ランサムウェアの感染が明らかになってから復旧までのプロセスはどのように進めていくのですか。
ランサムウェアの種類が特定できるのであれば、当社がフォレンジック調査などを行ってサポートするのではなく、お客様側でファイル削除やパッチ適用などの作業をしていただくケースが多いですね。暗号化されたファイルを復号化してほしいという依頼もありますが、バックアップから復元するという方法が典型的な対応になると思います。
自社で感染に気付けないケースもありますか?
異変が起こってから自分たちで気付くケースが多いですが、ファイルの暗号化をしないタイプのランサムウェアの感染は、IPSやファイアウォールなどセキュリティ対策製品のアラートによって気付く傾向があります。しかし、セキュリティ対策製品に頼るのではなく、やはりパッチの適用が第一の対策です。その次の対策として、多層防御などを考えていきましょうというアドバイスをしています。
|
多層防御など、企業のセキュリティ対策に関する取り組みの状況はいかがですか?
多層防御については、エンタープライズ規模の企業では一般的な状態になってきており、ネットワークからエンドポイントまで幅広く考えられ始めています。セキュリティの脅威は経営層にとっても身近な問題になってきているため、企業は積極的に投資をしている印象です。ここ数年は、社内のCSIRTを構築していく流れも強くありますね。また、インシデント対応の遅れによって社会的な批判を浴びるケースも増えてきていますので、フォレンジック調査やインシデント対応ができるベンダーと組んで、速やかな対応ができるようにしておくことは社会的にも求められていると言えます。
従業員側の意識としてはどうですか?
セキュリティポリシーを策定してもきちんと守られていなかったりなど、従業員全員に対する意識改革や啓蒙が課題になっているケースはあります。セキュリティポリシーをどう浸透させ、どう守っていくか、インシデントが起こった際にどうエスカレーションしていくか、企業としてはシンプルなところから一歩ずつ愚直に対策していくことが必要であると感じています。
