コラム/トピックス

英国NCSCがランサムウェア被害軽減のためのガイダンスを公表

2024.8.2

英国国家サイバーセキュリティセンター(以下、NCSC)は、英国保険協会、英国保険ブローカー協会および国際保険引受協会と共同で「ランサムウェア事件での支払いを検討している組織向けのガイダンス」(Guidance for organizations considering payment in ransomware incidents)を公表した。このガイダンスでは、ランサムウェア被害に遭遇した組織とそれらを支援する組織が、十分な情報にもとづき意思決定を行い、事態の混乱とコストを最小限に抑えるための推奨事項を提示している。

さらに、同ガイダンスでは、攻撃の再発を防ぐため、インシデントの根本原因を調査することを推奨。根本原因が不明のままに身代金を支払い、相応の緩和措置を講じても、組織はさらなるインシデントの危険に晒される可能性があるとした。一部のランサムウェア攻撃者は攻撃方法を開示しようとするが、その情報は必ずしも信頼できるものではないため、被害組織が独自にインシデント発生の詳細を検証することが重要であると指摘している。

ガイダンスで示されている、ランサムウェア感染時に検討すべきポイントは以下のとおり。

1. パニックに陥らない ランサムウェア攻撃を受けた直後は圧倒されてしまうかもしれないが、落ち着いて選択肢を検討することで、意思決定が改善され、より良い結果につながる。
2. 身代金を支払わないことを含めた事業継続の代替案を検討する 支払いに関する決定は、インシデントの影響を可能な限り包括的に理解したうえで行う必要がある。実行可能なバックアップがある場合、システムとデータを部分的または完全に回復するための思いがけない方法がある場合も想定される。また、法執行機関などの第三者が復号化キーを無料で公開している場合もある。
3. 意思決定を記録する インシデント対応、決定、実行されたアクション、盗まれたデータなどを慎重に記録することは、事後の振り返り、教訓、規制当局への証拠提出のために重要である。インシデント発生中は、オフラインまたはインシデントの影響を受けないシステムで意思決定を記録することを推奨する。
4. 可能な場合は、専門家に相談する 保険会社、NCSC、法執行機関、ランサムウェア事件に精通しているサイバーインシデント対応(CIR)企業などの客観的な外部専門家は、意思決定の質を高めることができる。NCSCのWebサイトには、NCSCが推奨するCIR企業の一覧が掲載されている。保険プロバイダーは多くの場合、推奨されるCIR企業を提供している。
5. 技術スタッフを含む、組織全体の適切な人々を意思決定に参加させる 「身代金を支払うべきかどうかを決定する」という状況は、企業の経営者や意思決定者を素早く巻き込む数少ないシナリオの一つである。しかし、選択肢を早まって提示しないよう、確かな証拠を提供することを確実にする。
6. 影響の評価 支払いに関する決定は、以下への影響を理解したうえで行う必要がある。
6-1 ビジネス運用 事業継続の代替策等を導入した場合は、それらをどれくらいの期間、維持できるかを判断する必要がある。
6-2 データ ほぼすべてのランサムウェア事件において、サイバー犯罪者はデータを盗んでおり、身代金が支払われた後にそれを削除するという約束は信用することができない。どのデータが侵害され、それがどれほどセンシティブなものであるかを判断するための評価を行う必要がある。
法的なアドバイスを受け、情報コミッショナー事務局(ICO)に情報を開示する必要があるかどうか*を検討する。
また、データが公開された場合の影響を評価し、盗取されたデータの性質と量に関するサイバー犯罪者の主張が本当であるか、可能な限り検証することが望ましい。
6-3 財務 発生するコストと他の影響とのバランスが、支払い決定の重要な要素になる。発生するコストには、ビジネスの中断、セキュリティ強化作業、スタッフの残業、訴訟費用、または規制上の罰則が含まれる場合がある。
7. 攻撃の再発を防ぐため、インシデントの根本原因を調査する 根本原因を明確にせずに身代金を支払い、相応の緩和措置を講じても、組織はさらなるインシデントの危険に晒される可能性がある。
8. 支払いによってデータ復旧が保証されるわけではないことに注意する 復号キーを取得できた場合でも、特に複雑なネットワークを持つ大規模な組織では、平時の事業レベルへ復旧するには時間がかかることがある。バックアップのリストアによる復旧を併せて検討する。
9. 支払いに関する正しい法的および規制慣行を検討する 身代金支払いが合法か、事業展開地域の法律、規制等を事前に確認する必要がある。
10. 身代金の支払いは規制上の義務を果たすものではないことを理解する 身代金を支払ってデータ復旧しても、個人に対するリスクは軽減されず、英国データ保護法上の義務でもなく、データを保護するための合理的な措置とは見なされない。
11. 英国当局にインシデントを報告する ランサムウェア攻撃を経験した組織は、それを英国当局に報告することができる。インシデントを当局に報告することは、被害者の支援につながる。

出典:NCSC「Guidance for organization’s considering payment in ransomware incidents」をもとにMS&ADインターリスク総研が意訳

1)英国において情報漏えい等のセキュリティ事故が発生した場合はICO(Information Commissioner’s Office(情報コミッショナー事務局))に報告する必要がある。

【参考情報】
2024年5月14日「Guidance for organisations considering payment in ransomware incidents」
https://www.ncsc.gov.uk/guidance~

「ESGリスクトピックス」では国内・海外の最近の重要なトピックスをお届けしています

この記事は「ESGリスクトピックス2024年度 No.4」(2024年7月発行)の掲載内容から抜粋しています。
ESGリスクトピックス全文はこちらからご覧いただけます。
https://rm-navi.com/search/item/1756

会員登録でリスクマネジメントがさらに加速

会員だけが見られるリスクの最新情報や専門家のナレッジが盛りだくさん。
もう一つ上のリスクマネジメントを目指す方の強い味方になります。

  • 関心に合った最新情報がメールで届く!

  • 専門家によるレポートをダウンロードし放題!

  • お気に入りに登録していつでも見返せる。