大半の企業はインシデント対応に失敗している――その理由は?
それでは、こうしたインシデントに対峙する企業側の現状はどうか。長谷川氏は、インシデント対応で成功しているケースはごくわずかで、大半は対応に失敗していると実情を語る。
失敗する理由として挙げられた1つは、従来型攻撃への対応と標的型攻撃に取るべき対応の違いだ。「標的型攻撃で使われるマルウェアがどんなものか知らなかった、という顧客が多い。現在は“自覚症状のない”攻撃が主流になっているが、顧客はまだ、数年前の古い攻撃手法をイメージしている」(長谷川氏)。
標的型攻撃で使われるマルウェアは、“入口対策”で検知して侵入を防ぐことが困難になっている。そのため、企業が被害に気づくためには外部への通信をチェックし、C&Cサーバーなどへの不審な通信を見つける必要がある。だが現実には、それを自ら検知できる企業はわずかで、ほとんどは他の組織(日本ならばJPCERT/CCなど)からの通報を受けて、初めて気づくのだという。
「被害企業のうち、米国では93%、日本ではそれを上回る97~98%の企業が、ほかの組織からの通報で気づくと言われている」「〔ほとんどの企業では〕不審な通信への対応基準/手順が存在しない」(長谷川氏)
従来の攻撃(ウイルス感染)と標的型攻撃の違い。取るべき対応も当然異なるが、その理解が進んでいない
インシデント対応に失敗するもう1つの理由が、インシデント発覚後に迅速な対応が取れない企業内の体制だ。長谷川氏が被害企業に話を聞くと、そもそもサイバー攻撃の脅威を想定しておらず、インシデントの発生時に経営陣がその後の対応を決定する仕組みや基準がないケースが多いという。
「ある事例では、一刻を争う事態にもかかわらず、経営陣が3時間くらい会議して対応を決めなければいけないと。その間、現場の人は会議室の外でじっと待っている(笑)。そういうことが実際に起きている」(長谷川氏)
長谷川氏は、「会社の一大事に、現場の人間が判断できることなどない」と強調し、インシデント対応においては、経営層の迅速な意思決定が何よりも大切だと断言する。「いかに早く意思決定できるか。まずは正確さよりもスピードが大事」(長谷川氏)。
長谷川氏が見てきたインシデント対応の「失敗事例」
