがあります。
そして、計画通りに実行されていることを確認してください。なぜその計画があるのか彼らが理解していることを確認してください。私たちは、人を捕まえるために存在しているわけではありません。事情聴取するわけでもありません。これは、どこに欠陥があるのかを把握し、最終的には、改善するために迅速にできることは何かを理解するための発見プロセスです。そして、問題がどこにあるのかがわかれば、改善することができるのです。
特に昨年は、リモートワークへの移行が進んだことで、従来の対応計画の多くが時代遅れになってしまったため、すべての組織はこの点について考える必要があります。たとえば、サーバールームに入ってケーブルを引き抜かれないようにするための、物理的なアクセスの安全性を保つブランケットなどは、この12ヶ月間に多くの地域で消え去りました。これは、すべての組織が対応計画を見直すきっかけとなった事例です。
まずは自社が持っているものから初めて、それを確認して次に進みます。真っ白なページから始めるよりも、その方が簡単だからです。
なるほど。これまでインシデント対応には準備が重要であることを議論してきました。しかし、何らかの理由で組織が全く準備をしていなかったとしましょう。机上演習はしていません。レスポンス計画は作っていません。そのようなものは一切ありません。しかし今、すべてが暗号化されてしまいました。すべてがランサムウェアにやられてしまいました。さあ、どうしましょうか?
Matt: この場合は事後になりますが、ランサムウェアに感染した段階でビジネスに重大な障害が発生していると仮定しましょう。この種のインシデントでは、一般的にできるだけ早く安全に通常の業務に戻ることが目標となります。
数百台のホストを持つ一般的な企業を例にとると、もし何の計画も立てていなければ、それは単なる技術的な問題ではなく、ネットワークを復旧させれば済む問題でもありません。これはコミュニケーションの問題です。お客様へは何と伝えますか?その情報をどうやってアップデートしていきますか?白紙の状態です。プロセスがありません。すべてのネットワークがオフラインになっています。Eメールシステムにアクセスできません。IMシステムにもアクセスできません。
この状況で、最初にやるべきことは、メンバーを調整し、何らかの一貫した方法で彼らをまとめることです。一旦メンバーを集めれば、問題に取り組み始めることができます。問題を分割して個々に克服していきます。
しかし、サイバー攻撃の真っ只中にあって、何の計画もないというのは最悪の状況です。それを目の当たりにした時こそ重大なミスが起きるのです。このような場合には、自分の首を絞めるようなミスを犯して、それが攻撃そのものよりも大きな被害を生み出すことがあります。それは人々がパニックに陥ることから起こります。
だからこそ、攻撃に直面したときにプレッシャーの中でも冷静に考えることが重要なのです。正しいことをしようとして、たとえば、すべてのデバイスの電源を切って走り回ることが良いステップのように思えることがあります。しかし、良かれと思って実行しても、ファイルレスマルウェアやディスクに保存されないその他の脅威がある時代においては、入手可能な証拠の50%以上を削除してしまうことになります。これらの証拠を元に時系列にさかのぼれば、何が起こったのか、攻撃者は実際に何をしたのかを理解することができるのです。
このようなことは、ワークショップを行って準備を整えることができるのです。そうすれば、その証拠を捉えることができます。組織がこれにコミットして適切に実行すれば、大規模な侵害は、逆に顧客との信頼関係を構築し、ビジネスを維持し、被害を受けてコストを負ったとしても最終的には生き残ることができるでしょう。
しかし、今の時代、何もないところからスタートするのは本当に危険なことです。そして、まだこのプロセスに取り組んでいない組織は、手遅れになる前に直ちに取り組むことをお勧めします。
はい。無策だったことを示す証拠があるにも関わらず「お客様のセキュリティは当社にとって非常に重要であり、当社はあなたのデータを保護するためにあらゆる手段を講じましたが、消去されてしまいました。」というレターをお客様に提出する代わりに、やるべきことがありますね。
Matt: その通りです。レターに書かれているのは、決まりきった切り貼りのセリフなんですよね
そうですよね。どこかにテンプレートがあるのではないでしょうか。
Matt: なるほど。でも、こういったレターも当然事前に準備できますよね。侵害された場合、顧客に通知しなければならないと言うのは、突飛なことではないと思います。どのような状況になるかはわかりませんが、標準的なコミュニケーション手段の多くが使えなくなることを前提にしてプロセスを準備することになるでしょう。
シャドーITは、別の深刻な問題であるため提唱するつもりはありませんが、可能性としては、IT部門と協力して、完全にオフラインの代替手段を用意してお客様とやり取りすれば、通常業務に戻すプロセスを開始することができるかもしれません。
Janne、私たちはここでは常識の領域に近づいていると言ってもいいでしょう。よく見かける光景ですから。
そうでしょうか。PRとかコンピュータとかファラデーケージのような測定具とか、常識とはかけ離れた話をしているような気がしましたが、そういうことではないのでしょうか?
Matt: (笑い) いいえ、違います。でも、もしファラデーケージを買う余裕があるなら、今の段階で強くお勧めします。要するにバランスの問題です。IT部門の問題だから、難しい問題だからという理由で、このプロセスを無視する人が多いのです。それは他の人が解決する問題だと。
私はその見方にはまったく反対です。これは組織内の多くの人々が責任を負うべきことです。経験の浅いユーザに責任を転嫁しようとしているのではありません。私が言いたいのは、たとえば、技術ネイティブではない人々が、侵害のプロセスに対する準備をすることには大きな意味があるということです。何年ものビジネス経験から得た経験と知識を活用して問題を理解して、インパクトのある論理的なステップで考えることができます。
Jordan: あまり哲学的な話はしたくないのですが、インシデント対応において重要なことのひとつに、人間は間違いからよく学ぶということです。でも実は、インシデント対応では自分自身がミスをする可能性はほとんどないのです。太古の時代に時間を戻すと、あるキノコに毒があるかないかをどうやって判断していたのでしょうか?そうだ、ボブにそのキノコを食べてもらおうじゃないか。キノコを食べて死んだ男にはなりたくないですからね。
ケーススタディですね。
Jordan: まさにそのとおりです。ボブがそのキノコを食べるのを見て、「よし、あのキノコは食べないぞ。」と言う側の人になりたいですよね。自分の失敗から学ぶのは嫌なものです。
インターネットが普及し、あらゆる情報が手に入るこの時代に生きているメリットは、他人の失敗から学べることです。毎日のように重大なインシデントが起きており、そこから多くの貴重な教訓を得ることができます。そして、それこそがインシデントに遭遇したときに人々を救うことになるのです。その教訓から学び、準備をし、いざというときに速攻で開始出来るような心構えができていることを確認します。
他人の失敗から学ぶといえば、たとえば私が、あのリンクをクリックするべきではなかったと思ったとしましょう。そして、すべての画面にドクロマークが表示され身代金を要求されます。これは私のせいです。私はどうすればいいのでしょうか?また、その段階で何をしてはいけないのでしょうか?
Jordan: あなたがユーザとして常にできる最善のことは、正直であることです。エスカレートさせたいでしょうね。今起きていることを人に伝えたいでしょう。インシデント対応では常にスピードが重要であり、あなたはそのスピードの一部です。あなたはプロセスの一部であり、実際に最も重要な部分でもあります。もし画面にドクロマークが表示されたならば、この件を報告するかどうかを決めるのにかかる5分間が、インシデント対応の成否を分ける5分間になるかもしれないからです。
スタートとゴールという節目の時点において、チームがレースに勝利するまでの時間を減らすことに貢献できれば、長い目で見ればあなた個人にとっても会社にとっても大きなメリットになります。たとえ恥ずかしくても、「はい、明白なフィッシングメールをクリックしました。」と言うべきです。
Matt: フィッシングメールは人を騙すためのものであることを決して忘れてはいけません。そのため、誰でもがさまざまな段階でフィッシングリンクをクリックしてしまうことになるのです。その犠牲になることを恥じたり、自己嫌悪に陥る必要はありません。侵害は避けられません。必ず起こります。理由があって人を狙います。
結局、できる限り誠実でオープンであることが最善です。なぜなら、ブルーチームに早く通知すれば、組織として対応できる可能性が高まるからです。
わかりました。MattとJordan、本日はご参加くださりありがとうございました。
Jordan: 楽しかったです。
Matt: お招きいただきありがとうございます。
カテゴリ