昨今ランサムウェアによる被害が現前化してきました。
ランサムウェア・アズ・ア・サービスのダークウェブでの普及に伴い、手当たり次第に攻撃を仕掛けてきています。
企業規模は関係ありません。
また以前は医療や公共設備などに対しては手を出さないという節度が攻撃側にも見られましたが、そのようなお行儀のよさは影を潜め、とにかく金になればよいという形になっています。
事業継続を考えるうえで、ランサムウェアなどに対するサイバーレジリエンス(サイバー耐性)は喫急の課題と言えます。
なおサイバーレジリエンス(サイバー耐性)とは、IBMによると「サイバー レジリエンスは、事業継続性、情報システム・セキュリティ、組織のレジリエンスを統合するコンセプトです。すなわち、このコンセプトは、サイバー攻撃、自然災害、経済低迷などの困難なサイバー・イベントを経験する状況にもかかわらず、意図した結果を提供し続ける能力を表します。言い換えれば、情報セキュリティーの熟練度およびレジリエンスの測定レベルは、組織がダウンタイムをほとんどまたはまったく発生させずにいかにうまく事業運営を継続できるかに影響します。」としています。
NIST SP800-160 Rev2での定義は、「サイバー・レジリエンシーは、セキュリティと同様に、組織の複数のレベルで懸念される。サイバー回復力の目標(すなわち、予期する、耐える、回復する、適応する)は、ミッションやビジネスプロセス、システムレベルでのリスク管理の意思決定と、組織内のさまざまなレベルでのリスク管理の意思決定との間の連携を支援するものである。」としています。
関連する話題としては、EUサイバーレジリエンス法が2024年に施行されます。広範囲な対象を規定しており、個人情報保護におけるGDPR規制とともに、その動向を理解しておくほうが良いといえます。
EUサイバーレジリエンス法については、経済産業省のEUサイバーレジリエンス法(草案概要)が参考になります。また、他社のサイトでの解説もわかりやすく参考になります。ぜひご参照ください。
IPAランサムウェア対策特設ページも併せてご覧ください。