侵入前提対策だけでなく、データも守ることが肝要
ランサムウエアをはじめとするサイバー脅威の猛威はとどまるところを知らない。攻撃はますます巧妙化し、すべての脅威を水際でブロックすることは難しい。こうしたことから昨今は脅威の侵入を前提に考える対策が必須となっている。その典型がEDR(Endpoint Detection and Response)だ。エンドポイントを中心にアクセス状況を常時監視し、マルウエアやサイバー攻撃を検知したら速やかに封じ込めを行う。
だが、その運用は簡単ではない。24時間365日体制での監視が必要で、ログやアラートの分析、封じ込め作業には高度な知識やスキルが求められるからだ。その役割を担うSOC(Security Operation Center)の整備が不可欠となるが、社内リソースで対応できない場合はアウトソーシングや外部ベンダーのサポートが必要になる。
EDRによってサイバー脅威に対する「防御力」は向上するが、防御ばかりに投資や人的リソースをかけすぎると足元をすくわれてしまう。インシデントからの「回復力(レジリエンス)」、すなわちビジネス復旧には別の対策が必要になるからだ。
重要なのはあくまでも「データの保護」である。実際、ランサムウエア攻撃によってデータが使えなくなり、工場の操業停止や製品の出荷停止に追い込まれた事案が国内でも多数発生している。サプライチェーンの一翼を担う企業でこうした事案が発生したら、ビジネスが立ち行かなくなるばかりか、社会的信用も失墜し、危機的状況に陥りかねない。
防御力を高めるだけで安心せず、データをいかに守るか。これは企業に課せられた使命である。予算や人的リソースが限られた中堅・中小企業の場合、実現は容易ではない。それではどうすればよいのか。次頁以降でその手立てを考えていく。