近年のランサムウェアは暗号化だけでなく、窃取した情報を交渉材料にして要求額を最適化します。そこで問題になるのが、サイバー保険の補償額や契約状況が「支払い余力」の推定に使われ得る点です。保険は事業継続の支えですが、情報管理が甘いと攻撃者に“値札”を渡すことになります。
契約書、補償額、免責、支払いフロー、連絡先(ブローカー、弁護士、交渉支援先)は機密情報として扱う必要があります。情シスだけでなく財務・法務・広報まで含め、保管場所とアクセス権、共有ルールの棚卸しが不可欠です。
攻撃者は侵入後、権限昇格、横展開、バックアップ破壊、情報探索と持ち出しを手順化しています。入口対策に偏ると、侵入後に「何を見られ、何を持ち出されるか」の設計不備が残ります。重要なのは、侵害を前提に“探させない・読ませない・壊させない”状態を作ることです。
OSINTや侵害端末内の文書検索により、委託状況や成熟度まで推測されます。危機対応計画や交渉方針が見つかれば、二重・三重恐喝で揺さぶられる可能性が高まります。危機対応資料も含めたデータ分類と持ち出し対策が求められます。
ゼロトラストは製品導入の話ではなく、「常に検証し最小権限で設計する」前提転換です。まずID起点の侵害に備え、MFA、条件付きアクセス、特権ID分離、PAM、ジャストインタイム権限付与を徹底します。監査ログとセットで運用し、管理者奪取の連鎖を断ちます。
次にセグメンテーションで横展開を抑え、AD・バックアップ・仮想基盤・業務サーバ間の通信を必要最小限にします。東西トラフィックはEDR/NDR/SIEMで可視化し、異常な認証試行や管理共有アクセス、バックアップ破壊の兆候を早期検知します。バックアップは攻撃対象であるため、イミュータブル化やオフライン保管、別アカウント隔離、復旧演習で実効性を担保します。
サイバー保険は有効ですが、加入条件を最低ラインにすると攻撃速度に負けます。保険関連情報の限定共有、保管場所の厳格化、チケットや共有フォルダへの混在防止が基本です。加えて、初動連絡網、権限委譲、社内外ステークホルダー連携を事前に演習し、判断遅延を防ぎます。
身代金支払いの是非は、制裁・法令リスク、再攻撃リスク、復旧可能性、顧客影響を踏まえ、基準を事前に合意しておくべきです。目標は侵入ゼロではなく、侵入されても事業を止めず、重要情報を交渉材料にさせず、説明責任を果たせる状態です。保険は補助輪であり、設計と運用が伴わなければ“値札”になり得ます。
