平成十七年(2005年)九月二十日に開始したブログの累計記事が現在10,689通目です。
昨日から今日にかけてまたランサムウエアの事件がいくつか飛び込んできました。
❶株式会社竹中製作所の米連結子会社におけるランサムウエア攻撃
概要;TAKEUCHI MFG.(U.S.), LTD.(TUS) - 竹内製作所の米国連結子会社
攻撃日: 現地時間2025年9月17日(水)
内容: 外部からの不正アクセスによりサーバ内の一部ファイルが暗号化される被害が発生
❷天龍製鋸(てんりゅうせいきょ)の海外子会社にランサムウエア攻撃。サーバ保存している各種ファイルが暗号化。
攻撃日: 現地時間2025年9月21日(土)
発見日: 2025年9月22日(日)
内容: 外部からの不正アクセスによりサーバに保存している各種ファイルが暗号化される被害
サイバーセキュリティコンサルタントとして、IT-BCPを作成する時は海外子会社まで視野を拡大することが大切ですね。
特に、本社と海外子会社のセキュリティレベル格差があります。ランサムウエアは脆弱性があるところから攻めてきます。また、ガバナンスの違い(IT-BCPは組織創りなので大きな課題となる)や、各国の法規制の違い、国内と海外の意識レベルの差を埋める対策も早急に着手します。
また、国内外の侵入経路などの調査も必要です。
さて、今日はクラウドサービスとランサムウエア対策ですね。
エグゼクティブサマリー:ランサムウェアから会社を守るクラウド対策その1
「クラウドにデータを置けば安全」という認識は危険で!!。クラウドは単なる「箱」であり、「鍵の管理は貴社に責任」があり!!!。
1.クラウドは絶対ではない
IT-BCPを作成する時は「想定外」はないものとします。ランサムウエアに入られたからびっくりした。一昨日のブログである病院のマネジャーが言っていました。この一言でIT-BCPを作っていないことがわかります。病院という医療現場は「人の命」を預かるところです。
❶RTO(目標設定時間)はBCP最重要かつ最大の価値
たとえランサムウエアに入られても「30分」で復旧する目標は必要です。今回のアサヒGHDにはこれがありませんでした。RTOは達成したら良い目標ではありません。絶対に達成する目標なのです。
❷二重脅迫のリスク
データを暗号化するだけではなく、「盗んだデータを公開する」と脅されるケースもあります。顧客情報等が漏洩します。誰の責任ですか? ランサムウエアに入られるのは百歩譲って仕方がないとしても、ランサムウエアに入られたから復旧時間>RTOは、企業の責任です。信頼失墜と賠償責任も生じます。
❸中小企業が格好のターゲット
大企業よりセキュリティが手薄な中小企業が狙われやすくなります。繰り返します。「ランサムウエアが侵入してきたから」は言い訳です。「ランサム上ウエアが侵入してきたがRTO内に治った」という発言が必要です。
2.クラウドの安全性に頼る愚落
クラウドは単なる箱であり、鍵責任者は企業
❶アクセス:パスワード盗難による不正アクセス
❷データ:従業員の操作ミスやランサムウエア攻撃
❸機器・ソフト:業務で使用するPCやソフトの鍵穴のジ脆弱性
では、今日の夕方は
エグゼクティブサマリー:ランサムウェアから会社を守るクラウド対策その2
「クラウドに対する確実なバックアップ体制の構築」を書きます。
コメントする