2021年12月01日 05時00分 公開
特集/連載

ランサムウェア対策“最大のハードル”は「経営者の意識問題」 Gartnerが指摘ランサムウェア攻撃の身代金支払いの是非【後編】

ランサムウェア攻撃を受けた企業が被害を広げないためには何をすればよいのか。Gartnerのアナリストが指摘する、企業の根本的なセキュリティ問題とは。

[Arielle Waldman,TechTarget]

関連キーワード

Gartner | セキュリティ | 標的型攻撃


 調査会社Gartnerは2021年10月にイベント「Gartner IT Symposium/Xpo」を開催した。その中のセッション「Crossroads: Should You Pay the Ransom?」で、同社アナリストのサム・オリャーイ氏とポール・プロクター氏が、ランサムウェア(身代金要求型マルウェア)攻撃について議論を繰り広げた。

「経営層の認識不足」をGartnerアナリストが懸念

 「サイバー攻撃による被害は、技術的な観点からも、広報宣伝や評判の観点からも、大部分が企業の対処の不手際で広まる」とオリャーイ氏は話す。ただし重要インフラが攻撃された場合の影響は、被害企業の対処方法を問わず、さらなる問題を引き起こすことがある。プロクター氏によると、石油パイプライン企業Colonial Pipelineにダメージを与えたのは、約440万ドルの身代金支払いをはじめとするランサムウェア攻撃への対処よりも、米東海岸で起きたガソリン不足騒動だった。

 両氏が共通して指摘するのは、「経営層のセキュリティに対する認識不足」だ。この問題を長年目の当たりにしてきたプロクター氏は、「人々はセキュリティを“魔法”、セキュリティ担当者を“魔法使い”として扱ってきた」と話す。魔法使いに金を支払えば呪文を繰り出して企業を守ってくれるし、何か手違いがあれば魔法使いのせいだという捉え方だ。「こうした認識は実にひどい投資判断につながる」と同氏は言う。

 経営層のセキュリティに対する認識不足は、企業の攻撃への備えにも影響を与える。Gartnerの調査では、「自社はランサムウェア攻撃に対処できる態勢が整っている」と回答したセキュリティ責任者は調査対象の80%を占めたのに対し、経営陣は13%にとどまった。「そこには文化的断絶がある」とオリャーイ氏は話す。

 両者の見解が一致した別の問題は、「ランサムウェア攻撃の被害は防げるが、基本的なセキュリティ対策が欠如している」点だ。その状態を、オリャーイ氏は「ドアや窓を開けっ放しで、歯磨きをせず、就寝時間が不適切な状態」に例える。「適切なセキュリティ対策を導入すれば、身代金を支払うべきかどうかを判断しなければならない事態そのものを回避できる。この判断を突き付けられた時点ですでに負けだ」(プロクター氏)

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news143.jpg

Pinterestが提供する広告主とクリエイターの協業の仕組み「アイデアアド」とは?
没入型全画面で複数の動画や画像を1つのアイデアとして表示した「アイデアピン」をブラン...

news212.jpg

面白い広告は記憶に残るが、ユーモアを活用できている企業は少ない――Oracle調査
ユーモアを取り入れたブランドは支持され、ロイヤルティーが高まり、顧客は再び購入した...

news054.jpg

マクドナルドvsバーガーキング ネット戦略がウマいのはどっち?
「ITmedia マーケティング」では、気になるマーケティングトレンドをeBookにまとめて不定...