2024年度 第4回定例研究会

セミナーレポート

第4回定例研究会は、株式会社KPMG FAS パートナーの遠藤 正樹 氏をお招きし、「海外子会社へのランサムウェア攻撃～現場の実情とサプライチェーンとしてのサイバーリスク管理」をテーマに、ご講演を頂きました。

まず、ランサムウェア攻撃／サプライチェーン攻撃についてご説明いただきました。情報処理推進機構（IPA）が公開した「情報セキュリティ10大脅威2024」では、「ランサムウェア攻撃」と「サプライチェーンの弱点を悪用した攻撃」が、それぞれ1位2位に挙げられており、サプライチェーン攻撃では、標的企業のサプライチェーン上でセキュリティ対策が脆弱なサードパーティを探し出し、そこを経由した攻撃を実行することが紹介されました。とりわけ日本では、サイバーセキュリティ侵害の約半数がサードバーティ経由の攻撃であるという専門機関の調査結果が出ており、サードパーティの管理が進んでいない実態が紹介されました。

2番目に、ランサムウェアによる被害についてご説明いただきました。被害には、業務オペレーションの停止、取引先への対応、個人情報／機密情報の流出、サプライチェーンへの影響等があり、サプライチェーンに関しては、自社だけでなくサプライチェーン全体のセキュリティを確保しなければ、ビジネスの安全性を守れないと述べられました。

3番目に、インシデント対応の現場について説明いただきました。インシデントが発生した場合には、事実確認、リスクエリアの切り離し／隔離、原状回復のシナリオ策定、ダークウェブ等の継続的モニタリング、流出データの確認／想定値の算出、個人情報漏洩を伴った場合の被害者対応、国内外の当局対応、広報対応、身代金要求に対する判断、自社の脆弱性情報が公開されていないかの継続的確認等、多くの対応が必要であることが紹介されました。また、海外子会社でインシデントが発生した場合は、言語の問題、現地のベンダーに依存していること、現地の法規制等、国内と比較して対応が困難なケースがあることが紹介されました。

このように現場の対応は多岐にわたり、初動は時間との闘いとなります。サプライチェーンの一翼を担う企業であれば、仕入先、納入先との連絡調整、他社への影響分析も必要であることが述べられました。

そして、サイバー攻撃を受けた企業は、希望的観測や保身的な発想で対応を誤ると、後で訂正することになるため、結局は真摯に対応することが得策であるとメッセージがありました。

4番目に、インシデント対応におけるリスクポイントについて説明いただきました。システム管理文書が不正確であること、攻撃手法の拙速な見切り、リストアする断面の確認、会社としての情報統制、前述と同様に詳細すぎる情報開示の訂正リスク、現場任せでなくトップマネジメントの関与が必要なこと等を具体的ケースを交えてお話しいただき、大変有用な内容でした。

5番目に、事前に準備できることについて説明いただきました。普段からの情報収集、インシデントに備えた訓練実施、自社が保有している機密情報および個人情報の確認、基本的なセキュリティ対策の確認等を具体的ケースとともにお話しいただきました。

また、サイバー保険については、第三者に対する損害賠償責任のほか、事故時の費用や自社の喪失利益を包括的に補償する等、補償範囲について説明いただきました。

もう一つ、CSIRTの整備も推奨されました。専任チームを置けない規模の企業では、組織横断的なチームで構成されることもあることが紹介されました。さらに、外部アドバイザーは、実績やサービス提供範囲、海外のカバー状況等をみて、数社確保しておく企業があることも紹介されました。

最後に、海外子会社やサプライチェーン上の取引企業等のリスクの把握について、全ての企業に詳細なアセスメントを実施することは現実的ではないので、リスクの高い企業を特定し、そこから優先的に状況の把握を進めることが推奨されました。リスクの高い企業を特定するためには、サイバーインテリジェンスを活用した診断ツールによる簡易診断の実施、また、定期的なモニタリングのためのツールでの簡易診断も検討すべきと述べられました。あらためてサプライチェーンセキュリティへの対応の重要性を認識しました。

 当日の参加人数は174名でした。講演終了後のQ&Aにおいては、現場で抱える課題についての具体的な質問も多く、有意義な質疑応答が交わされました。

講演資料

講演資料は下記からダウンロードできます。（JASA会員／CAIS・QISEIA資格者のみ。ログインが必要です）