2023年4月14日開催セキュリティ分科会イベント
【ランサムウェア対応ー身代金を支払いますかー】

朝日新聞編集委員（サイバーセキュリティ専門記者）の須藤　龍也様
ご講演

基調講演は、朝日新聞編集委員（サイバーセキュリティ専門記者）の須藤　龍也様です。須藤様は、サイバーセキュリティを専門に多くの事案を取材、記事として発表されております。一例として、2021年に、LINEのデータが韓国で保管、個人情報が中国に漏洩している危険性をスクープしたのも須藤様です。

今回は、ランサムに特化して、90分の講演で具体的かつ内情に切り込んだ取材内容です。全部は紹介できませんが、2020年のカプコンの事案においては、業務停止に加え、個人情報・機密情報の漏洩による被害、その時漏洩を阻止しようとしたホワイトハッカーの働きなど、記事になっていない内容を含め紹介頂きました。後半は、2021年の徳島の半田病院、翌年の大阪急性期・総合医療センター、それぞれにおける取材内容をお話し頂きました。実際の復旧対応活動の内容と、そこで活躍した有志の方の活躍、侵入された原因、その原因を特定した経緯など、臨場感たっぷりに講演されました。特に半田病院において、サイバー攻撃は「災害」であるとの認識、そのため発動されたBＣＰそしてその対応基本方針の中に「皆で助け合って乗り切ろう」の言葉は響きました。サイバー攻撃を受けるとIT部門のみが大騒ぎ、他部門はIT部門を責めるだけ、これではいけないと強く感じました。非常に有益でかつ濃い内容で、あっという間の90分で多くの気づきが得られた講演でした。終了後のアンケートも大満足の評価を頂いております。この場を借りて須藤様に感謝申し上げます。

ランサムウェア演習

基調講演後は、グループセミナーです。今回のグループセミナーは仮想中堅企業がランサムに感染し、いくつかの基幹システムが停止した状況から、犯罪集団に身代金を支払うかどうかを議論するシミュレーション形式です。各テーブル６名参加とし、社長、事業部長、リスク担当、広報担当、製造担当、システム担当、に役割を振り、それぞれの立場で意見を述べていく形で進めました。最初に支払う支払わないの意思表示をして、その判断の根拠を示します。

その後、会社の状況が変化します。個人情報の漏洩発覚、身代金減額等の条件が提示され、意見が変更されたり、議論したりを進めます。企業は犯罪被害者です。しかしながら、身代金を支払えば、犯罪組織に資金提供したと非難されることにもなります。復旧には規模によっては莫大な費用が掛かります。身代金を支払わなかったことによる損失で企業経営が立ち行かない場合もあり得ます。刻々と変わる状況に応じて、それらのリスクをどのように判断するかを話し合ってみました。参加者の出身企業の違い、分担した立場の違い、等で想定していない意見や考え方もあり、新たな気づきを得ることができました。なお、正解はないので、何が正しいかを決めてはいけません。今日、サイバー攻撃の100％防御は不可能であることは明白です。

事案に遭遇した時、どのように企業リスクを判断し、被害の最小化を目指しどう対応するのかの参考になれば幸いです。