ランサムウェア時代の事業継続を考える ―企業に問われるのは防御力ではなく説明責任だった―

近年、ランサムウェアによる被害は後を絶ちません。大手企業や重要インフラ、医療機関、製造業などが業務停止に追い込まれる事例が相次ぎ、ランサムウェア対策は情報システム部門だけでなく、経営課題としても重要性を増しています。

多くの企業は、ファイアウォール、EDR、SOCによる監視、バックアップなど、さまざまなセキュリティ対策を講じています。それでもなお、フィッシングメール、認証情報の悪用、サプライチェーン経由の侵入、海外拠点や委託先の設定不備など、わずかな隙を突かれて侵入されるケースは後を絶ちません。

この現実が示しているのは、「侵入を完全に防ぐ」ことだけを前提にした防御では、事業継続を十分に守り切れないということです。これからのサイバーBCPでは、侵入防止に加えて、侵入後に何をコントロールできるか、そして何を説明できるかが重要になります。

侵入前提で考えるべき時代

現在のサイバー攻撃では、次の3つを前提として考える必要があります。

侵入は起きる
データは持ち出される可能性がある
業務は停止する可能性がある

もちろん、侵入防止や検知は引き続き重要です。しかし、どれだけ高度な対策を講じても、人的ミス、委託先環境、サプライチェーン、クラウド利用、リモートワークなど、すべてのリスクを完全に排除することは困難です。

重要なことは、侵入された後に企業がどのような状態を維持できるかです。ランサムウェアや情報漏えいインシデントが発生した際、企業の評価を左右するのは「侵入されたかどうか」だけではありません。むしろ、侵入後に何が起きたのかを把握し、顧客・取引先・監督官庁・社会に対して合理的に説明できるかが問われます。

本当に問われるのは「説明責任」

インシデント発生後、企業には多くの問いが投げかけられます。

どのデータが影響を受けたのか
データは外部に持ち出されたのか
第三者に利用されたのか
実害は発生したのか
再発防止策は十分なのか

これらに対して、企業は客観的な根拠に基づいて説明しなければなりません。しかし実際には、デジタルフォレンジックを実施しても、十分な説明に至らないケースがあります。
攻撃者がログを削除していたり、委託先や海外拠点の環境に十分な記録が残っていなかったりするためです。

その結果、「データが漏えいしなかった」と断定できず、「漏えいした可能性を否定できない」という説明にとどまる場合があります。この状態では、たとえ実際の悪用が確認されていなくても、顧客通知、謝罪、補償、取引先対応、監督官庁への報告など、大きな負担が発生します。つまり、ランサムウェア時代の事業継続においては、システムを復旧できるかだけでなく、情報漏えいやデータ悪用の可能性について説明できるかが重要になります。

サプライチェーンに潜むデータ管理の課題

近年、サプライチェーンリスクも大きな課題となっています。企業は日常的に、業務委託先、設計事務所、製造委託先、保守会社、海外拠点などへ機密データを提供しています。設計図、技術資料、顧客情報、契約情報、人事情報など、外部に渡すデータは多岐にわたります。

しかし、データを渡した後、そのデータがどの端末で開かれ、誰が利用し、どこに保存され、さらに外部へコピーされたのかを自社側で完全に把握することは容易ではありません。委託先の端末がマルウェアに感染していた場合や、担当者が個人クラウドへ保存した場合でも、自社が即座に検知できるとは限りません。

従来の境界防御では、「社内ネットワークの中にあるデータ」を守ることはできても、社外に渡ったデータの利用状況までは十分に制御できません。ここに、サプライチェーン時代の情報漏えい対策における大きな盲点があります。

「守る」から「使わせない」へ

従来のセキュリティ対策は、外部からの侵入を防ぐこと、つまり境界を守ることが中心でした。しかし、データが社外へ移動することを前提にすると、発想を変える必要があります。重要なのは、

「データを守る」から「データを使わせない」へ

という考え方です。ファイルが社内サーバー、クラウドストレージ、メール、USB、委託先端末など、どこに移動しても、正当な権限がなければ利用できない状態を維持することが重要になります。そのためには、保存場所やネットワーク境界に依存するのではなく、データそのものに暗号化と利用制御を組み込むアプローチが有効です。

サイバーBCPを支える3つの要素

ランサムウェア時代のサイバーBCPでは、単なるバックアップや復旧計画だけでは不十分です。データの利用を継続的に制御し、説明責任を果たせる状態を作る必要があります。そのために重要となる要素は、主に3つあります。

提供後も制御できること
データを社外へ提供した後も、利用権限を維持・変更できることが重要です。例えば、委託先に渡したファイルであっても、開くたびに権限確認が行われ、契約終了後や不正利用の疑いがある場合には、利用を停止できる状態が望まれます。
利用状況を把握できること
「誰が」「いつ」「どのファイルを利用したのか」を把握できることも重要です。インシデント発生時には、単に「ファイルが存在していた」だけでなく、実際に誰が利用したのか、権限のないアクセスが試みられたのかを確認できることが、説明責任の前提となります。
説明可能な状態を維持できること
企業に求められるのは、すべての挙動を完全に追跡することではありません。委託先環境、BYOD、海外拠点、オフライン利用など、現実には自社が完全に管理できない領域も存在します。そのため実務上重要なのは、「完全な追跡」ではなく、「合理的に説明できる状態」を維持することです。例えば、ファイル自体に暗号化とアクセス制御が維持されており、権限のない第三者が利用できない状態であったことを示せれば、インシデント後の説明において重要な根拠となります。

HNDLという新たな脅威

今後は、HNDL（Harvest Now, Decrypt Later）という考え方にも注意が必要です。

HNDLとは、「今盗み、後で解読する」という意味です。現在は解読できない暗号化データであっても、攻撃者が一旦収集・保管しておき、将来的に技術が進歩した段階で解読を試みるという考え方です。

特に、研究開発データ、設計情報、特許関連資料、長期保有される個人情報などは、5年後、10年後でも価値を持ち続ける可能性があります。このような長期的価値を持つデータについては、現在のランサムウェア対策だけでなく、将来の解読リスクも見据えたデータ保護が求められます。

そのため、耐量子計算機暗号（PQC）や暗号アジリティといった考え方も、今後重要性を増していくと考えられます。

これからの事業継続に必要な視点

ランサムウェア時代の事業継続では、「侵入されたかどうか」だけでなく、「侵入された後に何をコントロールできるか」が重要です。そして企業に求められるのは、完全な防御を約束することではありません。どのような状況でも、データの利用状態、制御状態、不正利用の可能性について合理的に説明できる体制を整えることです。

侵入防止、検知、復旧といった従来対策は、これからも重要です。しかし、それらだけでは、データが外部に持ち出された後の利用や悪用まで制御することは困難です。だからこそ、データそのものを対象としたセキュリティ、すなわちデータ統制の重要性が高まっています。

おわりに

ランサムウェア対策は、「侵入を防ぐ」ことだけでは完結しません。これからのサイバーBCPでは、以下が重要になります。

侵入を前提に考えること
データが持ち出される可能性を想定すること
外部流出後の利用を制御すること
インシデント後に合理的な説明ができること

企業の信頼を守るためには、単にシステムを復旧するだけでなく、情報漏えいの影響やデータ利用の有無について説明できる状態を作る必要があります。ランサムウェア時代の最後の防衛線は、データそのものを統制し、盗まれても使わせない状態を維持することにあります。事業継続を本当の意味で実現するために、今後は「防御力」だけでなく、「説明責任」を果たせるデータ保護の仕組みがますます重要になっていくでしょう。

弊社の開発する「DataClasys（データクレシス）」は、「データそのものを統制し、盗まれても使わせない状態」を実運用で実現するためのソリューションです。ファイルを暗号化した状態で管理し、利用の都度認証・認可を行うことで、社外や委託先に渡った後でも確実な利用制御を維持します。

ご興味のある方は、ぜひお気軽にお問い合わせください。