「ランサムウェア対策簡易チェック」を、ラック自身でやってみた

ソリューション営業部の早川です。

急増するランサムウェアを用いたサイバー攻撃による被害を防ぐため、2023年9月19日にリリースした無償サービス「ランサムウェア対策簡易チェック」は、多くの方にご利用いただいています。

7つのカテゴリに分かれた25のアンケート形式の質問に回答することで、5～10分程度で自組織のランサムウェア対策の充足度を簡単に確認できますので、ひとりでも多くの方に自身の組織の現状をチェックいただき、その後のセキュリティ対策の実践にお役立ていただければ幸いです。

この記事では、ラック自身が「ランサムウェア対策簡易チェック」を試してみた結果や、これまでの間にご利用いただいた方の回答から見えてきた傾向などをお知らせします。

新サービス準備の中で浮かんだ、ひとつの疑問

「ラックの社内システムは、どの程度ランサムウェア対策が進んでいるのだろうか？」

ラックはセキュリティ対策関連サービスを提供する企業であり、今も多くのお客様に対してセキュリティ監視や脆弱性診断といった多様なサービスを提供しています。また製造業や金融機関など、多くの大手企業のシステムインテグレーションを手掛けている企業でもあります。

そんなラック自身の社内システムは、どれだけセキュリティ対策が講じられていて、どの程度ランサムウェア対策が進んでいるのだろうか......。もし自社システムに対するチェックの結果が惨憺たる結果だったらどうしよう......。お客様に対して、胸を張ってセキュリティ対策を提案できなくなってしまうのではないか......。そんな一抹の不安がありました。

また、私たちが用意したチェック内容・チェック項目が、想定通りの結果を得られるのかという実地検証が必要であると考え、社内システムの担当部門である「ICTイノベーション推進室」に協力を依頼し、ラックの社内システムの現状に基づいて、「ランサムウェア対策簡易チェック」を実際にテストしてもらうことにしました。

ラックがやってみた結果

ICTイノベーション推進室の担当者が実際に「ランサムウェア対策簡易チェック」を試してみたところ、以下のような結果となりました。

100点満点とは行かないまでも、多くのカテゴリでは対応・対策が進んでいることが分かりました。また、対応が不十分となっている部分はICTイノベーション推進室も課題として認識しており、既に改善計画が進んでいるということでした。

結果を見て少しホッとしたのはココだけの話です。私自身は顧客に対してセキュリティサービスを提案する立場であることがほとんどで、自社の利用しているシステムのセキュリティ対策について触れる機会があまりなかったため、とても新鮮な思いで取り組むことができました。

ここで、実際に社内システム環境のチェックに協力してくれた、ICTイノベーション推進室の所感をご紹介します。

「不足している対策がないか、網羅的に確認・可視化される」
「網羅的にチェックしているので、社内向けの説明に使える」
「自分でも『ここは対策した方がよい』と感じているところが確かに"弱い"と表示され、自信になる」

また、このサービスはセルフチェック型であり、できている・できていないという判断には個人差が生じる可能性があることから、複数の担当者で同様にチェックして結果を照らし合わせることで、より実態に近いチェック結果が得られるのではないか、とのコメントもありました。

この記事をご覧になり、まだ「ランサムウェア対策簡易チェック」を試していただいていない方は、周囲の同僚の方と一緒になって、ぜひ一度チェックしてみてください。

見えてきたチェック結果の傾向～セキュリティテスト分野に課題あり～

次に、ラック自身のチェック結果と、これまでにこのサービスを利用した方のチェック結果の傾向を比較するとともに、このチェックサービスを利用した方が「対策が不十分である」と感じられているポイントを見ていきます。

ワースト1位 脆弱性診断＆ペネトレーションテスト

平均して最も"対策が充分ではない"と認識されているカテゴリは、「脆弱性診断＆ペネトレーションテスト」でした。

確かに、脆弱性診断もペネトレーションテストも、様々なシステムを利用する組織ではテスト対象が多岐にわたり、継続的に実施するためには手間も時間も要するため、これを"100点満点"と自信をもって回答できる組織は決して多くないでしょう。

またラック自身でチェックした結果においても、同様にこの部分を"不十分である"と判断していることが分かります。この点についてラック社内で担当者と会話してみたところ、従前より課題として認識しており、予定されている改善計画の中で対応していく方針であることが分かりました。

脆弱性診断は、主にインターネットに公開しているシステムを対象として広く実施されており、ラックにも多くのお客様からご依頼をいただいています。一方で、組織の内部ネットワークを対象とした脆弱性診断を継続的に実施している組織はまだまだ少ないと感じます。

またペネトレーションテストも、脆弱性診断以上に実施のハードルが高いと考えられ、実際にお客様からお問い合わせいただく際も、"以前から脆弱性診断は実施しているが、ペネトレーションテストは初めて"というケースも数多くあります。

いずれも"あらかじめ弱点を見つけ、攻撃を受ける前に潰しておく"という重要なセキュリティ対策であり、万が一ランサムウェアに感染してしまった場合には、ランサムウェアが悪用・侵害する影響範囲を極小化する効果が期待できます。インターネット公開システムに限定せず、ぜひ内部ネットワークでもテストしてみることをご検討ください。

ワースト2位 データ管理＆バックアップ

実施できていないと感じている項目の第2位は「データ管理＆バックアップ」でした。これには大きく2つの要因があると推察しています。

1. クラウドサービスの利用やテレワークの採用が進んだ結果、IT資産やデータの所在が分散したこと
2. 特にオンプレミス環境の場合、これまでバックアップは主にH/W故障などの障害復旧を目的に設計されていること

利用する外部サービスの多様化や在宅ワークPCの増加は、攻撃者の標的（アタック・サーフェス）が拡大したことを意味します。

また従来型のバックアップだけでは、万が一バックアップを含めてデータが暗号化されてしまった場合にシステムを復旧することは困難です。もちろん攻撃者は、調査を通じて"脆弱なポイント"を特定し、そこを足掛かりとしてシステムの侵害やデータの持ち出し・暗号化を試みます。

重大な被害を防ぐためには、自組織の業務形態や外部サービスの利用状況なども含めて勘案した上で、重要データの所在確認やバックアップ方式の設計を行う必要があります。これにより、万が一ランサムウェアに感染してしまった場合でも影響範囲を小さく抑える効果が期待できます。

ワースト3位 セキュリティガバナンス

第3位として、「セキュリティガバナンス」に関しても不十分と感じている方が比較的多いようです。

この部分は具体的な技術面の対策ではなく、組織全体の姿勢や取り組みが求められる領域であり、経営層によるコミットメントはもちろん、情報システム部門やセキュリティ部門"以外"の部門・組織の協力も不可欠な要素です。

経営層がセキュリティ対策の推進に積極的であることが、その組織のセキュリティ対策の成熟度に必ずしも直結するとは限りませんが、大きく影響する可能性は高いのではないでしょうか。

ここまでの集計結果をお知らせします！

9月のリリース以降、多くの方々に「ランサムウェア対策簡易チェック」をご利用いただき、ある程度の傾向が見えてきました。ここまで得られた結果から、傾向などを多くの皆様にご覧いただけるよう、"速報値"としてまとめた簡単な資料を用意しました。

「一度自社のチェックはしてみたけど、世の中の企業はどんな感じなのだろう？」
「自分たちのチェックはしていないものの、全体の傾向はどうなっているのか気になるな......」

もし興味をお持ちいただけたら、以下のリンクから資料をダウンロードして結果をご覧ください。

まだランサムウェア対策簡易チェックをご利用されていない方は、これを機にぜひ自組織のチェックを試してみてください。