ランサムウェア攻撃を受けた際には、直ちに事業の優先順位を判断して意思決定することが重要になります。しかし、意思決定の権限と事業全体にわたる説明責任者が誰かを明確に定めていないために、対応と復旧までに時間がかかってしまうケースも多いのが実情です。

組織が危機に関する意思決定の枠組みを事前に定義するためには、事業戦略、組織のリスク許容度、サイバーコミュニケーション戦略に沿った意思決定基準を設定し、危機発生時の技術的および事業的な決定に対する責任の所在を明確にする必要があります。また、設定した意思決定基準を定期的に見直し、組織の変化に合わせて柔軟に対応できるよう丁寧に微調整していくための運用も不可欠となります。

コミュニケーション戦略の策定から脅威の封じ込めと根絶のためのバランスの取れたアプローチ、身代金を支払うか否かの判断に至るまで、危機発生時の意思決定の枠組みを文書化してシミュレーションしておくことが、危機発生時に迅速に対処して被害を緩和するために役立ちます。

出所：アクセンチュアが実施したサイバー調査「Forensics & Incident Response Engagements（フォレンジックおよびインシデント対応に関する活動）」

事業活動とセキュリティ対策をより詳細に整合させておく必要があります。サイバー攻撃の発生前後や発生時に、特に問題となりやすい課題として次の3つが挙げられます。

ランサムウェア攻撃はセキュリティだけの問題ではなく事業リスクに直結するため、アップデートしていない危機対応計画では対処しきれません。

企業の危機対応はチームで臨むべきです。今日の破壊的脅威であるランサムウェア攻撃に対しても、事業にフォーカスした危機管理機能を確立しておくことが肝要です。

現行のクライシス・コミュニケーション戦略では、新たなサイバー攻撃の複雑性に適応するための透明性と俊敏性が不足しています。

業界、規制、顧客に対する理解を深めるとともに、あらかじめ意思決定の枠組みを定義しておくことで、より強固なクライシス・コミュニケーションが可能になります。

ランサムウェア攻撃は国境に関係なく、企業、サードパーティーのエコシステム、様々なステークホルダーに被害を及ぼします。

攻撃の対象と領域が広がるにつれ、顧客、グループ企業、サプライヤー、投資ポートフォリオ、Ｍ＆Ａ対象企業への影響に対処できるよう、危機対応範囲を拡張する必要があります。

組織のランサムウェア攻撃への対応を最新化し、備えを万全にするために、次の3つの実用的なアプローチが有効です。