実際にあったインシデント対応事例と損害額から紐解く──インシデントレスポンスの重要性と実効性のある対策

まずは1つの事例からご紹介します。
ある日、情報システム部のAさんのもとに、社員から「PCの調子が悪い」と一本の連絡が入りました。調べてみると、どうやらAD（Active Directory）に関連する機能に不調があるようです。AさんがADサーバーを調査したところ、そこで目にしたのはランサムウェアらしき不審な痕跡でした。

事態を察したAさんは、感染拡大を防ぐため、ひとまず社内ネットワークを全て遮断しました。しかし、これはあくまで応急処置です。ネットワークを止めている間、当然ながら業務は完全にストップします。一刻も早く復旧させなければならないという強いプレッシャーと焦りが、Aさんを襲いました。
そこでAさんは、以前そのADを構築してくれたITベンダーに助けを求めました。しかし、返ってきたのは「うちはあくまで構築のみで、セキュリティ観点の調査は対応できません」という無情な言葉でした。
頼りの綱を絶たれたAさんは、「次に何をすべきか、何から手をつければいいのか全く分からない」という状態に陥ってしまいます。その間にも、業務が止まっている現場の社員からは「まだ復旧しないのか！？」という突き上げが、上司からは「どうなっているんだ、すぐに報告しろ！」という叱責が矢のように飛んできます。
Aさんは「誰も助けてくれない…」と、たった1人で巨大な問題に立ち向かうという、精神的に極めて過酷な状況に追い詰められてしまったのです。
ここで少しお話ししたいのですが、私たちがお客様にご提案する中で、「何か起きてからでないと対策は難しい」というお話をよく伺います。しかし残念ながら、事が起きてしまった時に矢面に立ち責められてしまうのは、情報システムの担当者様ご自身です。そして、営業停止期間が長引けば長引くほど、会社の損害は膨れ上がり、その責任はさらに重くのしかかります。
さて、事例に戻ります。万策尽きたAさんは、やっとの思いでITセキュリティを専門とするベンダーに相談することを思いつき、私たちＮＳＤにご連絡をいただきました。私たちはすぐに状況をヒアリングし、原因特定のためにフォレンジックの専門業者をアサインするべく、迅速に動き出しました。

ご相談から数時間後には、複数社のフォレンジック業者との打ち合わせを設定。Aさんは社内での承認を得て、最終的に1社を選定し、ようやく事態は専門家の手に委ねられ、収束へと向かっていきました。

専門家によるフォレンジック調査の結果、明らかになったのは以下の事実です。

• 被害範囲
  ネットワーク遮断による営業停止期間は2週間超。幸い情報漏えいの痕跡は見つからなかったものの、調査対象外の端末まで含めて攻撃の痕跡が完全に根絶できたか、という不安は残る結果となりました。

• 侵入経路
  海外IPアドレスからのVPN経由での侵入。原因は、ユーザーのVPNアカウント情報の窃取でした。

• 調査・対応費用
  フォレンジック費用として、ADサーバー1台あたり約250万円。これが複数台となれば、数百万円という金額になります。Aさんは、この高額な費用を緊急で即日決裁してもらう必要にも迫られました。

このお客様は、情報漏えいがなかったことが不幸中の幸いでした。もし漏えいが発生していれば、影響範囲の調査のために調査対象端末はさらに増え、費用は青天井に膨れ上がっていたでしょう。
他にも、実際にインシデントによって甚大な損害を受けた企業の公表事例を2つご紹介します。

某大手ファッション専門チェーンでは、システム停止により自社ECサイトが8日間休止。その結果、売上高で約20億円、営業利益で約14億円もの逸失利益が発生しました。

日本の某大手電子機器メーカーでは、サーバーが2ヶ月間休止。その影響はさらに大きく、売上高で約130億円、営業利益で約40億円という、桁違いの損害を被りました。

これらの事例が示す通り、インシデントによる損害は、1日また1日と、時間と共に雪だるま式に増え続けていきます。この連鎖を断ち切るためには、何よりも迅速な業務再開が不可欠であり、そのためにインシデント発生時の「初動対応」が極めて重要になるのです。

では、その重要な「初動対応」とは、具体的に何を指すのでしょうか。
それが、「ファストフォレンジック」です。

インシデント発生直後は、どこまで被害が広がっているのか、どの端末が安全で、どの端末が危険なのかが全く分かりません。この状態で闇雲にシステムを復旧させようとすると、潜伏していたマルウェアが再活動し、被害がさらに拡大する「二次被害」を引き起こしかねません。
ファストフォレンジックを活用することで、まずは「どこまでが被害範囲か」を迅速に特定し、安全な領域と汚染された領域を切り分けることができます。これにより、安全が確認された部分から段階的に業務を再開するなど、的確な初動対応が可能になるのです。

続いて、2つ目の事例です。これは、セキュリティ対策としてMDR (Managed Detection and Response) サービスを導入していた、ある企業様でのお話です。

ある日、この企業でVPN経由での攻撃・侵入が発生しました。しかし、導入していたMDRサービスがすぐに異常を検知。感染した端末を特定し、無事に隔離することに成功しました。担当者のAさんは「MDRサービスに入っていて良かった！」と胸を撫で下ろし、上司に報告します。
しかし、上司からの返答は意外なものでした。「感染端末は分かった。だが、攻撃の踏み台になったサーバーはどうなっているんだ？本当の感染源は特定できたのか？」
AさんはすぐさまMDRベンダーに確認を取りました。すると、返ってきたのは衝撃的な一言でした。
「感染端末の検知・調査はサービス範囲内ですが、それ以外の端末（踏み台サーバーなど）の調査や感染源の特定といったインシデントレスポンスは、オプション契約となり追加費用がかかります」

MDRサービスがインシデント対応のすべてをカバーしてくれると信じていたAさん。しかし現実には、契約範囲はあくまで「感染が検知された端末」のみであり、それ以上の調査には追加費用が発生することが発覚したのです。上司に報告すると、「いくらかかるか聞いてこい」と指示が飛びます。
ベンダーに確認したインシデントレスポンスの追加費用は200万円。高額な費用と「契約時にそんな話は聞いていない…」という事実に、Aさんは愕然としました。
しかし実は、このようなMDRサービスへの不満は決して珍しい話ではありません。

• 「インシデントレスポンスは、被害に遭った時に別料金で追加すればいいと言われた」

• 「インシデントレスポンスまで含めると、金額が高すぎて手が出なかった」

• 「調査はしてくれたが、『安全です』という宣言（保証）はSOC担当者から出ず、精神的な負担が大きかった」

• 「オプションのインシデントレスポンスは120時間限定で、これでは不十分ではないか不安だ」

といった声は弊社でも多くのお客様から耳にします。

この事例が私たちに教えてくれる教訓は、極めてシンプルです。それは、MDRサービスを利用していても、インシデントレスポンスを無償で実施してくれるとは限らない、ということです。
「Detection（検知）」と「Response（対応）」を謳うMDRサービスですが、その「Response」がどこまでの範囲を指すのかは、ベンダーや契約プランによって大きく異なります。感染端末の隔離までで終了なのか、原因究明や根絶、復旧支援まで含んでくれるのか。
だからこそ、皆様がMDRサービスを選定する上で最も重要視すべきポイントは「完全なインシデントレスポンスが、標準サービスとして含まれているか」を確認することなのです。

この重要なポイントをクリアし、私たちが自信を持ってお勧めするのが「SOPHOS MDR Complete」です。
まずSOPHOS（ソフォス）社は、1985年に英国で創業した法人向けセキュリティのグローバルリーダーです。MDRサービスの導入企業数は世界No.1の28,000社以上という圧倒的な実績を誇ります。
SOPHOS MDRのサービスは、大きく3つの軸で構成されています。

この「インシデント対応」の範囲こそが、SOPHOS MDR Completeの最大の強みです。サービスプランには「Essentials」と「Complete」の2種類がありますが、その違いはまさに完全なインシデントレスポンスが含まれるか否かです。

• Essentials
  「脅威対応」として、まずは被害拡大を食い止めることにフォーカスします。

• Complete
  食い止めるだけでなく、組織内に他に影響はないか、攻撃の足がかりは残っていないかを徹底的に調査し、攻撃の全容を解明。それに基づき、今後の恒久的な対策まで案内します。

インシデント対応サービスが標準で含まれていることには、5つの大きな利点があります。

1. 即時対応が可能：インシデント発生後、業者選定や契約といったプロセスが不要。

2. 迅速な初動対応：24時間365日の定常監視により、異常を即座に察知。

3. 手掛かりなしの調査：EDRで検知されないような巧妙な攻撃でも、侵害の有無を調査可能。

4. 依頼の障壁が低い：追加費用の心配なく、ためらわずに専門家への調査を依頼できる。

5. 担当者の精神的負担軽減：実際に調査したアナリストと直接やり取りができ、一人で抱え込む必要がない。

以下の3点がSOPHOS MDRの最大の強みとなっています。

1. 24時間365日の対応

2. 時間無制限のインシデントレスポンス

3. 万が一の暗号化被害に対する補償

また、他社サービスとの比較でその優位性はより明確になります。

多くのMDRサービスが、専門家による調査や対応を平日の日中に限定したり、対応が端末隔離のみに留まったりするのに対し、SOPHOSは検知から調査、そして脅威の完全な除去までを一貫して24時間365日体制で実施します。この対応の質はスピードにも表れており、検知から対応完了までの平均時間はわずか38分です。
また、ビジネス面でも大きな違いがあります。大規模契約が前提の他社とは異なり、SOPHOSはこれらの高機能なサービスが1ライセンスから契約可能なため、「特定の部署だけを強固にしたい」「重要なサーバーだけ守りたい」といったスモールスタートにも柔軟に対応できます。

さらに、自社のEDR製品だけでなく、他社製ファイアウォールなどのアラートも取り込んで分析・調査が可能な点も、大きな強みです。
私たちNSDは、SOPHOS社認定のプラチナパートナーです。10年以上にわたる取り扱い実績と、多数の資格保有者による高い技術力で、お客様の環境に最適なご提案から構築、運用までをワンストップでサポートいたします。
さらに詳しくお知りになりたい点や疑問点がございましたら、ぜひ以下よりお気軽にお問い合わせ下さい。

お問い合わせ：https://www.products.nsd.co.jp/service/sophos/