Global

Asia

China
Thailand
Singapore
Malaysia
Indonesia
Vietnam
Korea

Americas

Europe

お問い合わせ
facebook

ランサムウェア攻撃から情報資産を守るセキュリティアセスメントサービス

ソリューション

世界的に猛威を振るうランサムウェア攻撃による被害を未然に防ぐための適切かつ実効的な運営環境の具備に向け、課題抽出から解決策立案・推進までをワンストップで支援

ランサムウェア攻撃により被災した場合、業務停止や情報漏洩などの事業継続性を脅かす重大なインシデントとなる可能性が高く、顧客や取引先からの信頼を損なうリスクにも繋がります。ランサムウェア攻撃について正しく認識し、国内外の関係会社を含めて未然に防ぐ対策および万一被災した場合にも影響を極小化するために備えておくことは、重要かつ喫緊の経営課題となっています。
アビームコンサルティングでは、NISTサイバーセキュリティフレームワーク(以下、NIST CSF 2.0)およびランサムウェア攻撃特性を踏まえた独自のリスクベースアセスメントツールを用いて、ランサムウェア攻撃への対策状況・潜在リスクを網羅的に把握・分析し、全体最適かつ実効的な対応策・実行計画を策定し、本質的な課題解決にむけて強力な推進・支援を提供します。

背景

AIを悪用した攻撃方法の開発と実装・実践など、新たなテクノロジーを活用したランサムウェア攻撃の脅威は今後も増大・巧妙化が予想される

近年、情報処理推進機構(IPA)が公表する「情報セキュリティ10大脅威」にランサムウェアによる被害が常にランクインしている通り、実際に多くの企業が被害を受けています。企業は感染対策が求められるものの、複雑化する攻撃手法への対応難度は高まっています。
例えば、RaaS(Ransomware as a Service)と呼ばれるビジネス化した攻撃者のエコシステムにより、技術力を問わず攻撃が可能になっています。また、暗号化したデータの復元に加え、窃取したデータを公開すると二重に脅迫を受けた企業が緊急性や影響の度合いからやむを得ず身代金の支払いに応じることが増加しています。
さらに、高額な身代金の支払いが可能な大企業だけではなく、対策が脆弱なサプライチェーン(グループ会社や外部委託先)も攻撃の対象となっています。本来のターゲットである大企業のネットワークやシステムへ侵入するための踏み台とする、業務委託に際して提供された顧客の個人情報を盗み漏洩させるといったケースがあります。このように複数の企業を介すことで被害が拡大し、サプライチェーンを含めたレピュテーションが大きく毀損されるリスクが高まっています。

クラウドデータのイメージ

課題

ランサムウェア攻撃への対応に向け、現状把握と実効性のある対策の推進が必要

問題点

  1. 経営層はランサムウェア攻撃のリスクを認識するものの積極的な関与は無く、対応をIT部門に任せっきりになっており、人的リソースや予算の不足が生じている
  2. セキュリティガバナンスが不十分なことから人為的なミスや管理の不行き届きによる脆弱性が生じ、攻撃者の標的として狙われやすくなっている
  3. 事業継続計画は有するものの、ランサムウェア攻撃を想定した計画になっていないため、有事の際に機能しないものとなっている

アプローチ

アビームコンサルティングは、ランサムウェア攻撃における企業の対策を評価し、対策立案、実行までを総合的に支援します。評価においては対策自体が不足している領域や、対策は実施しているものの管理が不十分でリスクの高い領域を課題として特定し、対応の優先度を設定します。加えて、課題解決に有効な対策やその実施に向けた伴走支援を行います。

特長

  • 最新のNIST CSF 2.0を踏まえた、アビームコンサルティング独自のリスクベースアセスメントにより、ランサムウェアによるリスクを可視化

    NIST CSF 2.0などを参考に作成した独自のリスクベースアセスメントにより、予防的なランサムウェア対策の抜け漏れだけでなく、被災時の事業継続計画も含め網羅的なリスクを評価します。

  • セキュリティ成熟度アセスメントと、ランサムウェア攻撃の特徴を考慮した対策の提示

    セキュリティ成熟度アセスメントは、国内外のガイドラインの核心的な共通項を当社が提唱するSecurity Quadrantで整理しています。業界・業態を問わず、お客様固有の事情に合わせた対策の提供が可能です。

  • 必要なセキュリティレベルに到達するために、実効性のある対策を実行まで支援

    アセスメント結果からリスクと課題を提示するだけではなく、課題解決に向けた実行可能なベストプラクティスを提案し、それらを確実に実行するための伴走支援を提供します。

最新のNIST CSF 2.0を踏まえた、アビームコンサルティング独自のリスクベースアセスメントにより、ランサムウェアによるリスクを可視化

アビームコンサルティングのアセスメントは、最新のNIST CSF 2.0で整理されたセキュリティ対策の観点と、実際のランサムウェア攻撃の分析を踏まえて作られた、独自のリスクベースアセスメントです。
NIST CSF 2.0を踏まえることで、経営層を中心とするセキュリティガバナンス、施策の実行および監督、さらにはランサムウェア攻撃にあった場合の迅速な検知および対応の体制整備、そして事業継続計画といった迅速な復旧に資する事後対策を含む、ランサムウェア対策に係る網羅的な観点から対策状況とリスクの評価を可能にしています。
加えて、多くの被害を及ぼした実在のランサムウェアの攻撃の特徴を調査し、有効な対策を弊社独自に分析した結果から、評価項目の中でもランサムウェア対策に深く関係する事項を特定することで、ランサムウェア攻撃に対するリスクと真に必要な実施事項を明確にすることができます。

セキュリティ成熟度アセスメントと、ランサムウェア攻撃の特徴を考慮した対策の提示

セキュリティ成熟度アセスメントは、国内外のガイドラインの核心的な共通項を当社が提唱するSecurity Quadrant*で整理しています。この考え方をランサムウェア対策でも応用し、独自の観点として「点検」と「統制」を加えてクライアントの対策状況を評価します。
ランサムウェアへの対策可否に加え、脅威の動向やクライアント内部の課題を踏まえて既存の対策を「点検」し、改善に取り組んでいるかを評価します。また、対策やルールがサイロ化・個別最適化せず、全社的な「統制」がなされているかも併せて評価します。
評価結果を踏まえた改善では、初期の侵入や侵入後の内部での活動といった段階ごとに、ランサムウェア攻撃で利用されることが多い攻撃手法を分類したうえで、リスクを低減するための対策をご提案します。リスクに対して必要な対策を具体的に想定したリファレンスを用意することで検討の幅を広げます。

※ABeam Securityが提唱する企業リソース全体をカバーしたセキュリティ分析軸4象限のこと。「Organization」「Technology」「Process」「Regulation」から構成される。

必要なセキュリティレベルに到達するために、実効性のある対策を実行まで支援

アセスメントのみにとどまらず、必要なセキュリティレベルへの到達に向けて、技術・ガバナンスの両面から実効性のある改善策を提案します。
クライアントの固有事情を理解したコンサルタントが改善計画を立案し、クライアントのご担当者様様と協力し、実行、運用定着までサポートします。

ランサムウェア攻撃は年々複雑化しており、感染した場合に、法律や顧客保護の観点での対応策やステークホルダーへの責任ある対応など、事業継続計画(BCP)として定めておく必要があります。BCP策定はサイバーレジリエンス(回復力、適応力)向上の手段であり、シナリオベースの訓練などによってその手段の実効性を確認することが可能です。クライアントのサイバーレジリエンス向上に向けて、アセスメント結果を踏まえた提案を致します。

Contact

相談やお問い合わせはこちらへ

関連サービス

セキュリティ

    関連ソリューション

    ABeam Security® セキュリティ成熟度アセスメントサービス