2024年7月1日

Gartner、国内のランサムウェア対策状況に関する調査結果を発表 ― 感染を想定した実効的な準備への着手が急務

「ガートナー セキュリティ & リスク・マネジメント サミット」(7月24~26日) において、アナリストがセキュリティに関する最新トレンドと指針を解説

 

ガートナージャパン株式会社 (本社:東京都港区、以下Gartner) は、国内のランサムウェア対策状況に関する調査結果を発表しました。

ランサムウェア感染のインシデントは、世界で継続的に発生しており、企業が対処すべきセキュリティ脅威の重要事項です。日本においても、この傾向は同様であり、Gartnerにも、ランサムウェアへの感染防御と対処に関する問い合わせが絶えず寄せられています。

ランサムウェア感染への備えとして最も多い対策でも4割弱にとどまる

Gartnerは2024年3月に、日本国内の従業員500人以上の組織のセキュリティ・リーダーを対象に実施した調査で、ランサムウェア感染に備えた企業の準備状況について尋ねました。準備していると回答した割合が最も多かった項目は「バックアップからの復旧体制」(36.0%) で、「ランサムウェア感染時の対応のマニュアル化」(33.5%) が次に続きました (図1参照)。

図1. ランサムウェア感染に備えた準備
[Image Alt Text for SEO]

出典:Gartner (2024年7月)

シニア プリンシパル アナリストの鈴木 弘之は次のように述べています。「この結果からは、企業はランサムウェアの感染を前提とした、感染後の対処を準備している現状がうかがえます。実際に、ランサムウェア感染時の対応のマニュアル化やバックアップからの復旧体制などを準備している企業は一定数あり、『ランサムウェア対策は十分に実施済み』と考えている企業もあると想定されます。しかしながら、最も多いバックアップからの復旧体制の対策でも4割弱の割合であり、備えが十分にできているとは言えません」

ランサムウェアの感染防御は、特定のセキュリティ対策を実施すればよいという単純なものではありません。それに加えて、実際に被害発生時に、この準備と対策が十分に機能するとは限りません。多くの企業は準備を実施していますが、感染した後に「やっておけばよかった」と後悔する準備の抜けや漏れが発覚するケースが見られます。

鈴木は次のように補足しています。「可能な限り早期にランサムウェア攻撃を検知し、迅速にリカバリを実施できるようにするには、事前の備えを確実にすべきです。ランサムウェア対策は事前の準備が非常に重要であり、企業は自社のランサムウェア対策の改善に取り組む必要があります」

ランサムウェア感染時の身代金要求への対応をルール化している企業の割合は2割強のみ

ランサムウェア感染時の身代金要求への対応についても尋ねたところ、「身代金の支払いは行わない方針で、ルール化している」という企業の割合はわずか22.9%でした。身代金の支払いは行わない方針と決めていても、ルール化していない場合 (29.9%) や、「状況を踏まえてから判断する方針だが、ルール化はしていない」「決めていない」などの回答を含めると、約4分の3の企業は、ランサムウェアの感染後に具体的な判断をする予定であることが明らかになりました (図2参照)。

図2. ランサムウェア感染時の身代金要求への対応

出典:Gartner (2024年7月)

鈴木は次のように述べています。「ランサムウェア感染を想定して、身代金対応の方針を立てることは重要ですが、方針を立てるだけでは不十分であり、方針に沿って効果的に対処するための具体的なルールを準備する必要があります。その際、対応のルール化は現場任せで行われるべきではありません。経営陣が関与して、ランサムウェアに感染した場合のすべてのビジネス・インパクトを総合的に判断した上で、ランサムウェア対応マニュアルを作成・承認することが重要です」

インシデントの全体像把握のための分析体制の確立や、バックアップ対策の強化も重要

企業がランサムウェア被害に遭った際、暗号化されたファイルの復旧と同様に重要なのが、データ盗難にどのように対処するかです。どのような経路で侵入が行われ、どのような情報が盗まれたかを把握するための準備が重要です。盗まれた可能性のあるデータがどのようなものなのかを調査し、そのデータが公開された場合の影響を想定し、分析をするには、十分な体制を確立する必要があります。

インシデントの分析体制を整備するには、セキュリティ情報/イベント管理 (SIEM) やセキュリティ・オーケストレーション/自動化/対応 (SOAR) などのツールを使いこなすための人員の確保と、インシデントを想定した事前の訓練の実施などが求められます。また、必要に応じて支援を受けられるよう、外部の専門サービス会社との連携なども考慮すべきです。

一方、ランサムウェアは感染後、しばらく潜伏して、最も重要なデータやアカウント、あるいは認証基盤などを見つけ、アカウントや権限を乗っ取って、データを暗号化し毀損します。このとき、被害からの復旧を可能にし、少なくともバックアップしたデータを毀損させないために、ランサムウェア向けのバックアップ対策が必要となります。

ディレクター アナリストの山本 琢磨は次のように述べています。「ランサムウェア被害に遭った場合、バックアップからの復旧は最後の砦となります。しかしながら、ランサムウェア被害からの復旧を考慮してバックアップの仕組みを改善している企業は少ないため、現状のバックアップでは完全な復旧に時間を要し、事業停止期間が長期に及ぶ恐れがあります。これは経営リスクと言えます。ランサムウェア被害からの回復力を上げるため、企業はバックアップ・データの改ざん防止/保護と、復旧の迅速化に向けた施策の導入を進めるべきです。自社のニーズ、リスク、コストのバランスを取って、バックアップの仕組みを直ちに改修することが重要です」

Gartnerのサービスをご利用のお客様は、リサーチノート「ランサムウェア対策は事前の準備が9割:正しい準備とは」で詳細をご覧いただけます。
日本で提供しているサービスについては、こちらよりご参照ください。https://www.gartner.co.jp/ja/products

日本のITエグゼクティブ向けのニュースや最新情報は、GartnerのXFacebookでも案内しています。最新のプレスリリースや記事、ウェビナー情報については、ニュースルームよりご参照ください。

ガートナー セキュリティ & リスク・マネジメント サミットについて

報道関係各位からのお問い合わせ先

Gartner について

Gartner, Inc. (NYSE: IT) は、お客様のミッション・クリティカルな課題について、より優れた意思決定と大きな成果へと導く実行可能かつ客観的な知見を提供します。詳細については下記Webサイトでご覧いただけます。