セクション: 情報リスク管理

脅威インテリジェンスレポートで業界を標的としたランサムウェア攻撃が多数発生していることが示された場合、情報セキュリティ管理者にとって最善の行動は、組織へのリスクを評価することです。これは、現在の脅威の状況、組織のセキュリティ体制、既存のセキュリティ対策の有効性に基づいて、潜在的なランサムウェア攻撃が組織の資産、業務、そして評判に及ぼす可能性と影響を評価することを意味します。リスク評価は、情報セキュリティ管理者が最も重要な資産とプロセスを優先順位付けし、セキュリティアーキテクチャのギャップと弱点を特定し、回避、軽減、移転、受容などの適切なリスク対応戦略​​を決定するのに役立ちます。
リスクアセスメントは、組織のセキュリティレジリエンスと準備態勢を向上させるために、追加のリソースや上級管理職への支援を要請するためのビジネスケースを提供することもできます。その他の選択肢は、事後対応的すぎるか、対象範囲が狭すぎるため、最善の行動方針とは言えません。システムバックアップの頻度を増やすこと（A）は、ランサムウェア攻撃発生時にデータの可用性と復旧を確保するための良い方法ですが、攻撃の防止や検知には対応しておらず、攻撃に伴う可能性のあるデータ漏洩や恐喝の可能性も考慮されていません。軽減策となるセキュリティ対策（B）の見直しはリスクアセスメントプロセスの一部ですが、それだけでは十分ではありません。情報セキュリティ管理者は、脅威の発生源、脆弱性、影響、そして組織のリスク許容度も考慮する必要があります。従業員に脅威を通知することは、意識向上と教育のための有効な手段ですが、リスクアセスメントの後に、他のセキュリティポリシーや手順と併せて実施する必要があります。職員には、潜在的なリスク、侵害の兆候、報告メカニズム、そしてランサムウェア攻撃を回避または対応するためのベストプラクティスについて周知徹底する必要があります。参考資料：CISMレビューマニュアル2022、77～78ページ、81～82ページ、316ページ；CISMアイテム開発ガイド2022、9ページ；#StopRansomwareガイド | CISA；[ランサムウェア攻撃の人的被害 - ISACA]；[ランサムウェア対応、安全対策、対策 - ISACA]