【ランサムウェア対策】全社必読。インシデント発生前に平時から準備しておくべきこと
アサヒグループHDやアスクルが被害に遭っているランサムウェアは、調べれば調べるほど根が深く、国際的な広がりを見せています。侵入経路そのものは、既知の"気の緩み的なセキュリティホール"からですが、いったん侵入すると厄介です。基本的にはどの日本企業も潜在的なターゲットになっていると考えて良いでしょう。従って「被害に遭うことを前提とした対策」が必要です。災害訓練と同じです。
A. インシデント発生前に、平時から準備しておくこと
1. チームと役割を決めておく
-
「インシデント対応チーム」をあらかじめ決める。
→ 全員がセキュリティ専門家である必要はない。 -
チーム構成の基本:
役割 主な担当 平時の準備 指揮担当(承認者) CISO、情報システム部長、またはその代理 最終判断(遮断・外部連絡など) 技術担当 情シス社員/インフラ担当 現場でのPC・サーバ操作 記録担当 総務・経企など 起こったことを時系列に記録 連絡担当 広報・法務・管理部門 社内外への報告と調整
→ 名前と代行者をリスト化し、紙でも保存しておく(ネットが死んでも見られるように)。
2. 承認ルールを決めておく
-
現場で勝手に操作しない。
-
ただし、「この人がOKと言えば隔離・遮断してよい」というルールを明確にしておく。
-
例:
-
EDRで感染端末をネットワークから切り離す → IT部長の承認でOK
-
フォレンジック会社へ初動依頼 → 経営企画部長の承認でOK
-
外部発表・記者対応 → 社長承認が必要
EDR:正式名称はEndpoint Detection and Response(エンドポイント検知と対応)=「パソコン(端末)やサーバで起きている不審な動きを検知し、即座に対応する仕組み」。
-
3. 連絡経路を2系統にしておく
-
社内ネットが止まっても連絡できる手段を持つ。
-
通常:Teams/Slackなど
-
非常時:LINE WORKS・Signalなど携帯通信で使えるチャット
-
-
チャットグループ「緊急CSIRT」を作り、
社長・情報シス責任者・法務・広報などを登録。 -
年1回、「通信訓練」を実施(全員が5分以内に反応できるか確認)。
4. 平時に揃えておくもの("即応キット")
-
インシデント対応マニュアル(A4・1枚)
-
インシデント対応チーム全員の電話番号・携帯・メール(紙でも保存)
-
社長報告テンプレート(メール文)
-
フォレンジック会社・保険会社・JPCERTの連絡先
-
外部チャットのログイン確認
-
データバックアップ(3-2-1-1 バックアップ、WORM)
5. 年に1〜2回は「訓練」する
-
シミュレーション例:「給与システムが暗号化された!」
→ 誰が指示を出すか?どこに報告するか?
→ 実際に5分で動けるかをチェック。 -
終わったら改善点を1枚メモにして更新。
B. 社員への「緊急連絡」ができなくなることへの備え
前提:社内ネットが死ぬと、社内メールもTeamsも止まる
したがって、通知ルートを"社内LANに依存しない構成"にしておくことが前提です。
次の5段階で準備すると、ほぼどの企業でも実現可能です。
① 携帯通信網を使う「外部一斉通知システム」
◎ 平時の準備:
-
緊急連絡サービス(例:トヨクモ「安否確認サービス2」、LINE WORKS一斉通知、Google Workspaceの「モバイル通知」など)を契約し、全社員のスマホに登録しておく。
-
社員の携帯番号/個人メールを事前に同意を得て登録(個人情報保護法対応)。
◎ インシデント時:
-
管理画面から全社員に「SMS」または「アプリ通知」で一斉送信。
-
社内LANが落ちていても、携帯回線(4G/5G)で届く。
② LINE WORKS または Signal グループ(携帯ベース)
◎ 平時の準備:
-
「緊急全社員グループ」を法人アカウントで作成。
-
管理部門がメンバーを管理し、アプリ導入を全社員に義務づける。
-
重要:個人LINEは禁止。必ず法人管理型(LINE WORKSなど)にする。
◎ インシデント時:
-
社内サーバが落ちても通信可能。
-
重要社員・拠点責任者にメッセージを送れば、彼らが**"声で伝える"**二次伝達に使える。
③ メールバックアップ系(社外サーバでホスト)
◎ 平時の準備:
-
社内Exchangeが落ちても動くように、クラウド側(Google Workspace/Microsoft 365)で「非常用配信グループ」を作成。
-
MXレコードを二重化しておく。
-
インシデント時にはスマホのモバイル回線から送信可能。
④ アナログ連絡(電話・掲示・紙)
◎ 平時の準備:
-
「緊急連絡表(紙)」を全拠点・部署に常備。
→ 部署長、管理部門、サポートデスク、CISO、法務などの電話番号を記載。 -
イントラが止まっても、各部門リーダーが電話リレーで周知できるように訓練。
-
主要拠点では防災無線や構内放送の利用も検討(製造業など)。
◎ インシデント時:
-
拠点リーダーが電話または口頭で「PC操作を止めて」と指示。
-
紙掲示(ドア・壁)でも構わない。
→ たとえ原始的でも、「行動制止」の伝達が最優先。
⑤ 音声アナウンス・自動通話システム
◎ 平時の準備:
-
音声自動配信システム(例:エリアメール、トヨクモ、Yahoo!緊急速報連携など)を導入。
-
メッセージテンプレートを用意:
「社内システムに障害が発生しています。
パソコンは触らず、上長の指示をお待ちください。」
◎ インシデント時:
-
1クリックで全社員へ自動音声通話・SMS送信。
-
社員が出なくても留守番メッセージとして残る。
平時に整備しておく運用ルール
-
全社員の携帯番号・私用メールを「緊急連絡用にのみ使用」する同意書を取る。
-
月1回テスト配信(「緊急テスト:届いたら"OK"返信」)。
-
部署ごとに二次伝達担当者を明記。
-
会社スマホがない社員には、連絡係(上長)を決めておく。
-
緊急通知の文面テンプレートを作っておく(簡潔に、専門用語なし)。