サイバーセキュリティ経営ガイドライン Ver 2の変更点を読み解く：セキュリティ強化塾（3/4 ページ）

「復旧」はディザスタリカバリだけのものではない

　新たに加わったもう1つのポイントは「復旧」だ。2011年3月に発生した東日本大震災を契機に、多くの企業が「事業継続計画（BCP）」「ディザスタリカバリ（DR）」といったキーワードに注目した。

　自然災害が本社や主拠点として利用するデータセンターを襲ったとしても、オフサイトのデータセンターに切り替え事業を継続できたり、重要なバックアップデータをテープなどのオフラインメディアにもコピーし、別の場所で保管したりといった仕組みが取り入れた企業も多い。

　だが、今注目すべき「復旧」という言葉は、従来の使い方と少しニュアンスが異なる。その背景にあるのは、データを暗号化したり、デバイスにロックをかけたりすることで人質とし、身代金として仮想通貨を要求する「ランサムウェア攻撃」の存在だ。そもそもの対策としては、ランサムウェアに感染しないことではあるが、万が一感染したとしても被害を最小限に抑えるために「バックアップを取得し、復旧できること」がポイントになる。

　既に十分なDR体制を構築している企業にとって、復旧対策は万全だと考えるかもしれない。しかし、ランサムウェアに対する復旧は文脈が異なる。復旧にかかる時間を想定すること、組織全体として整合性の取れた復旧目標計画を立てることはどちらの場合でも重要である。

　だが、サーバだけでなくクライアントPCに対してもバックアップとリストアの手順書が作成されているだろうか。また、ランサムウェア感染を想定して、「どういうケースでは身代金を払うべきか」「身代金となる仮想通貨の入手方法は理解できているか」といった緊急事態における対応マニュアルは用意されているだろうか。

　ランサムウェアを用いる攻撃者たちの目的は金銭奪取であり、皮肉的なことだが彼らは悪の「ビジネスモデル」の信頼性向上に努めている。身代金を支払えばデータを確実に復元できるという実績を積み重ね、回復にかかる時間もビジネスに影響がでない範囲になるように短縮している。

　一方で攻撃者は、自分たちの意図しない復旧に対しては徹底的に妨害する。韓国のホスティングサービスが標的型攻撃を受け、ランサムウェアによる被害が生じたケースでは、真っ先にバックアップデータが狙われた。このような攻撃も前提として、復旧体制の整備を再度見直すべきだというのが、最新版サイバーセキュリティ経営ガイドラインの追加ポイントだ。