先週、とあるセキュリティ調査会社の調査結果を見て驚きました。ランサムウェア（企業のファイルを暗号化したり盗み出したりして、それを復旧させる為の身代金を要求されるタイプのサイバー攻撃のこと）を受けた企業が、犯人の要求に従って身代金を支払ったかどうかの調査結果です。公表されたデータによれば、日本において犯行に遭った33％の企業が「支払った」と答えたそうです。この数字は、欧米企業に比べると格段に低い数字なのですが、それでもおよそ3割の会社がお金を犯人に渡した、という結果は充分衝撃的なものです。

ランサムウェアは企業を狙い撃ちした攻撃を仕掛けてくるため、犯人側はその企業の財力を有る程度見極めた上で、支払いが可能な現実的な金額を示してくる傾向が強くなります。この様な犯人に犯行を仕掛けられると、企業は以下のリスクに直面します。

・ファイルを暗号化され、使えなくなってしまう：事業継続性のリスク

・ファイルを盗み出され、ネット上で公開されてしまう：機密保持のリスク

・企業のシステムを停止させる：事業継続性のリスク

・取引先を再攻撃したり、取引先に犯行の情報を流す：信用力低下のリスク

犯人は様々な犯行手段を組み合わせて、獲物の企業に対して以上のようなリスクを背負い込ませることになります。

日頃、様々なセキュリティ対策をしている企業でも、防御態勢は完璧なものにはできません。どこかの隙を突いて犯人が犯行に及ぶ可能性はいつでもどの会社にでも存在しています。それが実際に起きてしまった場合、社長はどうするべきなのか？

それは、

犯行によって、どのようなデータが使えなくなったのか？奪われたのか？

をきちんと評価する、ということに尽きます。当然ですが、どのようなデータが犯行に遭ったのか解らなければ判断は非常に難しい物になります。最悪のパターンは、「社員のPCのファイルが暗号化されてしまった。しかし、膨大なファイルを暗号化されてしまった為、会社にとってどの程度重要な情報が含まれているか把握ができない」といった場合です。この場合、身代金を支払わなかった場合に、会社はどのようなダメージを受けるか全く解りません。致命的なダメージを受けるかもしれませんし、そうでもないかもしれないのです。つまり、犯行にあってしまったデータを社長や経営層から見て、会社にとってどの程度重要な物なのか、即座に判断できるようにしておくことが最重要なのです。では、これはどうしておけば良いのでしょうか？それは・・・

会社の情報資産を特定し

情報ごとの重要度を定め

重要度に応じて管理状態に置く

という日頃の地道な管理活動に他なりません。まずは「社内の情報資産の棚卸し」といった作業を行い、地道に整理整頓をしてゆく、というプロセスを定期的に社内で回してゆくことが、このような攻撃に対する企業防衛の最後の砦と言えるでしょう。

また、万が一犯行に遭ってしまった場合の対応速度も重要です。犯人はあらかじめ身代金支払いの期限を定めます。大抵の場合、それは企業にとって充分な長さではありません。社長や責任者は事件が発生した場合、即座に判断しなければならないと言えるでしょう。

なお、ランサムウェア被害にあった場合、身代金を支払えば全部解決するのか？ということも気になることでしょう。残念ながらそのような誠意（？）のある犯人による犯行かどうかによって決まるため、一度犯行に遭ってしまったら、お金を払っても元にもどらない可能性が高い、と認識しておくべきです。

攻撃に遭わないように防御する。これが鉄則ではありますが、万が一にでも攻撃による被害が発生した時、社長は身代金と情報毀損・漏洩による被害を即座に天秤にかけられるようにしておかないといけない、と言えるでしょう。