デジタルトランスフォーメーションの加速、場所を選ばない働き方へのシフト、そして人材不足が、この2年間でサイバーセキュリティの領域を劇的に変化させています。これらの変化する要因により、攻撃対象は拡大し、従来のセキュリティソリューションの問題点が露呈し、ランサムウェアキャンペーンが生まれました。かつては個人識別情報(PII)や財務記録を盗むことに重点を置いていた攻撃者が、今では組織全体の運営を停止させて身代金を要求することを選ぶようになっています。中小企業から大企業、地方自治体から連邦政府に至るまで、誰も安全ではありません。
しかしランサムウェアは、ある意味でサイバーセキュリティの強化に役立っているのではないでしょうか? 突飛な考えのように聞こえるかも知れませんが、これは私が最近、他のサイバーセキュリティのリーダーや幹部と議論していることです。
私は同業者との会話を楽しんでいますが、この話題は何度も出てきます。それらの会話の中では、ランサムウェアが企業のセキュリティにとって最大の脅威となりつつあるという点で意見が一致しています。この脅威と戦うためにはチームが十分に準備できていなければなりませんが、人材不足はその作業に悪い影響を及ぼしています。しかし、拡大するランサムウェアの脅威から組織を守るためのセキュリティリーダーにとっては、予防的アプローチこそが最善の戦略なのではないでしょうか。
そこで今回は、セキュリティリーダーがランサムウェアをセキュリティ強化の手段として活用するために、戦略的な観点から注目すべきと私が考える3つの分野について簡単に紹介したいと思います。
議論をマネジメントレベルに引き上げる
この業界では、「せっかくのイベントを無駄にしてはいけない」という言葉があります。これは、侵害やデータ損失のようなビジネスに大きなインパクトを与えるイベントが起きたときは、上級管理者やユーザーにサイバーセキュリティの重要性を認識させる絶好の機会であるという意味です。ここ数年のランサムウェアの台頭と企業の関心の高まりが、サイバーセキュリティの議論を適切なレベルに引き上げる機会を与えてくれたことは明らかです。
少なくともランサムウェアは、サプライチェーンという概念がクレジットカードデータや在庫などの重要な資産と同等か、それ以上に価値があるかもしれないことをビジネスリーダーに示しました。これは大きな変化であり、組織のサイバーセキュリティ体制を強化するためにリソースを最適化することの価値について、役員や取締役会と健全な対話をできるようになりました。もし会社が攻撃されたら何が起きるのか? 被害はどれくらいか? 攻撃は業務にどのような影響を与えるのか? そして、攻撃の影響を軽減するために何ができるのか?
これらはすべて、話し合う必要のあることばかりです。誰もがターゲットであり、誰もが攻撃者の資金源になり得ることを、人々は理解し始めています。
自動化でセキュリティを簡素化する
ランサムウェアがもたらしたもう1つのチャンスは、セキュリティの基本に再び焦点を当てようとする動きが起きたことです。ランサムウェアは単なるペイロードであり、そのペイロードはマルウェアやその他の脅威と同じ手口で配信されます。攻撃が比較的単純であることと、サイバーセキュリティ業界で人材不足が深刻化していることから、私たちはセキュリティ運用を簡素化してできる限り自動化しなければなりません。そして時にはインフラチームやDevOpsチームの専門知識やリソースを頼りにせざるを得ない状況になっています。セキュリティは今やチームを巻き込んだイベントであり、あらゆる技術スタックに携わる全員が参加しているのです。
ここで一つ重要なことは、この問題にこれ以上単純に人を投入することはできないということです。ランサムウェアを阻止するためには、基本的なセキュリティ基盤とリスク評価を組み合わせる必要があります。そうしてセキュリティの隙間を埋めることで他の脅威も阻止することができ、その結果、セキュリティ体制が強化されるのです。
リアクティブからプロアクティブへシフトする
ランサムウェアは、サイバーセキュリティの脅威に対するアプローチの転換を企業に迫っています。従来のリアクティブ(受動的)な対応ではなく、プロアクティブ(積極的)で予防的なアプローチが求められているのです。つい最近まで、多くの企業は身代金を支払うことを選択していました。しかし、多くの企業が身代金を支払うようになると、攻撃者は要求額を増やし始めたのです。一般的な身代金の額は1万ドルから2万ドルでしたが、今では数百万ドルに達しています。組織は利害関係者を巻き込み、被害の軽減策と対応策を策定し始めました。どうすれば攻撃を食い止めることができるのか? どうすれば被害を軽減できるのか? そして、二度と攻撃されないようにするためには、どのように問題を修復すれば良いのか? 身代金の高騰により、予防は長期的な戦略へと変化したのです。
さて、ランサムウェアは組織がサイバーセキュリティに注目し、継続的に投資を行う決断を下すのに役立ったのでしょうか? 私がこれまでに交わした会話によれば、それは役立ったと言うことができます。ランサムウェアによってサイバーセキュリティは経営幹部の重大な関心事となり、それが自動化によるセキュリティ運用の改善につながり、組織は脅威を阻止するためのプロアクティブなアプローチを取ることを余儀なくされたのです。
この無料のeBookをダウンロードしてお読み下さい。セキュリティと経営陣の関係を検証し、サイバーセキュリティが真に取締役会の問題である理由を説明しています。