CHECK
01
グループ全体でのセキュリティガバナンスの再構築
今回のインシデントは、グループ内の特定企業(ドワンゴ)のサーバーが標的となり、グループ全体の事業に甚大な影響を及ぼした事例です。これは、子会社や関連会社がセキュリティ上の弱点(ウィークエストリンク)となり得ることを明確に示しています。親会社が強固なセキュリティ体制を敷いていても、グループ各社で対策レベルにばらつきがあれば、そこが侵入口となります。
対策として、グループ全体の情報資産を洗い出し、共通のセキュリティポリシーを策定・徹底することが不可欠です。定期的な合同監査や脆弱性診断、インシデントを想定した実践的な合同演習を行うことで、グループ全体の対応能力の底上げを図るべきです。
CHECK
02
事業継続を前提としたデータ保護と復旧戦略の高度化
ランサムウェア攻撃の被害を最小限に抑える鍵は、攻撃を受けても事業を継続できる体制をいかに構築しておくかにかかっています。サーバーが暗号化されアクセス不能になった事実は、バックアップからの復旧が最後の砦となることを意味します。
対策として、単にデータをバックアップするだけでなく、その保管方法を高度化することが求められます。具体的には、ネットワークから物理的または論理的に隔離された「オフラインバックアップ」や、一度書き込んだら変更・削除が不可能な「イミュータブルストレージ」の活用が極めて有効です。また、定期的に復旧テストを実施し、有事の際に「本当に」「迅速に」システムを復旧できることを確認するプロセスが不可欠です。
CHECK
03
攻撃の早期検知と封じ込めのための監視体制の強化
「サーバーにアクセスできない障害」という形で攻撃を認知したのは、すで被害が深刻化した後であった可能性が高いと考えられます。攻撃者は侵入後、数週間から数ヶ月にわたり内部で潜伏・活動し、情報を窃取した上でランサムウェアを展開するのが一般的です。
この潜伏期間中に攻撃の兆候を掴むためには、エンドポイント(サーバー、PC)とネットワークの監視を強化する必要があります。EDR(Endpoint Detection and Response)やNDR(Network Detection and Response)といったソリューションを導入し、不審な挙動や通信を常時監視することが推奨されます。これらを専門家が24時間体制で監視するSOC(Security Operation Center)サービスと組み合わせることで、被害が顕在化する前に攻撃を検知し、封じ込める可能性を高めることができます。
