投稿日:

国内で被害多発!ランサムウェア被害を最小化するためのリスク可視化とリスクアセスメント

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ランサムウェアの脅威は近年増しており、企業に甚大な被害をもたらしています。本記事では、ランサムウェアの脅威や被害の実態を紹介し、サイバーレジリエンスの重要性や、リスクの可視化の重要性と対応策について解説いたします。また、リスク可視化ツールの紹介や、企業が守るべき情報資産とその保護方法についてもご紹介します。

ランサムウェアの脅威

ランサムウェアは、データを暗号化することで使用できなくし、その復旧(復号)のために身代金を要求するマルウェアの一種ですが、昨今では「ノーウェアランサム」と呼ばれる新たな攻撃の手口が登場しました。従来のランサムウェアのようにデータを暗号化するのではなく、窃取したデータを公開すると脅し、データの公開を防ぎたければ対価を支払えと要求するものが増えてきています。このように高度化・多様化し続けるランサムウェアは、いまやサイバー空間における主要な脅威の一つと化しています。今年(2024年)も、多くのランサムウェア関連のインシデントが発生しており、大手企業、中小企業問わず多くの企業が被害を受けています。そして、ランサムウェアの脅威が増大する中、それに対応するサイバーセキュリティの取り組みも必須となってきています。

ランサムウェアの脅威画像
出典:警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について
図表19:企業・団体等におけるランサムウェア被害の報告件数の推移

ランサムウェア被害の実態

2023年に発生した名古屋港の名古屋港統一ターミナルシステム(NUTS: Nagoya United Terminal System)が攻撃を受けた事例では、日本一の取扱量を誇る名古屋港で、輸送コンテナの積み下ろしができなくなるなどして、日本社会に非常に大きなインパクトを与えました。今年2024年も多くのランサムウェア攻撃が話題になっていますが、中でも大手出版グループがランサムウェア攻撃を受けた事例では、情報漏洩やサービス停止、物流機能や経理機能が停止するなど、様々な被害をこうむりました。同グループは2024年4~6月期連結決算で、特別損失20億円を計上しています。

2024年のランサムウェアインシデント例

時期概要
5月頃自治体や企業から印刷業務などを請け負っている企業がランサムウェア被害を受けたことで、複数の委託元組織の情報を漏洩した*1
5月頃医療機関が被害を受け、電子カルテを含めた総合情報システムが停止し、患者情報も漏洩した*2
6月頃大手出版グループが被害を受け、個人情報漏洩、サービス停止、社内システムの停止といった被害を受けた*3
6月頃大手電機グループの関連企業がランサムウェア攻撃を受け、情報漏洩の疑いがあると発表した*4
7月頃大手保険企業が、委託先の税理士法人がランサムウェアに感染したことで、契約者や元社員ら計約2万7800件の情報が外部に漏洩した恐れがあると発表した*5

サイバーレジリエンスの考え方

サイバー攻撃の手法は高度化・多様化しており、ランサムウェア攻撃について、完全に防ぐことは難しいと言わざるを得ません。そこで、攻撃を未然に防ぐことだけに依存するのではなく、レジリエンスを高める考え方へとシフトする必要があります。レジリエンスとは、システムや組織が攻撃や障害に直面した際に、その影響を最小限に抑え、迅速に復旧する能力を指します。これには、事前にリスクを評価し、予防策を講じることに加え、攻撃に備えた対策を整えることが含まれます。

具体的には、データの定期的なバックアップ(物理的にネットワークから切り離して保管することが望ましい)を実施することで、攻撃を受けた場合でも迅速にデータを復旧できるようにすることが重要です。また、従業員に対する教育や訓練を通じて、攻撃の兆候に気づき、適切に対応できるスキルを持たせることもレジリエンスの一環です。

加えて、事後対応として、攻撃を受けた際の対応手順を明確にし、迅速な復旧を図るための計画を策定しておくことも重要です。これにより、攻撃による業務停止やデータ流出のリスクを最小限に抑え、被害を軽減することが期待されます。レジリエンスを高めることは、サイバー攻撃が避けられない現代において、組織が安定して事業を継続させるために重要な戦略です。

リスク可視化の重要性

ランサムウェア対策において、その被害の影響範囲を事前に把握しておくことは非常に重要です。システム内の脆弱性を悪用されると、攻撃によってどのような影響が生じるかを理解し、リスクを可視化することが求められます。こうしたリスクの明確化・現状把握が、効果的なセキュリティ対策を実施するうえで欠かせない要素です。

まず、リスクの明確化とは、システム内のどこに脆弱性が存在し、その脆弱性が攻撃された際にどのような被害が発生するかを具体的に理解することです。これにより優先順位をつけて脆弱性対策を実施することが可能になります。また、リスクを明確にすることで、有効なセキュリティ対策を適切に実行することが可能となり、限られたリソースを効果的に活用することができます。これらの取り組みが、有事の被害を最小限に抑えるための体制を整えること、ひいては、組織全体のセキュリティレベルを向上させることにつながります。

リスク可視化ツール

システムなど技術的側面からだけでなく、作業手順や業務フロー、作業環境、組織のルールなどの運用面も含めてリスク評価を行うことを「リスクアセスメント」と呼びます。システムが技術的に強固に守られていても、アクセス用のIDとパスワードを付箋紙に書いてモニターに貼り付けていたら、安全は保たれるべくもありません。リスクの棚卸しによる現状把握で、優先順位をつけて対策を講じることが可能になります。

伊藤忠サイバー&インテリジェンス株式会社からは、「ICIリスクアセスメントツール」が無料公開されています。このようなツールを利用することで、客観的な視点で組織のセキュリティ状況を俯瞰的に評価することができ、内部の盲点や見過ごされがちな脆弱性を明確にし、組織が直面するリスクの全体像を把握することができます。

“なに”を守るか、“どう”守るか

情報セキュリティのリスクに関して、最も重要であり、確実に保護しなければならないのは、「重要情報(データ)」です。リスクの洗い出しを行う際には、最初に保護すべき資産が“なに”であるかを明確にし、その次にそれらを“どのように”守るべきかという視点で考える必要があります。情報セキュリティリスクにおいて、保護すべき最も重要な資産は「情報(データ)」であり、これが適切に管理されなければ、企業にとって大きな損失となる可能性があります。リスクの洗い出しは、まず「保護すべき資産」を特定することから始まります。そして、その資産がどのように攻撃される可能性があるのか、またどのような影響を受ける可能性があるのかを把握します。さらに、以下のようなステップを通じて、保護すべき情報を特定し、効果的なセキュリティ対策を構築していくことが重要です。

セキュリティ対策は専門家に相談を

組織が直面するリスクは、業種や規模、サプライチェーンの特性、取り扱う情報の性質、システム環境の状況、そしてセキュリティ対策の度合いなど、さまざまな要素によって異なります。特に近年では、ランサムウェアによる攻撃が大きな脅威となっており、企業に甚大な被害をもたらす可能性があります。リスクを効果的に管理するためには、まず自組織が内包するリスクを客観的に見極め、ランサムウェアを含む各種リスクに対して優先度に応じた対策を検討することが重要です。

このプロセスにおいては、第三者視点でのリスクの検知と評価が不可欠です。特に、専門的な知識を持つセキュリティベンダーの協力が有効です。専門家の助言を受けることで、組織が持つ特有のリスクへの具体的な対策を講じ、リスクを最小限に抑えることが可能となります。信頼できるセキュリティベンダーと協力体制を築くことで、ランサムウェアをはじめとするサイバー攻撃から組織を守り、安全性を確保しましょう。

BBSecでは

ブロードバンドセキュリティでは、企業組織のランサムウェア対策のレジリエンスを評価するために下記サービスをお勧めしております。

※外部サイトにリンクします。
アタックサーフェス調査バナー

また、従業員への教育サービスとして以下もご用意しております。

標的型攻撃メール訓練

※外部サイトにリンクします。

ウェビナー開催のお知らせ

  • 2024年9月11日(水)14:00~14:30
    CVSSとSSVCで実践する次世代脆弱性管理:サイバー攻撃対策セミナー2024
  • 2024年9月18日(水)13:00~14:00
    【好評アンコール配信】
    ランサムウェアの脅威を知る-脅威に備えるためのランサムウェア対策-
  • 2024年9月25日(水)13:00~14:00
    【好評アンコール配信】
    ランサムウェア対策の要~ペネトレーションテストの効果、脆弱性診断との違いを解説~
  • 2024年10月2日(水)13:00~14:00
    【好評アンコール配信】
    サイバー攻撃に備えるために定期的な脆弱性診断の実施を!
     - ツール診断と手動診断の比較 –
  • 2024年10月9日(水)13:00~14:00
    【好評アンコール配信】
    システム開発のセキュリティ強化の鍵とは?
     -ソースコード診断で手戻りリスクとサイバー攻撃を未然に防ぐ-

    • 最新情報はこちら

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像
    投稿日:

    サプライチェーン攻撃への対策 -サプライチェーン攻撃の脅威と対策3-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    サプライチェーンは、サイバー攻撃のリスクや予測不可能な事象による中断リスクなどのリスクを抱えており、サプライチェーン攻撃を受けてしまった場合には生産性の低下や企業の信用失墜につながる可能性もあります。このためサプライチェーン全体のリスク管理が重要です。この記事では、サプライチェーン攻撃のリスクマネジメントを紹介しつつ、サプライチェーンのセキュリティ対策のポイントについて解説します。

    サプライチェーンのセキュリティ課題

    サイバー攻撃の手法も多様化している中、多くの企業がサプライチェーンのセキュリティ課題に直面しています。課題はサプライチェーンの規模と煩雑さ、そしてグローバル化に伴う規制の厳格化など、多岐にわたります。

    サプライチェーンは多くの企業や組織が関与していることから、お互い密接に連携しているため、一か所にほころびが生じると、それがサプライチェーン全体に影響を及ぼす可能性があります。サプライチェーンの弱点を悪用した攻撃によるリスクにおいては、自然災害やパンデミック(感染流行)といった環境リスク、テロや政治的不安定といった地政学的リスク、経済危機や原材料の価格変動による経済リスクなどの予測不可能な事象によってサプライチェーンに大きな影響を与えます。

    特にサプライチェーン攻撃の場合は自組織が攻撃者に狙われ、火元になった場合、どこまで全体に影響があるのか調査するのに時間がかかります。たとえ火元を見つけられなかった場合でも、自組織が委託元企業であった場合には監督責任を問われる可能性がでてきます。これらのリスクによって生産性が低下したり、企業の信用が失墜したりする可能性があり、サプライチェーンリスク管理の重要性が高まっています。

    サプライチェーンの産業において安定的な供給をするためには、グローバル化への対応、予測困難なリスクへの対応、消費者ニーズの把握という三つの主要な課題に対処することが不可欠です。これらの課題を克服するためには、サプライチェーンマネジメント(SCM)の導入が効果的です。サプライチェーンマネジメントを利用することで、在庫管理の最適化、リードタイムの短縮、適切な人材配置が可能になり、企業間での情報共有も促進されます。これにより、消費者ニーズに即応しやすくなります。

    サプライチェーンリスクマネジメントとは

    サプライチェーンリスクマネジメント(SCRM)は、サプライチェーン全体のリスクを管理し、予測不可能な事象からビジネスの継続性を保護するための戦略的アプローチです。このプロセスには、サプライチェーンを構成するすべての関係者とその活動が含まれます。リスクマネジメントは、外部委託先やサプライヤーのセキュリティ対策を評価し、それに基づいて適切な対策を講じることが重要です。情報漏洩やサイバー攻撃などのセキュリティインシデントが発生した場合、サプライチェーン全体の業務に影響を及ぼす可能性があるため、事前のリスク評価と定期的な監査が求められます。

    サプライチェーン攻撃への対策方法

    サプライチェーン攻撃への対策を実施することは、単にリスクを軽減するだけではなく、企業のセキュリティ体制を強化することにもつながります。主な対策を挙げると、セキュリティポリシーの整備・運用の見直しの実施、従業員教育の徹底などがあります。具体的には、サプライチェーンの各プロセスでセキュリティチェックを行うこと、委託元・委託先との契約の際にセキュリティ要件を定義し、定期的な監査を行う、そして従業員のセキュリティトレーニングの実施や、インシデント対応計画の整備をすることなどが挙げられます。さらに、サプライチェーン全体のセキュリティを向上させたい場合、組織で最新のセキュリティ関連情報を収集し、外部からの攻撃に迅速に対応できるよう体制を整えることが推奨されます。セキュリティ専門企業による定期的なセキュリティ診断を受けることで、脆弱性のリスクを発見し、脆弱性対策に取り組むことも重要です。これらの取り組みを通じて、攻撃リスクを効果的に低減することが可能になります。

    ガイドラインとプラクティス集

    サプライチェーンのセキュリティを確保するためには、各業界が公開しているセキュリティガイドラインやベストプラクティス集を参照することをおすすめします。各業界のガイドラインには、リスク管理のフレームワークの確立、サプライヤーとの連携におけるセキュリティ要件の統合、定期的なセキュリティ監査と評価の実施が含まれます。また、インシデント対応計画の策定や訓練を通じて、万が一の事態に迅速かつ効果的に対応できる体制を整えることも重要です。さらに、業界団体やセキュリティ専門家が提供する最新のセキュリティ情報やトレンドには常に注意を払い、対策を見直すことも重要です。

    ・経済産業省
     「サイバーセキュリティ経営ガイドラインVer3.0
    ・独立行政法人情報処理推進機構(IPA)
     「サイバーセキュリティ経営ガイドラインVer3.0実践のためのプラクティス集
    ・経済産業省
     「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer1.0
    ・日本自動車工業会(JAMA)/日本自動車部品工業会(JAPIA)
     「自工会/部工会・サイバーセキュリティガイドラインV2.1
    ・CISA(サイバーセキュリティインフラセキュリティ庁)
     「Securing the Software Supply Chain: Recommended Practices

    自動車産業は、近年サイバー攻撃の標的になりやすいことから、業界全体でサイバー攻撃への対策強化に力を入れています。サイバー攻撃から自組織を守るためにも、ガイドラインに従い、セキュリティ対策に取り組むことが重要です。

    NISTサイバーセキュリティフレームワークV2.0

    NIST(米国立標準技術研究所)が2024年2月26日にリリースした「NIST’s cybersecurity framework (CSF) Version 2.0」は、2014年のV1.0のリリース以来、10年ぶりにメジャーアップデートされた文書です。このフレームワークは、組織がサイバーセキュリティリスクを理解、評価、優先順位付け、そして対処するための指針を提供することを目的として、中小企業を含むあらゆる企業や組織での利用を促し、サプライチェーンリスクに注目した内容に改定されています。

    サプライチェーンのセキュリティ対策のポイント

    サプライチェーン攻撃に対しては、サプライチェーン全体で基本的な情報セキュリティ対策の実施に取り組むことが重要です。

    基本的な情報セキュリティ対策の例

    ・情報資産の可視化
    ・OSやソフトウェアの最新状態へのアップデート
    ・権限管理による重要情報取り扱い者の絞り込み
    ・パスワードの強化
    ・脆弱性診断等によるセキュリティ上の問題の可視化
    ・マルウェア対策製品の導入
    ・アクセス制御ソリューションの導入
    ・従業員全員に対するセキュリティ教育の定期実施
    ・インシデント発生時の対応手順等セキュリティに関するルールの策定・周知

    サプライチェーン全体への取り組みの例

    ・アンケート等を用いたサプライチェーン上の各企業におけるセキュリティ状況の把握
    ・サプライチェーン上にセキュリティ水準の異なる企業があるか確認
    ・サプライチェーン上の企業間における重要情報の定義と取り扱い方法の取り決め実施

    ポイントは、常に自社/自組織が当事者であるという姿勢です。以下のような基本的な対応がとられているか、今一度ご確認いただくことをおすすめします。

    ・自社/自組織のセキュリティ状況の把握と対策
    ・取引先/委託先のセキュリティ対策状況の監査
    ・使用しているソフトウェアに関する脆弱性情報のキャッチアップ 等

    また、ソフトウェアサプライチェーン攻撃への対策としては、以下のガイドラインもあわせて参照することを推奨します。

    ・経済産業省 商務情報政策局 サイバーセキュリティ課
     「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引Ver.1.0

    「SBOM (Software Bill of Materials)」について、SQAT.jpでは以下の記事でご紹介しています。
    こちらもあわせてご覧ください。
    脆弱性管理とIT資産管理-サイバー攻撃から組織を守る取り組み-

    ・「OSS の利活⽤及びそのセキュリティ確保に向けた 管理⼿法に関する事例集

    今一度セキュリティ対策の見直しを

    サイバー攻撃手法は日々更新されており、どんなにセキュリティ対策を実施していても自組織のみではインシデント発生を防ぎきれないのが実情です。自組織のシステムのリスク状況の把握には、脆弱性診断の実施がおすすめです。また、サイバー攻撃への備えとして、セキュリティ対策の有効性の確認には信頼できる第三者の専門家の目線もいれることをおすすめします。

    まとめ

    サプライチェーン構造は、企業間の密接な連携により複雑化しているため、一点のほころびが全体に影響を与える可能性があります。またサプライチェーンは、サイバー攻撃、自然災害、地政学的不安定、経済危機など様々なリスクに晒されています。特にサプライチェーン攻撃は、狙われた企業の直接的な被害だけではなく、そこに関連する企業が火元となった場合、監督責任を問われることもあります。これにより、生産性の低下や企業の信用失墜など、深刻な結果を招くことも考えられます。

    このため、サプライチェーンの安定供給を実現するには、グローバル化の進展、予測困難なリスクへの対応、消費者ニーズの正確な把握が重要です。これらの課題に効果的に取り組む方法として、サプライチェーンマネジメント(SCM)の導入が推奨されています。SCMを利用することで、在庫管理の最適化、リードタイムの短縮、適切な人材配置が可能になり、企業間の情報共有も促進されます。

    また、サプライチェーンリスクマネジメント(SCRM)は、サプライチェーン全体のリスクを評価し、適切な対策を講じることでビジネスの継続性を保護する戦略的アプローチです。リスクマネジメントには、情報漏洩やサイバー攻撃への迅速な対応、外部委託先やサプライヤーのセキュリティ対策の評価、定期的な監査が含まれるため、予測不可能な事象において備えておきたい重要なポイントです。

    セキュリティを向上させるための策としては、セキュリティポリシーの整備、従業員教育の徹底、サプライチェーンプロセスでのセキュリティチェック、セキュリティ要件の定義と監査の実施が重要です。また、セキュリティ診断を受けることで脆弱性を発見し、それに対処することも推奨されています。

    さらに、各業界のセキュリティガイドラインやベストプラクティスを活用することも推奨されます。これにはリスク管理フレームワークの確立やセキュリティ監査の定期実施が含まれ、ガイドラインに準拠することで、サプライチェーン全体のセキュリティを向上させ、万が一サプライチェーン攻撃を受けてしまった場合でも、リスクを最小限にすることが可能になります。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像