サイバーインシデントへの備えができていますか?~ゼロからの相談~
損害保険ジャパン株式会社(以下、損保ジャパン)とSOMPOリスクマネジメント株式会社(以下、SOMPOリスク)は、2022年4月1日に「SOMPOサイバーインシデントサポートデスク」を開設しました。
これは、サイバー保険の加入の有無を問わず、事業者のサイバーインシデント対応を幅広く支援する専門のサポートデスクです。損保ジャパンの保険契約者(事業者)及び、SOMPOリスクマネジメント社のお客さまであれば無償でサポートを受けることができます。今回は、なぜ損保ジャパンとSOMPOリスクがサイバーインシデント対応のサポートデスクを開設したのか、設立の理由、背景について説明していきます。
ホワイトペーパー一覧はこちら >
あなたの組織はいくつ検討できていますか?
この問いかけに対し、「リスクの回避」、「リスクの軽減」、「リスクの移転」、「リスクの許容」のうち「リスクの軽減」、「リスクの許容」の2つのみを実施している企業もまだまだ多いのではないでしょうか。そもそも、原因を取り除くことで、リスクの脅威を避ける「リスクの回避」は、ITの利用を止めることとほぼ同意となります。そのため、ほとんどの企業でITに依存している現在、「リスクの回避」を選択することは不可能に近いでしょう。そのため、残りの3つを影響度や発生頻度を鑑みて検討することとなりますが、情報セキュリティマネジメントやセキュリティ製品を導入することにより「リスクを軽減」し、残存するリスクを評価した上で対応策を取らない、いわゆる「リスクの許容」をしているかと思います。それでもサイバーインシデントの発生は避けられません。そんな時は、どうすればいいのでしょうか。
筆者は、2002年からセキュリティ対策製品を製造、販売しているセキュリティベンダーでサイバーセキュリティに携わり、2007年からは、日本固有のサイバー脅威を研究するマルウェア解析ラボの立ち上げ、2011年からはサイバー攻撃対策チームを立ち上げ標的型攻撃のデジタルフォレンジックを主な業務とし、愛知県警察、福岡県警察、北海道警察のテクニカルアドバイザーの委嘱を受けた経験があります。
2017年に独立した今でも毎月3件から5件ほどのサイバーインシデントに主にフォレンジッカーとして携わっております※1。そんな経験の中から、サイバーインシデント発生時に陥りがちな項目をいくつか紹介していきます。
インシデント発生時の留意点
まず、Computer Security Incident Response Team(以下、CSIRT)を準備してサイバーインシデント発生時の対応フロー、自社ですべきこと、インシデントレスポンス、デジタルフォレンジックなどアウトソーシングすべき項目などを整理し準備している企業は多いと思いますが、いざという時に、肝心な「すぐに対応可能な信頼できる」アウトソーシングベンダーが見つからないというケースを多く見てきました。
すぐに対応可能なアウトソーシングベンダーが見つかったとしても調査内容や場合によっては数千万円もする高額な調査費用が妥当なのかわからない、秘密保持契約、基本契約等々、事務処理に何日も掛かってしまいインシデント対応が一向に開始できないケースが本当に多いです。何もわからないまま契約をしてしまった後に、アウトソーシングベンダーの対応に後悔することも多いことでしょう。決して、多くはないですが、最初に依頼したフォレンジックベンダーの調査報告書に疑問、不安を持ち弊社にセカンドオピニオンを求めてくるケースもあります。
続いて、よくあるミスとしてインシデントレスポンスの初動を間違えてしまうというものがあります。調査対象のコンピューターを再起動してしまいメモリ情報など揮発性の高い情報を取得できないのはまだ良い方で、調査対象のコンピューターを保全するまで使い続けたり、調査に必要なデータ保全せずにOSを再インストールしてしまったりすることがあります。もちろん、ビジネスの継続は最も優先すべき事項ですが、初動というのはサイバーインシデント発生時においてその後の動きを左右する重要なポイントなのです。
ほんの一握りの企業は、インシデントレスポンダー、フォレンジッカー(含マルウェアアナリスト)を全て自前で揃えてサイバーインシデントに対応できるかもしれませんが、大半の企業はサイバーインシデント発生時にアウトソーシングに頼らざるを得ません。では、一体何を準備しておけばいいのでしょうか。
サイバーインシデントへの備え
まず、サイバーインシデントに備えて準備すべきことは、どんな形でもCSIRTを立ち上げることです。中には、立ち上げたけれどもCSIRTが機能していないと、サイバーインシデント発生時に適切に対処できるか不安という組織があるかも知れませんが、一度もサイバーインシデントの対応を経験していないのであれば不安になるのも当然です。しかしながら、自社でサイバーインシデントが発生することをきちんと想定し、考え、立ち上げた訳ですから無いよりはもちろん存在している方が良いのです。
CSIRT立ち上げ後の準備すべきことは、平時と有事とでは異なります。平時においては、リスクアセスメントとアセスメント結果をもとにバランスの良いセキュリティ対策をすべきです。NIST Cyber Security Frameworkでは、サイバーインシデントの発生を前提に「識別」、「防御」、「検知」、「対応」、「復旧」を実施すべきだとありますが、まだまだ「対応」、「復旧」にコストをかけていない企業が多いのではないでしょうか。
続いて、有事に向けた準備ですが、自社で出来ること、アウトソーシングしなければならないことを明確にし、アウトソーシング先を事前に決めておくことです。例えば、インシデントレスポンスやデジタルフォレンジック業者をアウトソーシングする際に信頼できる事業者の選定は、情報処理推進機構(IPA)が審査し、公開している情報セキュリティサービス基準適合サービスリストも参考になります※2。全ての事業者について知っているわけではありませんが、少なくとも今まで、情報セキュリティサービス基準適合サービスリストに名前がある事業者が実施した調査報告書のセカンドオピニオンを求められたことはありません。もちろん後述する、SOMPO CYBER SECURITYのSOMPOサイバーインシデントサポートデスクに電話し相談するのもよいでしょう。
また、筆者がセキュリティアドバイザーをしている企業には、事前にセキュリティベンダーと年間契約をし、サイバーインシデント発生時にすぐに対応できるように年間何チケットなどとチケット制のサービスを購入し有事に備えているところもあります。事前に契約することで、セキュリティベンダー選定にかかる時間や契約処理にかかる時間を大幅に短縮できるメリットがあります。一方で、この契約のデメリットはサイバーインシデントが発生しなかった際には、チケットをどうやって消費するのかが目的となり、必ずしも欲しいわけではない教育、訓練サービスなどとチケットを引き換えにすることです。
「リスクの移転」について
「リスクの移転」とは、通常は発生する頻度が低く、発生時の影響が大きい場合に選択され、発生する恐れがあるリスクを第三者へ移転することです。2021年3月に公開された米国会計検査院のサイバー保険に関する報告書※3によると、アメリカにおけるサイバー保険の加入者は2016年の26%から2020年には47%に上昇しています。特に、個人情報を扱う教育業界、観光業界、ゲーム業界や健康情報を扱う医療業界においては実に70%を超える加入率となっています。
また、2021年11月後半に活動の再開が確認され日本国内でも猛威を奮っているEmotetの脅威も急速に増えています。
Emotetに感染したコンピューターはランサムウェアと異なり、一見何も変化は起きず無害のようですが、バックグランドでは各種認証情報、保存されているメールやアドレス情報、最近ではクレジットカード情報などの窃取を行い、さらには窃取した情報を悪用した攻撃メールが送信され社内や関係組織への被害拡大、社会的信用を失う恐れがあるため注意が必要です。
過去に類を見ないサイバー攻撃の増加に対し、日本においても、大企業を中心にサイバー保険の加入者は年々増加し、従来のサイバーリスクに対するリスクマネジメントの主流であったセキュリティ対策による「リスクの軽減」に加えて、サイバー保険による「リスクの移転」をした上で「リスクの許容」といった考えに急速に変わってきています。
サポートデスク開設の背景
サイバー保険の加入者が増加するに伴い、損保ジャパンとSOMPOリスクには、サイバーインシデント時に事業者が困るポイント、こんな準備をしておけば良かったというようなお客様の課題が集約されており、またインシデント発生時の初動調査支援、フォレンジック調査、恒久対策支援といった活動からは、ランサムウェアLockBit2.0、Emotetなどといったマルウェアの詳細機能や脅威の変遷、また脅威に対し、どのように短期的に対処し、どのように恒久的に対処しなければならないかなどサイバーリスクに関する情報も蓄積されています。
例えば、取引先から迷惑メールの件で問い合わせを受け、Emotetの感染を疑った場合に「システム担当も置いておらず何をすべきかわからない」「詳しい調査をしたいがどこにお願いすればよいかがわからない」といった時にSOMPOサイバーインシデントサポートデスクでは、インシデント等が発生した場合の初動の助言と被害を軽減するための相談を無料で受け付けています。
また、実際の構成や被害事象等から詳細に調査をご希望する場合は、有償の当該調査に関するご提案も可能です。
Emotetのようなマルウェアに仮に認証情報が盗まれたとしてもサイバーリスクを軽減する方法や、ランサムウェアのようなマルウェアにファイルを暗号化されづらいようにサイバーリスクを軽減する方法などを伝え、事業者がサイバーインシデントの被害に遭うのを減らしたい、被害を最小限に抑えたい、インシデント発生時の不安を少しでも軽減したい、それが、損保ジャパンとSOMPOリスクがSOMPOサイバーインシデントサポートデスクを設立した理由です。
サイバーインシデント発生時だけではなく、発生する前に、ゼロからの相談にSOMPOサイバーインシデントサポートデスクを活用し、皆様のサイバーリスク軽減にお役立てください。
※1 デジタルフォレンジックを行うエンジニアのことをフォレンジッカーと呼びます。その他に、インシデントレスポンスを行うエンジニアのことを、インシデントレスポンダーと呼びます。
※2 IPA情報セキュリティサービス基準適合サービスリストの公開
https://www.ipa.go.jp/security/it-service/service_list.html
最終アクセスの年月日:2022年6月27日
※3 GAO Cyber Insurance:Insurers and Policyholders Face Challenges in an Evolving Market
https://www.gao.gov/products/gao-21-477
最終アクセスの年月日:2022年6月27日
SOMPOサイバーインシデントサポートデスクのご案内
SOMPO サイバーインシデントサポートデスク
(受付時間:平日9:00~17:00)
弊社サービス・お役立ち情報のご紹介
筆者プロフィール
SOMPO CYBER SECURITYテクニカルアドバイザー 平原伸昭
2002年国内最大手セキュリティベンダーにて、リサーチャー、マルウェア解析ラボ、サイバー攻撃対策チームの立ち上げ及び技術部長職を経て、クラウドセーフ株式会社を設立。上級サイバークライムアナリスト職として愛知県警察、福岡県警察、北海道警察のテクニカルアドバイザーを歴任。
2017年にクラウドセーフ設立後、フォレンジック業務、民間企業のアドバイザー職や事業推進、法執行機関向け支援活動等に携わる。2017年より、SOMPO CYBER SECURITYテクニカルアドバイザー。
GCFA(GIAC Certified Forensic Analyst )
