SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年夏号(EnterpriseZine Press 2024 Summer)特集『ニューリーダーに訊く──2024年春、CxOに就任した2人が目指す姿とは』

EnterpriseZine Press

積水化学工業のランサムウェア対策研修──「身代金払う/払わない」問題を経営層が議論

「ガートナー セキュリティ & リスク・マネジメント サミット2023」レポート

 7月26日〜28日に開催された「ガートナー セキュリティ&リスク・マネジメント サミット」では、積水化学工業の原和哉氏が登壇。同社が実施した経営者向けの「ランサムウェア感染シナリオ演習」の内容を紹介、「身代金」についての対応を段階的に検討する様子などを具体的に説明した。

経営者向けにランサムウェア感染シナリオ2時間の演習を実施

積水化学工業株式会社 デジタル変革推進部 情報システムグループ長 原和哉氏
積水化学工業株式会社 デジタル変革推進部 情報システムグループ長 原和哉氏

 積水化学工業のデジタル変革推進部・情報システムグループ長、原和哉氏は、役員向けサイバーセキュリティ研修「ランサムウェア感染シナリオ演習」についての実施内容を紹介した。現場がランサムウェア攻撃を受け、身代金を支払うか、どのような対策を打つかを経営陣に問い議論させるという110分の演習コースだ。

 演習は、ランサムウェア感染シナリオの解説と本演習の2部構成からなる。解説部で全体の流れと具体的な問題設定について説明をおこなった後、身代金支払いの可否やその他検討事項、二重脅迫の対処、減額交渉などについて議論をおこなった。身代金の支払いに対しては、経営層でも興味深い反応が見られたという。

 演習の様子、架空の食品会社を想定して説明される。この会社は売上高1,000億円(営業利益50億円)で、従業員数3,000名(IT部門15名)がいると仮定する。また、クレーム・問合せ先、オンライン販売顧客などの個人情報を保有しており、業務システムのバックアップ体制やセキュリティ体制はCSIRT、リスク対応本部があり、机上訓練・標的型メール訓練は実施済など体制が整っていることを想定した。

インシデントの発生状況から犯罪者グループへの対応

 進行についてはまず、インシデント発覚から2日目の全社リスク対策本部での会合において、CSIRT長から状況の説明がある。週明けの出社時に、拠点設置の複数の端末と業務システムがランサムウェアに感染したことが発覚した。攻撃者グループからは72時間以内に10万ドル(ビットコインでの支払い)を要求され、この期限内に支払わなければ、要求金額は20万ドルへと倍増するとされた。

 この段階で対策チームとCSIRT長が情報を集約し、以下の情報をまとめた表が提示される。
「発生状況」は、感染の対象となったのは業務システムとその端末PCが数台である。暗号化されたファイル数は約3万以上にものぼり、従業員やコンシューマの個人情報も含まれているが、詳細については現在精査中である。

 次に、各部署から収集した情報をまとめた「業務影響」だ。このインシデントによる業務への影響は深刻であることが知らされる。重要業務の停止が72時間以上に及んだ場合の損失は膨大となる。具体的には、24時間で1千万円、48時間で5千万円、72時間で1億円の損失が見込まれ、以降は1営業日毎に1億円の損失が増加するとされる。

 「緊急対応状況」として、ランサムウェア感染したサーバとPCの特定、感染サーバのWANからの切り離し、フルスキャン実施による駆除、拠点利用PC全30台のフルスキャンとネットワーク接続、暗号化されたファイルの内容精査、情報漏えいの有無確認などが行われる。

 復旧についての見通しも明らかにされた。バックアップは部分感染の状況であり、1週間前のデータからの復旧が可能である。しかし、1週間分のデータ再入力が必要であり、3営業日を要する見込みである。また、一部システムのバックアップが古いため、リストア後のデータ3ヵ月の再入力が必要となり、これには5〜10営業日の期間がかかるとされる。

 技術者ではなく役員層が対象である割には、かなり技術的なバックグラウンドの理解が必要なシナリオだ。

次のページ
「断固支払わない」から「支払いも検討」までの 温度差

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
EnterpriseZine Press連載記事一覧

もっと読む

この記事の著者

京部康男 (編集部)(キョウベヤスオ)

ライター兼エディター。翔泳社EnterpriseZineには業務委託として関わる。翔泳社在籍時には各種イベントの立ち上げやメディア、書籍、イベントに関わってきた。現在は、EnterpriseZineをメインにした取材編集活動、フリーランスとして企業のWeb記事作成、企業出版の支援などもおこなっている。 ...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/18230 2023/08/25 09:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング