第7章 インシデント対応計画を作成する

ランサムウェアは、対応策を準備せねばならない恐るべき武器へと発展した。個人ユーザを狙った厄介な存在として始まったものが、国家が関与することも多い本格的な犯罪組織へと変貌し、企業や政府、さらには重要インフラを標的としている。近年では、大規模なランサムウェア攻撃がサプライチェーンを崩壊させ、ヘルスケアシステムを機能不全に陥らせ、組織に身代金支払い、復旧費用、生産性損失として数十億ドルの損害をもたらす事例が確認されている。 これらの攻撃の洗練度と頻発化が明らかにしていることがある。ランサムウェアの標的になる前に、確固たるインシデント対応計画（IRP）を整備しておく必要があるということだ。

優れたランサムウェア対応計画は災害時の行動指針のようなものだ。攻撃の検知、封じ込め、除去、復旧までの手順を明確に定めている。これがなければ、停止時間の長期化、より大きな金銭的損失、機密データの流出や公開リスクが高まる。計画を適切に実行できれば、迅速な復旧と数週間（あるいはそれ以上）の損害対応モードの継続という差が生まれる。

しかし文書化された計画は第一歩に過ぎない。真のテストは、プレッシャー下でチームが実行できるかどうかだ。そこでテーブルトップ演習（TTX）やサイバー戦争ゲームが重要になる。 管理された環境でランサムウェア攻撃を模擬的に実行することで、チームの実際の準備状況を把握できる。計画の欠陥を発見し、意思決定を研ぎ澄まし、混乱時に全員が役割を理解していることを確認する最良の方法だ。まずは高レベルのテストから始め、計画と評価プロセスに経営陣を必ず参加させること。その後、より技術的に詳細な追加テストを実施する。

本章では、明確な目標設定や役割定義から封じ込め・復旧戦略の策定まで、効果的なランサムウェア対応計画の構成要素を分解する。また、実際の攻撃前に計画をテスト・改善するための効果的なTTXやウォーゲームの設計・実施方法についても説明する。最終的には、ランサムウェアに信頼性を持って対処するための明確なロードマップが得られるだろう。

基本条件：IRP作成前に

を起動してインシデント対応手順を書き始める前に、まず実際に整えておくべきものについて話そう。基盤となる要素だ——IRPが構築される土台となるものだ。家を建てることに例えよう：基礎を打たずに壁のフレームを始めたりしないだろう？ ここでも同じだ。

以下の5項目はIRPの一部ではない。前提条件だ。一つでも欠けていれば、IRPの価値は大きく損なわれる。計画そのものが悪いからではなく、適切に実行する体制が整っていないからだ。だから、文書化前に確実に整えるべき事項を以下に示す。

1. 経営陣の支援を得る

必要なのは、事態を理解している生身の実力者だ。会議ではうなずくが、予算シーズンになると姿を消すような人物ではない。インシデント対応が単なる「あれば良いもの」ではないと理解し、必要な時に物事を動かす力を持つ経営陣レベルの支援者を指す。 ...