ビジネスにおけるサイバーセキュリティの役割の変化とランサムウェア攻撃への対応

ビジネスにおけるサイバーセキュリティの役割の変化

IT化、DXの進展に伴い、今日の企業活動の多くはデジタル技術が密接に組み込まれており、これによって生まれるサイバー空間は拡大の一途を辿っています。またIoTやOTといったテクノロジーの発展により、サイバー空間とフィジカル空間の境目は曖昧化し、広大なサイバー空間の領域を更に拡大させるとともに、より複雑化させています。

このようにサイバー空間が拡大、複雑化する中で、サイバーセキュリティの成否はビジネスにクリティカルな影響を与える重要成功要因（Key Success Factor）になっていると言えます。デロイトのサイバーおよびサイバーセキュリティに関する調査「2023年 Global Future of Cyber Survey」では、サイバー脅威、企業活動、将来について、世界中の様々な業界のリーダー数百人に意見を求め、サイバーセキュリティの役割およびその変化について以下のようなインサイトを得ています。

1. サイバーをビジネスの中心に据える

• サイバーは、テクノロジーに特化したものではなく、ビジネスにおける明確な機能領域として進化しており、従来のITの枠を超えて、ビジネスの成果を実現するための重要なフレームワークの一部となっている。
• サイバー脅威はITの問題ではなく、ビジネスの問題へと変化している。

2. DXにおいて重要な役割を担う

• 経営者はサイバーがDXの全ての優先事項であり、特にクラウド、データアナリティクス、5Gにおいてサイバーは重要な役割を果たすと考えている。

3. サイバーでビジネスを強化する

• サイバーに関する取り組みから、ビジネスの効率性、レジリエンス、アジリティの向上などの効果が認識されている。
• サイバーに関する成熟度の高い組織のリーダーの半数以上（55％）が、サイバーは新しいことに挑戦する自信を与えてくれると回答している。

参考：2023年 Global Future of Cyber Survey
https://www2.deloitte.com/jp/ja/pages/risk/articles/cr/future-of-cyber.html

ランサムウェア攻撃の脅威

サイバー空間およびサイバーセキュリティの役割が著しく変化する中で、サイバー空間における脅威も絶えず変化しています。各企業は自社のビジネス環境やビジネス特性などを踏まえて対策すべき脅威を見定め、また評価することが求められますが、多くの企業が考慮すべき重要な脅威としてランサムウェア攻撃が挙げられます。

ランサムウェア攻撃の被害は業界や企業規模を問わず確認されており、特に2019年以降は、「二重脅迫の手法」や「RaaS（Ransomware as a Service）」が普及するなど、ランサムウェア攻撃の急速な進化および活発化が起きており、被害が深刻化するとともに対策がより困難な状況となっています。

1. 二重脅迫の手法

従来型のランサムウェアがデータ暗号化またはシステムのロックを行い、解除のために身代金を要求するものに対して、事前に窃取したデータを公開すると脅し、身代金を要求する手法。更にDDoS攻撃の実施や窃取したデータの被害者・被害組織にデータの公開に関する脅迫を行うなど、多重脅迫型に進化しているランサムウェアも確認されている。

2. RaaS（Ransomware as a Service）

ランサムウェアをサービスとして提供するビジネスモデル。ランサムウェアの開発と攻撃実行が分業されることで、より高度なランサムウェアの開発や攻撃実行のハードル低下などのメリットが想定され、ランサムウェア攻撃全体の活発化に繋がっていると考えられている。

ランサムウェア攻撃への対策

データの暗号化やシステムのロックだけを行う従来型のランサムウェアであれば、暗号化の解除やバックアップからのリストアなどにより、データの復旧に成功することができれば、攻撃者からの脅迫から逃れることが可能でした。しかし、二重脅迫の手法においては、データが既に持ち出されている状態であるため、データの復旧だけでは完全な解決には至りません。このような進化したランサムウェア攻撃に対しては、多層防御の整備を進め、全般的なサイバーセキュリティ対策の強化を図る他ありません。

なお、二重脅迫の手法において情報の窃取に至るまでの攻撃ステップは標的型攻撃と同様であるため、標的型攻撃への対策とランサムウェア攻撃を考慮したバックアップ等の対策の組合せをベースにすることが有効と考えられます。

特に東南アジアの日系企業においては、サイバーセキュリティ対策の整備においても、日本HQからのディレクションをベースに対策整備を進めたことによる現地側での対策の過不足、発生したインシデントに対する再発防止策など個別対応・都度対応の積み重ねによる対策の非効率化（全体最適でない）、リソース不足によるセキュリティルール・運用の形骸化、などが散見されるため外部ガイドライン等を活用した対策の見直しを行い、あるべき姿とのギャップの把握および改善を行うことが推奨されます。

最後に

デロイト トーマツ グループでは東南アジアの日系企業に対して数多くのランサムウェア攻撃対策の支援を行っています。本稿では、それらの経験を基に、ランサムウェア攻撃対策のポイントを取り上げました。ランサムウェア攻撃の被害は東南アジアにおいても拡大しており、サイバーセキュリティの重要性がますます高まっている状況と言えます。本稿がランサムウェア攻撃対策の検討およびサイバーセキュリティレベル向上の一助となれば幸いです。