株式会社NITTAN様　│　インシデント対応支援

2022年9月13日朝、村山氏が出社し勤怠システムを利用しようとしたところ、システムが利用できないことに気が付く。情報システムグループ(現情報システム部)に連携し調査を開始。依頼を受けた情報システムグループ課長(現情報システム部部長)の谷口氏は当初村山氏が利用する端末の不具合を疑った。調査を進めるとサーバー画面に「LockBit」の表示が見つかる。ディスクの中からは身に覚えのないテキストファイルが設置(ファイルは開いていない)されていることにも気づく。村山氏の端末不具合ではなく、ランサムウェア攻撃の被害に遭ったことが判明し、谷口氏は即座にネットワークを遮断した。

サイバー攻撃被害は、初見はこういったシステムの不具合と思われる事象から発見されることが多く、認知がされた際に幅広い可能性の模索と早急な対応が被害拡大には欠かすことができない。

様々な部門で構成される緊急対策本部を立ち上げ、経営・現場へと情報連携を密に行う。村山氏は社長と直接対峙することで迅速な意思決定を仰ぐ。インシデント対応は時間との勝負であることから、即座の意思決定ができる環境を整えることが重要になる。谷口氏は対応を進めながらも、営業などの現場から正しく、均一な情報が発信され、お客様をはじめとした関係者に伝わるように腐心する。ステークホルダーへの正確かつタイムリーな情報発信はインシデントレスポンスの重要なタスクの一つである。

はじめての経験に、何から手を付けていいか、どのように対処すべきか戸惑いがあったと谷口氏は語る。頼りにしたのはITセキュリティ管理規程。そこに記されていたサイバー攻撃被害時の手順概要に沿って谷口氏は対応を開始する。まずはネットワークを遮断することでシステムを隔離した。当然業務へ大きな影響が発生することになる。このように同時多発的かつタイムリーに複雑な意思決定を現場も経営も求められる。有事の際にゼロから判断するようでは迅速にインシデントレスポンスを実行していくことはできない。経営と現場の統一的な意思疎通、判断・行動の基準となるガイドラインが果たす役割はとてつもなく大きい。

あらかじめ記されていた手順概要に沿って対応を進められたこと、GSXの支援があったことが大いに役立ったと村山氏は振り返る。

実はこの規程は制定後本格的な見直しがされておらず、被害を想定した訓練もできていなかった点を村山氏は当時の課題として上げた。同社のように手順を文書として整備している企業は多い一方で、手順が時間の経過とともに実態にそぐわなくなっている、体制はあるが訓練などを通して実効性を確認できてない企業が少なくない。本事例では人的な応用力により手順概要を参考に、具体的な対応を状況に照らし合わせ、判断・対応を進められたが、平時に規程の見直しや訓練をしていれば、より迅速に調査の依頼や、結果を基にした復旧対応が可能であったかも知れない。

一刻の猶予も許さないなか、フォレンジックなど詳細調査を進めていくにあたり、プライムベンダーを頼るも色よい返事を得ることができず、対応可能なベンダーを探すことになった同社は、保険会社や取引先などを辿って何社かのセキュリティベンダーに相談を持ち掛けた。しかし、リソースが空いていない、対応できても10月以降、といった回答に対応ベンダーのアサインは混迷を極めた。事態は一刻を争う。そこで、オフィスソフトウェアやストレージサービスを提供してもらっていたリコージャパンに相談を持ち掛ける。担当の中村氏はリコージャパン社内で情報収集を即座に行い、GSXをアサインする。ようやく対応事業者が決まり、GSXは9月21日よりフォレンジック調査対応を開始。

フォレンジックやインシデントからの復旧を支援する事業者のリソースが埋まっており対応に応じてくれないといった相談をGSXも多く受けている。関係性のある取引先がインシデントからの復旧支援ができるのか平時からコミュニケーションを取ったり、対応できる事業者との関係性を築いておくことで、有事の際、円滑に対応へと進むことができる。インシデントレスポンスは一刻を争う時間との勝負であり、早期の対応が被害の拡大を抑止し、早期の復旧につながる可能性を高める。平時にベンダーのケイパビリティを確認しておくことが欠かせない。

村山氏は対応業者選定にあたり、自社が希望するスケジュールで対応できるかは当然のことながら、自社として何を優先するのかを決めて選定することがよいのではないかと自身の経験から振り返った。例えば、同社ではサイバー攻撃被害発生後、間もなく決算発表が控えており、決算発表を遅滞なく行えることは重要な選定ポイントになっている。

被害に遭った約半年前、利用していたVPN装置に脆弱性があることが判明し、ファームウェアのアップデートを行った。しかしながら、結果としてこのVPN装置から侵入を許すことになる。GSXによる調査の結果、ファームウェアのアップデートを行う前にVPN装置の脆弱性が悪用され、ID・パスワードが漏洩していたと推測された。現在も多くの企業でパスワード漏洩に起因したサイバー攻撃被害が後を絶たない。システム構築時のデフォルトID、パスワードを利用している事案もいまだに見受けられる。表出している事実だけを捉えれば、「なんでそのようなことが起こるのか」と言えるが、セキュリティ人材の不足、担当1人にかかるタスクの過多、予算、セキュリティに対する会社のスタンスなど、複合的な要素が絡み合って事案は起こる。つまり、目に見えていることが問題の本質もしくはすべてではないことは往々にしてある。

なお、この点には組織的な課題も背景に潜んでいたと村山氏は語る。2022年当時の情報システムグループではセキュリティ専任者を設置せず、タスク単位で情報システムグループのメンバーがセキュリティ対策を担っていた。VPNについては担当者に任せきりになってしまっており、ダブルチェックといったマネジメントができていなかった点が課題であったと上げている。なお、現在はセキュリティ専任者を設置し、マネジメント含めセキュリティチェックが可能な体制に強化済である。

多くのシステムが利用停止に陥る中、幸いにして基幹システム(メインフレーム)は被害を免れていた。谷口氏は基幹システムに配線をつなぎ、一室にまで配線を伸ばし端末と接続することで業務の継続を実現する。その一室に経理、工場で働く従業員などあらゆる事業に携わる関係者が詰めかけ、データを入力していくことで生産を止めることなく動かし続けることができた。一時的に手書きで記録を残し、それを後からシステムに投入するといった、アナログとデジタルのハイブリッドのような回避策でしのいだ業務もあったという。業務を止めないために一時的にアナログへと業務を切り戻して事業活動を維持する企業は多い。しかしながら、DXが進むことでアナログの余地が狭まっていく。それは有事の際にアナログで業務を継続させることの困難さにもつながっていく。IT BCPの整備が求められる背景もここにある。

「あらゆる部門が全社一丸となって業務を止めることなく連携し、責任感を持ち、前向きに動いてくれたことに心から感謝している。」と谷口氏は振り返る。法務部門では弁護士との連携、タスクの整理、個人情報保護法への対応を実施、総務部門ではインシデントの発表、関連部門からの情報収集と展開、個人情報保護委員会への連絡など、各部門に求められる役割を積極的に果たした。前述の通り、生産ラインからは生産・出荷などの実績データなど、本来は自身のタスクではないことも、事業を止めないために取り組んでいる。秦野の本社から、山口の事業所に応援に出ていった間接部門の人もいた。このように平時に各部門が実施している責任範囲に加え、有事には範囲を超えて協力し前進させていくことが求めらる。

復旧を進める傍ら、製品を納入する取引先からは、納期が守れるのか問い合わせを受けるが、前提となる生産活動を維持できていると回答すると安心した様子で帰られたそうだ。サプライチェーンに連なる企業がサイバー攻撃を受け、事業が止まることで、サプライチェーン全体の生産活動が停止してしまう事例もある中で、谷口氏の機転と、関係部署総出の手作業による懸命な取り組み、努力により生産活動が維持された。

村山氏は、谷口氏がいなかったら、この難局を乗り切れなかったと回顧する。また、復旧を支援したGSXのコンサルタント和田は、こういった柔軟性・臨機応変な対応が早期復旧に役立っていると評価している。

サイバー攻撃被害の発覚が9月13日ということもあり、まもなく第二四半期(つまりは上期)の業績発表を控えているタイミングでもあった同社は、復旧と並行して、GSX・会計監査法人と連携し、決算対応について協議を進めていく。

大手監査法人とGSXコンサルタントを交えた三者協議を重ねる中、ランサムウェアによる攻撃が財務報告の正確性に影響を与えるリスク（改ざんの可能性）が議論された。GSXの見解も踏まえ、経理データの復旧と検算の状況、さらに他社事例を考慮した結果、四半期決算として開示しても問題ないとの判断が下され、予定通り2022年度第二四半期の決算発表に至ることができた。

サイバー攻撃被害を受け決算を締めることができないなどの理由から決算発表を延期せざるを得ないケースは少なくない。柔軟かつスピーディーに、共通の目標感を持ってインシデント対応を進めることができる専門家の支援を受けられることは、サイバーレジリエンスの実現にもつながっていく。

早期復旧に向けて、バックアップデータを保持できていた点が大きいと村山氏は振り返る。バックアップを複数の手法で保持しており、決算に用いるデータもバックアップから切り戻すことができた。ちょうどクラウドストレージの利用を進めており、端境期ということもあり、移行が完全に進んでいなかった点は悔やまれると村山氏は語った。働き方の多様化に伴いクラウドストレージの利用が進んでいるが、BCPやセキュリティという観点からもクラウドストレージの活用に注目が集まっている。

GSXでは年間300件程度のサイバー攻撃被害の相談を受けており、GSXの経験に基づいたデータでは、相談をいただく企業の9割以上はログ管理が十分ではない。60%の企業は調査可能なログが存在せず、35%の企業はログは存在するが不十分な内容であった。

前述の通り、早期の復旧にあたってもバックアップは重要であることに加え、フォレンジックにあたってもログデータが重要になる。ログデータが不十分であり原因を特定することができない事案は少なくない。

村山氏は、判断基準を持ち、関係者が同じように考え、意思決定・行動できるようになっていることが重要と振り返る。何をするか経営含め意思統一しておくことが重要であり、例えば、どこを止めればネットワークを遮断することができるのかといった実務レベルまで対応方法を定めておく。

再発防止策の1つとして、IT BCPを策定した。策定にあたってはGSXが支援を行っている。策定した計画を基に実行できるかどうか検証をしながら内容をアップデートしていく。ビジネス環境も、IT環境も、サイバー攻撃の手法も時代とともに変わっていく。規定をこれらの変化に適合させていくこと、それを平時に定期的に実行しておくことが、有事からの早急な復旧に大きく役立っていく。

また、前回のインシデント発生時はアナログ対応で乗り切れた点もあったが、よりDXが進むことで、アナログ対応では代替できなくなってくる点についても対応を進めている。

サイバー攻撃被害発生以前から積極的にセキュリティ対策を実行しているが、インシデントを経て、バックアップ取得、SOC運用、エンドポイント対応、脆弱性管理、個人のリテラシー向上など対策の強化を進めていると谷口氏は語る。従前から経営陣のセキュリティに対する意識は高かったが、インシデント後はさらに意識が高まり、細部まで気を配るようになったと実感している。

GSXではフォレンジック、復旧支援以降も、恒久対策支援として、現在に至るまで、セキュリティ対策強化に向けたアドバイザリー支援を続けている。長年に渡る支援を通じ、GSXも同社の考え方・状況に関する理解が日々深まってきており、同社に最適な情報提供・サービス提供ができるようになってきている点も評価されている。