【漫画】ランサムウェア攻撃対応の裏側⑤ セキュリティ対策編
はじめに
•本記事は
『【漫画】ランサムウェア攻撃対応の裏側① 発覚対応編』
『【漫画】ランサムウェア攻撃対応の裏側② 初動対応編』
『【漫画】ランサムウェア攻撃対応の裏側③ 顧客対応編』
『【漫画】ランサムウェア攻撃対応の裏側④ サービス再開編』
の完結編となります。
本ストーリーは「架空の企業・登場人物」で構成しています。
挿絵として使用している画像は、Microsoft 365 Copilot(AI)で生成したものです。作画のクオリティよりも、シナリオの「専門性」と「リアリティ」を最優先して現場で判断を迫られるリアルな流れを再現しているため、複雑な構成になっています。この点は、一部の画風が不安定に見える点と大げさな発言とともに、あらかじめご容赦ください。文字だけでは伝わりにくい現場の緊迫感を、少しでも補えれば幸いです。
事件発生からの経緯や会議は、発覚対応編、初動対応編、顧客対応編、サービス再開編を経て今回が最後のセキュリティ対策編です。前のシナリオを前提に進んでいますので未読の場合は、これらを一読いただき後、お楽しみください。
登場人物
田中社長:
成功体験豊富な主人公。
Weサービス会社ABCXYZの社長。情熱的で行動力があるが、ITは専門外。
広報担当役員:
広報・マーケ担当
本件では窓口と情報管理対応
事業担当役員:Webサービス事業責任者
本件では顧客対応
管理担当役員:
管理業務責任者
本件では社員や株主対応
佐藤部長:
システム部部長
責任感の強いシステム部長。
技術的な知見と危機意識を併せ持つが、普段は経営と現場の板挟みになっている。
外部専門家A:
インシデントハンドリング専門家
国の事案や大手組織での第三者委員や最高情報セキュリティアドバイザー経験をもつ
アドバイザーE氏
本件では経営への危機管理支援
危機管理の専門家でNPOのセキュリティ協会組織の理事及びアドバイザー等
アドバイザーS氏
本件ではマネジメントコンサル支援担当
20年以上のセキュリティコンサル実績でCISSP、安全確保支援士、監査人資格や国の試験委員等
第一章 セキュリティ対策本部キックオフ
シーン1:対策本部への移行と権限委譲
12月1日 10:00 中会議室 セキュリティ対策本部会議
参加者: 田中社長(本部長)、佐藤部長、広報担当役員、事業担当役員、管理担当役員、法務部長
田中社長:「本日から、不正アクセス対策本部を解散し、恒久的なセキュリティ対策を進めるためのセキュリティ対策本部が発足する。内容は多岐にわたるため、参加者は状況に応じて変更していきたい。なお、技術的な要素が増えるため、私では進行が難しくなる。つきましては、進行役を佐藤部長にお願いしたい。また管理担当役員と佐藤とも話をしたが更に専門的な対応が増えるのとマネジメント面でのノウハウが足りなくなるので外部専門家のA氏から紹介を受けたコンサルタントのE氏及びS氏とアドバイザーとして今月から契約して必要な助言や体制強化支援を受けます。彼らは来週紹介します。それでは佐藤部長、お願いします」
佐藤部長:「はい、司会をしていきます。先に、現状についての報告からとします。先にシステム部からですが、安定運用されており、サービス展開には支障は出ていないと認識しています。また、外部からの攻撃の形跡は確認されていません。次に広報担当役員、お願いします」
広報担当役員: 「大手経済誌が当社のインシデント対応に関する記事を好意的に掲載しました」
広報担当役員: 「『ランサムウェアの危機を乗り越えた初動対応 短期で安全なサービス再開』という題名で、SNSでも評価されていました。また、メディア側も記事としヒットしたので来年の対策などの状況を取材させていただき続いての記事にしたいという依頼も受けています」
田中社長: 「メディアからの評価は追い風だ。株主からも想定される今期の業績で予定していたことの大きなマイナス分については今後が見通せるということで、厳しい言葉ではなく、期待になっていた。よって更なる投資もしやすくなった」
田中社長: 「恒久対策への取り組みを社会に示し続ける必要があるが、詳細なセキュリティ対策を公開することは次の攻撃者に手がかりを与えることにもなる。どうすべきか?」
広報担当役員: 「はい。Webサイトには『サービス提供の安全性の状況』ページを新設しています。ここでは、具体的な技術は伏せ、専門家によるチェックの結果、現在サービスが安全に提供されているという 『結果のみ』 を、定期的に公開していきます。そこには今回に関する情報漏洩がないかを専門家によって監視していただいているので、その結果も記載します。これが最も安心感を与える情報です」
田中社長: 「承知した。提供サービスの『安全であること』に特化して、継続的に伝えてくれ。また、サービス再開時にご協力いただいた主要な顧客には、個別に本格的な恒久対策の実施状況を詳細に報告し、信頼を確固たるものにする」
事業担当役員:「はい、個別対応はお任せください」
佐藤部長:「次に、提供サービスの恒久対策ですが現在、提案書を作成中ですので、来週の会議で発表します。正式な費用は数社から仕様を調整して見積もりを取るのに時間がかかるので3週間は見ていただければと思いますので来週時点はざっくり感となります。選定条件などは今回の事案を踏まえる必要があるので外部専門家に支援をもらいながら策定していきます」
佐藤部長: 「現状決めていることとしては、サービスシステムへの多層防御を更に進めます。特にEDRは、仮想基盤上のシステムも含め対象サーバー数が非常に多いため、外部との接触の多いシステムから順に優先度を設定し、導入時期をずらして段階的に運用を開始します。導入時には誤検知やSOCからの連絡内容に対応する習熟に時間が必要となるため、試験的には2月導入で4月から順次本番で動作させてリスクを段階的にコントロールし、7月にはEDRを全サービス機器へ導入完了させます。なお、全社員のPCへのEDR展開は9月までに終わらせて10月から正式運用予定です」
佐藤部長:「次に、社内システムについて、管理担当役員からお願いします」
管理担当役員: 「社内システムは、事業投資優先で選定はすんでいたが導入が遅れていたSASEを翌年4月から導入と定めます。これが社内システムの防衛線となります。現在はテレワーク対応もありクラウドベースでのメールやグループウェアを導入しており社内システムもクラウド上で構築していましたが、これだけが遅れていました」
シーン2:CSIRT 構築方針
管理担当役員: 「更に事件を教訓に、社員への教育も抜本的に見直し、今回の事案も反映した現実的な実践的教育プログラムを直ちに開始したいのですが私たちでは無理なので、今後はCSIRTが正式に組織化されたら、このセキュリティ教育の企画・運営もCSIRTが担ってもらう予定です」
佐藤部長: 「インシデント演習についても、これまでは事業対象システムが対象でしたのでシステム部が実施していましたが、社内システムの全面的な構築・強化が完了した後には、社内システムを対象としたインシデント演習も追加で実施する予定として両方ともCSIRTが担当として進めていきましょう」
田中社長:「この機を逃さず、恒久的な体制構築へ一気に踏み込む。この方針で進めてくれ」
第二章 経営を変える二人の専門家
シーン1:外部アドバイザー紹介と役割分担
12月8日 10:00 中会議室 セキュリティ対策本部会議
参加者: 田中社長(本部長)、佐藤部長、広報担当役員、事業担当役員、管理担当役員、法務部長、アドバイザーE氏、アドバイザーS氏
佐藤部長:「本日はアドバイザー契約を締結したE氏とS氏にも会議へ参加をしていただきます。E氏には経営や対外対応などの危機管理、S氏についてはCSIRTや文書策定支援が専門となります」
E氏とS氏の自己紹介をしてから会議を進める
佐藤部長:「それでは現時点の恒久的なセキュリティ対策の提案を行う。概要としては既に社外に出している項目を更に強化する予定です」
佐藤部長:「3項目の1つ目の『アクセス制限の徹底』は終わっており、あとは必要に応じての運用で適切に対応していくことです。次に3項目の2つ目の『監視体制の強化』としてEDRの導入となり、且つEDR含めて各種ログの監視を外部のSOCで対応していただきます。EDRはインストールしてすぐに運用できるものではなく、過検知対応などで3か月くらい様子をみて本番運用となります。正確な見積もりはまだ先ですがEDRおよびEDR以外の核ログも監視するSOCの費用の大枠はこれです。すべてのログの1年間の保管でクラウドに保管する仕組みを導入して対応をします。これは事業用と社内用の両方に対応していく予定です。
バックアップの情報もここにより長く保管できるようにしますので、3項目の3つ目の『バックアップ体制の強化』にもなります」
シーン2:CSIRTの体制構築
佐藤部長:「次にこれらを強固に運用できるようにすることが2点あります。第一に脆弱性や運用の監査を半年毎に定期的に実施すること、第二に何かあってもすぐに対応ができるようにCSIRTをたちあげますが、現業との業務での平行となります。システム部から2名、管理本部から1名、事業担当から1名を選抜して、外部専門家からの教育を受けてもらう予定です。そこから、どのようなCSIRTにするかを決めていってもらう予定です。CSIRT発足させ1年後には日本シーサート協議会に登録し、顧客への安心感をより一層高めたいと思っています」
このあとアドバイザーS氏から、今のサイバー攻撃の実態やCSIRT構築に関しての進め方の方針や予定の説明が行われた。
アドバイザーS氏:「次の週からは、CSIRT構築支援として対象者に3か月の教育が実施されるとともに必要な文書の策定支援を6か月かけて行う予定です」
シーン3:セキュリティライフサイクルの導入
佐藤部長:「それでは次に社内対応を管理担当役員から説明してください」
管理担当役員:「いままで専門家にみてもらっていないため、全体的な洗い出しから必要と判断しました。現状把握のためのリスクアセスメントから整理していくことから企画・設計、対策、評価/検証、運用と進む『セキュリティ ライフサイクル』にそった手順でいきたいと思います」
佐藤部長:「そこから更に社員教育と連携していきます。なぜこのように進めるのがよいかについては、私は詳しいセキュリティの説明が難しいのでアドバイザーのE氏から説明をお願いします」
アドバイザーのE氏から導入だけではなく全体を考えていかないとならないというセキュリティ ライフサイクルについて、ITに詳しくない人でもわかる説明が行われた。
シーン4:経営者の共通認識強化
また、この会議のあと、E氏から参加者に対して、経済産業省から出されている「サイバーセキュリティ経営ガイドライン」などのいくつかの資料についての勉強会が行われ、国が求めているレベルを共通認識とした。
田中社長:「この方針にもあわせて来期のセキュリティ対策の施策に反映していかないとならないなあ」
事業担当役員:「顧客から寄せられていた要望に含まれていた項目もある。しっかりと私でも対応できるように覚えておこう」
佐藤部長:「セキュリティ・バイ・デザインの考えも今後のシステム開発では本格的に取り入れていこう」
管理担当役員:「付録のサイバーセキュリティ経営チェックシートで状況を実施しておくか」
アドバイザーE氏:「はい、可視化して目標をもって対応していくのがわかりやすいです。ただし、大企業向け的なところもあり、全部できるものではないため、会社の事業や規模にあわせた計画的な目標設定が重要です」
アドバイザーE氏:「チェックリストは大枠の把握であり具体的な問題への対応は、リスクアセスメントということが必要です。セキュリティライフサイクルでいう現状把握となります。リスクアセスメントにより具体的にかつ、わかりやすく問題点と対策をまとめますので、そこから予算や人員やタイミングの問題がありますので優先順などを設定していただければと思います。また、導入は目的ではなくそれらを有効にする運用、特にそれが今回の問題でも明らかになった運用面への継続的な対応が、今後の鍵となります。また、ステークホルダー対応であったようにサプライチェーンリスク管理は、来期以降、CSIRTの重要な活動の一つとして組み込む必要があります。これもまた、継続的なコストとして予算化も必要ですが別途説明させていただきます」
田中社長:「了解した。それでは、その手順で進めてくれ」
第三章 恒久対策の実施状況(翌年1月~翌年9月)
アドバイザーE氏とS氏による支援とともに、本格的な多層防御のさらなるセキュリティ対策強化が進められていった。
・会社の方針には、明確に顧客への安全と安心を提供できるセキュリティへの対応強化が示された
・CSIRTは兼任での参加者ですが経営直下の組織として立ち上げていった。足りない文書はアドバイザーからサンプルをもらい策定をしていき、足りない知識は外部の講演などにも参加するなど、積極的に対応が行われていた
・SOC会社との契約を決め、運用管理などの役割を整理していった。対象はサービス側のシステムと社内システムの両方とした
・多要素認証はテレワーク用PC対象には実施ずみでしたが、全PCおよびサーバー含めて対応をした
・パスワード問題対応として、次の年にはコストもあまりかからないパスキー導入を意識しており、テスト運用に情報システム部門が動き出した(『【前編】パスキーで本当に防げる攻撃、防げない攻撃 ~企業導入で守れる情報と残るリスク~』 参照)
・EDRはサーバーからの導入でしたが、課検知や誤検知などのチューニングを行うとともにサーバーの不要なプロセスの停止や設定の強化なども合わせて実施していった
・社内システムのSASEは、3か月間の試験導入後に7月から運用を開始した
・社内のPCへのEDRの導入は10月から全社本格運用開始できるように、事前に試験導入と試験運用として7月からシステム部内で導入され、チューニングが行われ、10月本格運用で問題が起きにくい対応をとった
・開発においては、セキュリティ・バイ・デザインの中で、DevSecOps(セキュリティ運用を考慮した開発手法)も検討をすることとした
・サプライチェーンへのリスク管理面への対応や運用での負荷軽減として設定管理のCSPMなどの情報、SOARなどでの自動化、AIによる支援や更なるクラウド化も紹介されており、導入後の対応項目として検討にはいった
・内部監査については、恒久対策におけるガバナンス改革の最も重要なポイントとして、計画的に独立性を強化し、CSIRTの業務負荷を軽減するとともに、技術的対策やセキュリティ対策コストの評価を行い、経営層にセキュリティ対策の可視化・説明することを目的とすることにした
・第三者による外部監査はマネジメント面以外に脆弱性診断やペネトレーションなども定期的に実施して安全性の担保をもつこととした
・定期的な社員への強化されたセキュリティ教育とインシデント演習の実施も予定された
第四章 危機を乗り越えた企業文化の確立
シーン1:事件から1年 恒久対策導入完了後の全社集会
提供全サービスへの恒久的対策対応の導入自体が7月に落ち着いた後、全社員のPCを対象としたEDRの全社導入が10月2日に完了した。これで、サービス全般と社内システムの導入を完了したが、これは序盤です。恒久対策と呼ばれるように今回の問題になった重要な運用への対応にはいります。CSPM、脆弱性管理、脆弱性診断、チューニング、内部監査、社員教育、演習、文書整理や保守など山積みです。ここからのセキュリティは継続的であり投資ではなくコストとしてみていくものとして常にセキュリティライフサイクルのように更新をかけていくことになります。
10月3日 10:00 大会議室 全社集会
田中社長:「今日はあの事件から1年ということですが、12月からのセキュリティ対策からの振り返りと今後についてお話をします。私が司会をします。まずはそれぞれ思いがあるでしょうから、当時から対応していた役員など進捗や思いなどを話していただきたいと思います。広報担当役員から順にお願いします」
広報担当役員:「私のところは、12月からのセキュリティ対策からは落ち着いたので特にはありません。あの時のFAQ作成で培ったノウハウや多くの顧客の名前の声をきけたことは今後も生かせると思いました。また、メディアが今年になって『危機を乗り越えて最も安全なサービス』として会社の対応を評価してとりあげてもらえたことはよく、当社へのホームページへのアクセスも多くなっています」
管理担当役員: 「事件から1年で、社内システムと社員のPCまで、基本的なセキュリティ対策の対応を完了させることができました。皆さんにも手間をおかけしましたが協力のおかげです。世間の評価に応えるためにも、特に力が入り、当初の予定を計画どおりに対応できた。セキュリティ対策に関しては今回できたCSIRTの方々への必要な業務移行も完了しました。また、来年はアドバイザーS氏の評価も高く彼の会社の推薦で日本シーサート協議会への登録も予定しています」
管理担当役員: 「その反面、CSIRTメンバーは現業との掛け持ちのため、業務負荷が上がっており実際に社員教育は予定よりも一か月遅れた。これらは今後の課題として内部監査の強化とともに解決していきたいと思います」
事業担当役員:「賠償問題で大きな滞りはなくすべて個別対応で収まりました。サイバー保険なども活用できました。無償対応やサービスレベルの補償はもちろんですが、当社の方針やいままでの対応の評価をしていただいた点が大きかったです。また、厳しい顧客要望についてもアドバイザーからの対応による網羅的な支援や国の施策にのっとっていることを示しセキュリティ対策状況やネット監視による情報漏洩の状況などの報告などで対応できました。また、メディアで発表された効果もありこれらを疑いなく信用してもらえました。さらにサービス再開からずっとシステム部によって安定運用したことが安全だけでなく安心にもつながりました」
佐藤部長:「セキュリティ監視体制は安定期に入り、SOC会社との連携上の課題は残るものの、インシデント対応における当社のトリアージ精度は向上しました。懸念事項については外部専門家によるアドバイザリー支援体制も確立済みです。さらに、私は、この対応経験を題材とした講演依頼に対応して、企業の信用向上と広報活動に貢献できたと思います。特に、聴講者から『危機下での揺るぎない方針と適格な実行力』について高い評価を得たことは、当社の組織対応力の証として誇るべき成果です」
田中社長:「システム部の行動力には本当に感謝しているしCSIRTの負荷軽減も進めます。さて、昨年度はこの事案によって大幅な業績悪化でしたが、社員の皆さんの努力もあり今年度は顧客増大で悪化分を多く上回る結果がだせます。それでは、次にそれについて、事業担当役員から説明を頼む」
事業担当役員:「最終的な解約者数は、当初想定を大きく下回り約3%に留まりました。特に大口顧客については、個別に本格的な恒久対策の進捗状況を詳細に報告し続けたことが奏功しました」
事業担当役員:「その結果、大口顧客の親会社セキュリティ部門からも、当社の対応プロセスと新しいセキュリティ体制について、『業界トップクラスの水準まで一気に引き上がった』という高い評価を得ました」
(会場から拍手がおきる)
事業担当役員:「昨年の11月末のメディア報道以降、翌年に入ってから、『危機を乗り越えた企業』として新規顧客からの問い合わせと契約が急増し、事件前の水準を大きく上回るまでに回復し、増加に転じて過去最高の売上予定です」
シーン2: 事業担当役員の感謝と企業の変革
事業担当役員:(佐藤部長に深く頭を下げる)「...佐藤部長。サービス停止中、私は事業の不安から、あなたたちの対応への苛立ちを常にぶつけてしまいました。しかし、今、この新規顧客増加という事実を前に、あの時、あなたがたが『安全』を貫き、強固なシステムを再構築してくれたからこそ、この事業の未来があると、心から感謝しています。システム部の皆さんも本当にありがとう、そして、適切な応答で顧客を支えてくれた広報の皆さんにも、深く感謝します」
シーン3: 最終の締めと新たな企業文化の確立
田中社長:「我々の『安全への妥協なき姿勢』は、単なる対策ではなく、ABCXYZ社の新たな企業文化となった。この対応により、増大したセキュリティ業務への不満や、今後の継続的な投資への懸念もあることは知っている。しかし、それはしっかりと業績向上となっており、最終的には皆さんへ還元されます。『セキュリティ対策に終わりはない』そして常にセキュリティライフサイクルを意識して反映していく、この教訓を、今後も根幹の教訓の一つとして、継続的な投資と運用を続けていくことを誓う。今後の計画としては運用においてAI活用やクラウドへのさらなる移行なども検討して皆さんの負荷も減らせられるように次のステップへ移行していきます。全員、ご苦労だった。そして、よくやり遂げた!」
(全社員・役員が立ち上がり、大きな拍手で締めくくる。)
************
★本資料の学びのポイント
・「対症療法」から「恒久対策」へ
・CSIRTの早期立ち上げ
・セキュリティライフサイクルの定着
・経営層のコミットメント
あとがき
本シリーズ『ランサムウェア攻撃対応の裏側』を最後までお読みいただき、誠にありがとうございます。
この物語で私が最もお伝えしたかったのは、サイバー攻撃が技術部門だけの問題ではないということです。ランサムウェア攻撃という最大の危機は、田中社長をはじめとする経営層のコミットメントと、佐藤部長を中心とした社員一人ひとりの「安全への妥協なき姿勢」によって、企業文化の変革という最大の成果を生み出しました 。
対策は、単なる「対症療法」から「恒久対策」へ と進み、セキュリティライフサイクル のもとで継続されます 。この物語は、セキュリティ投資を、単なる費用の側面(有むコスト)としてではなく、将来的な事業成長と信頼回復を加速させるための戦略的な投資(生むコスト)として捉えることの重要性を証明しています
読者の皆様の組織も、危機を乗り越え、「最強の文化」を手に入れるための第一歩を、今まさに踏み出してください。外部専門家やアドバイザーは実際に当社のメンバーです【https://www.securewave.co.jp/member】。第一歩を踏み出すまたは、踏み出したが支援が必要な場合は、ぜひ私たちにご相談ください。
