ランサムウェア被害

ランサムウェア被害が相次ぐ日本企業　アスクル、無印良品、アサヒ、そしてトヨタが示した「初動対応の差」【いづも巳之助の一株コラム】
 セブツー 2025/10/22

ランサムウェア被害を受けた企業の株を持っていたら、どう「心配」すればいいのか、という株主目線のお話。

いづも巳之助氏は、3段階で評価すべきとおっしゃる。

■第1段階：24時間は「誠実さ」を見る
■第2段階：72時間で「仕組みの強さ」を測る
■第3段階：1週間で「信頼」を勝ち取れるか

組織の危機管理の観点で読むと非常に参考になる。
しかし、「ウチは大丈夫👌」と言える組織は少ないのではないかと思う。

これらの情報は、「危機管理」「BCP」「コンテンジェンシープラン」などで調べると、たくさん見つけることができる。
重要なことは、自分たちの組織で実際に運用できるか、という観点だろう。

システム管理の観点から考えてみた。
組織の危機管理は経営課題だが、ランサムウェア被害のように情報システムのインシデントは組織にとっても重大なインシデントになる。

■第1段階：24時間は「誠実さ」を見る
経営者が誠実であっても、責任者(経営者)がインシデントを把握し、公表する情報を整理する時間が必要だ。

セキュリティー製品が、異常を検知すると自動的にアラートが出る。
担当者がアラートを受信して、インシデントを確認してから、判断できる責任者までエスカレーションする必要がある。
エスカレーションができなかったり、時間がかかる組織は多い。
原因は
・マニュアルに、エスカレーションの基準、手順が明文化されていない
・エスカレーションの訓練を実施していない
・エスカレーションしたときに責任者の機嫌が悪かった．．．
など

責任者(経営者)は「なぜ早く報告しないのだ」ということが多いが、報告が遅れるのは理由がある。
インシデントが発生しないと気が付かないものだ。

★第1段階が最も厳しいかも。

■第2段階：72時間で「仕組みの強さ」を測る

BCPやコンテンジェンシープランがあれば粛々と実行するだけなので、情報システムについても粛々と実行するだけのはず．．．だ。
しかし、定期的に訓練しておかないと、切り替えでトラブルが発生する可能性が高いし、システムが切り替わっても、運用を切り替えることができないこともある。
BCPやコンテンジェンシープランの不備は、訓練を実施して、その結果を評価しなければ改善できない。　

★BCPやコンテンジェンシープランがあって、定期的に訓練されていれば可能かも。

■第3段階：1週間で「信頼」を勝ち取れるか

　短期間で、原因を特定して対応と再発防止対策まで考えられるのは、規模の小さいインシデントか、規模が小さい組織か、限定的な対応でよい場合だろう。
ランサムウェア被害のような場合は、原因特定に時間がかかるため1週間はハードルが高いと思う。
被害を受けていない部分から、段階的に稼働再開させるなど、全面的に業務が止まらないような構成にしておくことが必要で、
デススターのように、一撃で崩壊するシステムにしないことが需要だ。

★インシデントが発生する前が重要。インシデントが発生した後の対応では難しいかも。

【結論】
記事にあるように、「単なるITトラブルのように見えて、実は経営レベルが露呈する」という指摘は正しいと思う。
情報セキュリティを経営課題としてとらえていない経営層も多い。
セキュリティレベルは、そのシステムの中で最も弱い部分で規定されるから、弱いのは、たいていは人の意識や体制だったりする。
と考えると、情報セキュリティに金を使わないという経営者の判断はバランスが取れていたりする。きっと自分に合わせているのだろう。(^^;

---

※「ほぼ1人情シス」業務をやっているのだが、自サイトのことを書くと生々しいので一般論にした。

---

最近の投稿
【Yoshiのよしなしごと】【Yoshiのブログ】【よしなしごと】【ほぼ1人情シス】