システム保守とインシデント対応は別

　ランサムウェアの被害を受け、目の前の端末画面にまさに脅迫メッセージが表示されている。しかも、業務システムが突然エラーになったりアクセスできなくなった。こんなときどうすれば良いだろうか。多くの企業は「セキュリティ担当者または上長に連絡」となっているだろう。

　では、担当者や上長はその後どうするのだろうか。セキュリティ部門がしっかりした企業なら、正しいインシデント対応措置が整備されており、手順やその後の行動も明確だ。しかし、多くの企業（特に中堅規模以下）や組織は、そこまで組織的な対応はとれないだろう。そもそもセキュリティ担当者がいない企業も珍しくない。上司や経営層も、経験のないトラブルに対しては、試行錯誤するしかない。

　業務システムについて、構築したベンダーや保守契約をしているベンダーがあれば、そこへの連絡も重要だが、これも現実には簡単ではない状況がある。まず、構築ベンダーがセキュリティに強いか。きちんと対応できるかという問題がある。

　契約内容やインシデント対応の知見や経験があるかどうかによって、構築ベンダーは解決にならないかもしれない。保守契約もインシデント対応まで含むものは相当な金額になり、実質大手企業向けだ（しかも大手企業はセキュリティ体制を整えていることが多い）。

緊急時に駆け込めるところは少ない

　飛び込みでセキュリティベンダーに連絡がとれたとしても、その場で緊急対応してくれるベンダーは限られる。金額的な問題もあるが、そもそもインシデント対応をメニューに持つベンダーが常に緊急対応できるどうかわからない。契約顧客の保守や監視、あるいはまさに顧客のインシデント対応で呼び出され、人員がいないことの方が普通だ。

　飛び込みで請けてくれる事業者が見つかっても、そのシステムを構築したところでもなく、日々のメンテナンスやセキュリティ監視をしているわけでもなければ、緊急対応でできることは限られる。この場合のインシデント対応は、被害を受けたシステムの仕様や構造の把握から入ることになる。セオリーどおりの対応が適用できるかどかは、システムの設計・運用次第だ。

　マルウェアの除去、侵入口の閉鎖はできたとしても、システムの完全な復元、暗号化データの復号などはおそらくコミットされない。依頼する側としては、回復できるか不明でも高額（数百万から数千万円）な契約をスポットで結ばなければならない。自力で復旧するすべを持たない中小企業にとっては、いざというとき外部に頼ることもままならないのが現実だ。

【次ページ】公開資料を足掛かりに自社の対応を考える