Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > サイバーセキュリティー・リスク管理 > ランサムウェア: ポリシーが最も重要なとき
Blog Banner - Ransomware When Policy Matters Most

ランサムウェア: ポリシーが最も重要なとき

by Alan Levine updated 1月 15, 2025 サイバーセキュリティー・リスク管理
Reading Time: < 1 minutes

ほとんどのCISOは、サイバー防御へのアプローチを3つの柱に分けています:人、技術、プロセス。これらの柱は、サイバーセキュリティプログラムの防御アーキテクチャと武器庫、利用可能な資産、ポリシーと手順を定義し、それらが一体となって重要なプロセスを形成します。

ランサムウェアは、この柱立てアプローチの価値を明確にし、特にポリシーに焦点を当てる必要性を指摘しています。

訓練不足の人材がランサムウェアリスクを生む可能性

CISOは、重要なプログラムを構成し支える人材を重視しています。自動化されていないプログラムの要素は、開発、設定、運用、維持を行う人材に依存しています。自動化された要素が信頼できる状態に達するのは、スタッフがその安定状態をテストし確認するからです。

「プロセスは、サイバーセキュリティチームに物事をどのように進めるか、そして組織の期待を明確に伝えます。」

人材は、成功するサイバーセキュリティプログラムの中核を形成します。質の高いサイバーセキュリティ専門家を見つけて維持するのは難しく、現代のCISOはそのため、採用と維持をサイバーセキュリティプログラムの重要な目標として強調しています。

技術

CISOはまた、組織の資産、情報、運用を保護し防御するために導入する技術を重視しています。簡単に言えば、CISOは、組織が設定した期待に応えるためには、最新で使いやすく、設計され、サイバーセキュリティの使命に専念した技術が必要です。技術は適切に設定され維持されなければなりませんが、まずそれらの技術的な部品や要素を製品やサービスとして調達し、導入する必要があります。

ほとんどのCISOは、組織のネットワークやエンドポイントを保護し、データを守り、観察し、収集し、潜在的な指標を検出するための特定のサイバーセキュリティタスクを持つ技術の大規模なコレクションを持っています。利用可能な技術のリストは増え続けており、CISOの選択は予算と詳細な設計の衝突によってのみ制約されています。

サイバーセキュリティリスク管理戦略を開発する際、CISOはこの利用可能な技術のリストが反映されていることを確認しなければなりません。

プロセスとポリシー

3つ目の柱であるプロセスは、通常軽視されるか、最悪の場合、完全に無視されることがあります。

プロセスには、サイバーセキュリティ組織の運営方法、手順とポリシー、そして最終的には基準とガイドラインが含まれます。プロセスは、サイバーセキュリティチームに物事をどのように進めるか、そして組織の期待を明確に伝えます。

「ポリシーは、組織がすべてのサイバーセキュリティ関与に対するルールを示す場所です。ポリシーは手順と文化の交差点にあります。」

まず、プロセスは組織の行動期待を定義します。組織がどのように運営されるかだけでなく、なぜそのように運営されるのかを示します。これらは行動の文書化されたルールです。ポリシーは、組織がすべてのサイバーセキュリティ関与に対するルールを示す場所です。

ポリシーは手順と文化の交差点にあります。組織のコンプライアンスに関する考慮事項は何ですか?活動の監視、ログ収集、行動観察のための承認された行動は何ですか?組織のリスク許容度の限界は何ですか?

ほとんどのポリシーは、CISOの組織外で確立されます。大文字のPで始まるポリシーは、より広範な組織によって所有され、組織のリーダーシップによって育成されます。このレベルのポリシーは組織を定義することができるため、組織の最上級レベルがそれを承認するのは当然です。ほとんどの組織は、このレベルでのポリシーの数を制限しています。なぜなら、それぞれが非常に重要だからです。これらのポリシーの一部は、組織の取締役会による承認と管理が必要な場合もあります。

ランサムウェアとプロセスおよびポリシーへの影響

ランサムウェアの前例のないリスクがすべてのビジネスに浸透し続ける中、CISOはますます有能なサイバーセキュリティチームを引き付け、訓練する努力を倍増させています。また、技術セットのギャップを特定し、ランサムウェアの試みを早期かつ包括的に検出し対応するために、可能な限り多くのギャップを埋めています。

人材と技術がランサムウェアのリスクや影響を軽減しようとする一方で、ランサムウェアに関するポリシーの開発や再開発は遅れがちです。一部の組織は、特定のランサムウェアポリシーを持っていないこともあります。他の組織は、基本的なポリシーを持っているかもしれませんが、それが組織が重要なランサムウェア関連の決定を下す際に役立たない場合があります。

「ほとんどの組織にとって、成功したランサムウェア攻撃に直面した場合に支払うかどうかを規定するだけでは不十分です。」

これらの決定は簡単ではなく、各オプションはその影響を明確に理解する必要があります。例えば、賢い組織は、実際の攻撃の最初の証拠が現れるずっと前に、将来直面するかもしれないランサムウェアのシナリオを考慮します。その後、組織は各シナリオに対する対応を導くポリシーを明確にし、採用します。組織がまだ行っていない場合は、今すぐランサムウェアポリシーを開発または再開発する必要があります。

ランサムウェアのシナリオは、表面的にはかなり二元的に見えます:支払うか支払わないか。

ほとんどの組織にとって、成功したランサムウェア攻撃に直面した場合に支払うかどうかを規定するだけでは不十分です。一部の組織は「決して支払わない」という包括的なポリシーを持っているかもしれませんが、それでも考慮すべき詳細や条件があります:ランサムウェアの要求額、組織の緩和策、リコール、復元に対応する能力、組織の文化と使命などです。これについては後ほど詳しく説明します。

対照的に、すべてのランサムウェアケースで「常に支払う」ポリシーを採用するためには、ランサム要求が組織の支払い能力を超える最悪のシナリオを想定しなければなりません。より合理的には、支払いのポリシーは、組織が実際に支払える金額に上限を設ける必要があります。さもなければ、持続不可能なポリシーになります。

「常に支払う」ポリシーを持つ組織は、組織やCISOが成功したランサムウェア攻撃に耐える能力にあまり自信を持っていないと言えるでしょう。組織はすべてのデータとシステムをリコールし復元できるでしょうか?信頼できる生産環境のレプリカとして機能する可能性のある、実行可能でテスト済みのバックアップはありますか?バックアップ、リコール、復元のプロセス自体は信頼できるでしょうか?

「常に支払う」ポリシーを持つ組織は、嵐に耐える能力にあまり信頼を置いていません。もし信頼があれば、そのポリシーは常に支払うのではなく、特定の条件で支払い、他の条件では支払わないというものになるでしょう。

ランサムウェア攻撃者の信頼性とその背後にある財務構造も重要です。仮想通貨の仲介者が攻撃者を信頼できないと評価し、支払いを受けても一部またはすべてのランサム資産を解放しない可能性がある場合、「常に支払う」ポリシーは意味をなすでしょうか?

犯罪者が単に無能で、暗号化は得意だが復号化は得意でない場合はどうでしょうか?ランサムを支払ったが、完全に回復できなかった場合、組織はどうするでしょうか?それはどの組織も渡りたくない橋です。

「『常に支払う』ポリシーを持つ組織は、組織やCISOが成功したランサムウェア攻撃に耐える能力にあまり自信を持っていないと言えるでしょう。」

最近では、資産の暗号化(データとシステム)データの流出(組織のデータのコピーが盗まれた)が組み合わさったハイブリッド型のランサムウェア攻撃が見られます。このシナリオでは、組織のランサムウェアポリシーは非常に複雑になります。

組織のデータの復号キーを受け取るために「常に支払う」ことが許されるでしょうか?たとえそのデータのコピーがすでにダークウェブに存在していたとしても。

「常に支払う」ポリシーの代替案として、「決して支払わない」ポリシーがあります。このようなポリシーは、同様に遵守するのが難しい場合があります。ランサムを支払うことをいかなる条件でも拒否したランサムウェア被害者の例が広く報道されています。

このようなポリシーの立場は、組織がすべてのケースで実行可能な生産状態に復元する能力に対する大きな信頼を置いています。つまり、どのデータやシステムが暗号化され、どの操作が中断され、組織が経験する影響の深刻度に関係なく、回復のために支払うことはなく、代わりにバックアップ/リコール/復元プロセスに常に依存して完全な状態に戻るということです。

「決して支払わない」ポリシーは、組織の文化と一致するかもしれませんが、回復プロセスにおける未知の要因によって引き起こされる痛みは事前に計算できない可能性があります。したがって、「決して支払わない」ポリシーを持つ組織は、バックアッププロセスの驚き、リコールと復元の失敗、成功以外のあらゆる事態に関係なく、すべての潜在的な結果を受け入れる意思があると言っています。

「決して支払わない」ポリシーはまた、組織が異なる種類の嵐に耐える準備ができていることを前提としています。プロセスは常に期待通りに機能するわけではなく、技術は私たちが計画するよりも頻繁に失敗し、ストレス下の人々は時にミスを犯します。「決して支払わない」ポリシーを確立することは、組織が驚き、迂回、あらゆる種類の失敗を受け入れる意思があることを意味します。

もちろん、あまりにも緩すぎて実行不可能なポリシーでもなく、あまりにも厳しすぎて「もしも」のための詳細な考慮を制限することもない、幸せな中間があります。組織は、事前に定義された特定の金額まで支払うことを決定するか、または予測または計算された潜在的な影響が組織が合理的に耐えられる以上でない限り、決して支払わないことを決定するかもしれません。

「『決して支払わない』ポリシーはまた、組織が異なる種類の嵐に耐える準備ができていることを前提としています。」

組織のランサムウェアポリシーの議論のための重要な道筋は、取締役会を通ります。2つの組織は同じではなく、一般的なポリシーはその議論の早い段階で除外されるべきです。すべての組織は、何が最も重要かを決定し、しばしば組織の命令が組織の文化と衝突することを理解する必要があります。

すべての組織がランサムウェアに対する立場を確立し理解することが重要です。同様に重要なのは、攻撃の前に、火が始まる前にこの立場を確立し理解することです。

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks