今年は、日本を含むアジア太平洋地域ではランサムウェア被害の動きが特に活発でした。この種のサイバー攻撃は今に始まったことではないとはいえ、何らかの対策を講じるべき時が来ています。米チェックポイント社の調査によると、日本を含むアジア太平洋地域でのランサムウェア攻撃は、2020年初頭と比較して今年は102%増加しています。

これは企業が、毎週、平均約1245回のサイバー攻撃を受けていることに相当します。前回紹介した米Veeam Softwareで戦略担当を担うシニアディレクターのリック・バノーバー(Rick Venover)とともにランサムウェア被害を食い止める方策を考察していきましょう。

イノベーションが活発なアジア太平洋地域ではランサムウェア攻撃を軽減するための大規模な取り組みが行われたこともありましたが、結果としてランサムウェア攻撃もさらに新たなレベルに達しており、わたしたちは後塵を拝し続けています。これは、景気回復が最も必要とされるこの時期に、非常に大きな危険信号です。

PwC Australia社の調査によると、オーストラリアではおよそ40%の企業が今年、サイバーセキュリティへの人員を増やそうと動いています。

これは、世界的に深刻化している問題への対策強化のための、正しい一歩を踏み出したと言えるでしょう。しかし、サイバー攻撃の標的となる脆弱性を軽減するためには、他に何ができるでしょうか。

その答えは、政府にあります。ランサムウェアは政治的にも最大の脅威と認識され優先事項となっています。サイバー犯罪の報告が世界的に断片されていることを見直し、義務化するよう求める声も上がっています。

報告の義務化は、急増するランサムウェアの分析と対策に役立つ可能性がありますが、一方で企業は、報告することによって解決するよりも問題を引き起こすのではないかと懸念しています。その理由を説明していきましょう。

知識を共有することは、より良い考えを生み出す

企業がランサムウェア被害の公表に及び腰であることは周知の事実です。この傾向は、米国でもみられますが、2021年6月に発表された米LogRhythm社のレポートによると、アジア太平洋地域でも、セキュリティインシデントが発生した後、社内に報告するサイバーセキュリティ責任者は、半数未満(43%)という結果でした。

  • DX時代はランサムウェア時代?コロナ禍のセキュリティ対策 第4回

この社内報告の欠如の背景には、企業ブランドの評判を守りたい、司法機関による規制を回避したい、といった企業の意識が垣間見られます。しかしながらこういった現状は、ランサムウェア対策の取り組みを遅らせるだけではなく、リアルタイムかつ包括的にランサムウェアというサイバー攻撃の頻度、強度、巧妙さを理解することを阻害します。

ランサムウェア被害の報告が義務化されれば、ランサムウェアへの関心が高まり、企業は、いつ誰にでも影響を与える広範な問題であると十分に理解するようになるでしょう。ランサムウェアへの危機感が高まり、その被害報告が財務報告と同様に不可避になります。

最も重要なことは、被害報告の義務化によって、最善の行動をとるための対話が生じることです。報告の欠如は、ランサムウェアから身を守る方法を思いつく能力と、次に何が来るかを予測できるように身構える機会を妨害します。

結局のところ、正しい情報がなければ、何かを防ぐことはできません。組織は、評判よりも透明性を優先する必要があります。ランサムウェアに対する最終的な解決策は、知識を共有し、可及的速やかに保護措置を導入する集団での努力によって実現されるのです。

ランサムウェアは企業にとって単なる致命的な脅威ではなく、対処可能なものとして捉えるべきです。認識することが行動につながります。

ランサムウェアに対峙する、より強力な最前線

ランサムウェア被害の報告義務化スキームは、何が起き、何が破壊され、どのように脅威が緩和され、その後何が変わったのかといったランサムウェア攻撃に関する情報共有に役立つだけでなく、行政機関と諮問委員会が能力を最大限に発揮する上でも有効です。

一例として、オーストラリアでは昨年、国家サイバーセキュリティ戦略の導入を支援するサイバーセキュリティ戦略業界諮問委員会が設立されました。

東南アジアでは、シンガポール金融管理庁(MAS)のサイバーセキュリティアドバイザリーパネルが、サイバーレジリエンス(攻撃などからの回復力)と国家金融システムへの信頼を維持するための戦略について助言しています。また、直近では韓国で1961年に設立された最高情報機関である国家情報院が企業と公共機関が隣国から被害を受けていることを発表しました。

Vanoverのシステム管理およびITマネジメントの経験値によると、ランサムウェア攻撃について報告することで、これらの諮問機関にデータやインサイトが提供され、セキュリティ上の問題や、脆弱性、活発なサイバー犯罪に関する重要な情報を、対策強化のために追加することができます。

たとえば、ランサムウェア攻撃への警告を発する一般向けのアラートに活用できるでしょう。また、行政機関が、デジタルウォレットの身代金支払に関する情報や、犯罪グループが企業をターゲットにするために利用しているインフラに関する情報、ネットワークへのさまざまな侵入方法などの情報を収集できるようになります。

ランサムウェアの実行者に関する貴重な脅威情報や実用的なインサイトを得られれば、ランサムウェアに対峙する最前線はさらに強力になります。ランサムウェアの影響の実態を隠す組織は、国や地域レベルでの協力体制確立や、ビジネスの安全確保、国全体でのランサムウェア対策の成功を妨げることになるのです。

サイバー犯罪者によるランサムウェア攻撃を軽減する取り組みを確実に実施するために、被害報告の義務化は有効性が高いでしょう。各国政府は今こそ、その緊急性を検討すべき時なのです。