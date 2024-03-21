サイバーセキュリティ分野では専門的な役割が急速に増えており、これは進化し続ける脅威の状況や、ランサムウェアが多くの企業にもたらしている深刻な影響を踏まえると、驚くことではありません。
そのなかでも、ランサムウェア交渉人の重要性はますます高まっています。ランサムウェア交渉人はサイバー防御の最前線に立ち、サイバー犯罪者と直接交渉し、組織へのランサムウェア攻撃による影響を軽減しようとします。
ランサムウェア交渉人は、技術的知識、心理的洞察力、交渉スキルを独自に組み合わせて持ち、高い緊張感のある交渉環境を乗り切る能力を有しています。彼らの仕事には、ランサムウェア攻撃の仕組みを理解し、組織への影響度や潜在的リスクを評価し、被害を最小限に抑え、暗号化されたデータを回復するための条件を交渉することが含まれます。
今回の独占的で洞察に富むQ&Aでは、ユティカ大学サイバーセキュリティ大学院プログラムのディレクターであり、同大学のサイバーセキュリティ助教授でもあるAndrew Carr氏に話を伺いました。
Carr氏は大手組織で数年にわたり監督職を務め、デジタルフォレンジック分析、脅威アクターの戦術・技術・手順（TTP）、ランサムウェア交渉、漏えい事案に関連するデータ・プライバシー法の適用、サイバーインシデントにおける財務監査上の考慮事項、知的財産盗難の調査、暗号資産の追跡など、幅広い専門知識を蓄積してきました。
ユティカ大学でサイバーセキュリティの学士号と修士号を取得しました。専攻した分野はデジタル・フォレンジックであったため、長年にわたり、デジタル・フォレンジック関連の認定資格をいくつか取得してきましたが、その後失効しました。現在は、GIAC Certified Incident Handler および CipherTrace Cryptocurrency Tracing Certified Examiner の認定資格を保有しています。また、デジタル・フォレンジックとインシデント対応の分野において、累計1,000時間以上のトレーニングにも参加しました。
IBMニュースレター
AI活用のグローバル・トレンドや日本の市場動向を踏まえたDX、生成AIの最新情報を毎月お届けします。登録の際はIBMプライバシー・ステートメントをご覧ください。
ニュースレターは日本語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
私の最初の職務は、ニューヨーク州にある地域犯罪研究所のデジタル・フォレンジック・アナリストでした。その前には地元警察の犯罪研究所でインターンをしていたため、多くの人が通るようなインフラ系の職種からキャリアを始めたわけではありません。大学で学ぶ中でフォレンジックへの強い興味が芽生え、卒業後は迷わずその道に進み、振り返ることはありませんでした。
一般的な交渉では、両者が自分たちにとって最も有利な結果を目指しつつ、相手方とプロセスの健全性を尊重しながら進められます。しかし残念ながら、ランサムウェア交渉では多くの場合、交渉人とその依頼側は最初から不利な立場に置かれてしまうのが実情です。
こうした状況では、暗号化されたファイルの復旧や流出データの抑制といった、被害組織が抱える緊急性の高いニーズを背景に、ランサムウェア・グループがコミュニケーションの進行速度や焦点を支配しようとするため、圧倒的に優位な立場に立つことがよくあります。交渉人は、可能な限り状況の主導権を取り戻し、戦略的なコミュニケーションを駆使して進行のペースを再び握り、データ窃取に関する有用な情報を引き出し、最終的には依頼側にとって可能な限り最善の結果につながる合意を取りつける必要があります。
終始厳しい戦いではありますが、十分な知見と経験があれば、交渉人は依頼者のリスクを最小限に抑えつつ、受け入れ可能な条件を引き出すことがしばしば可能です。
私が学んだ最も価値のあるスキルは、迅速に問題を解決する能力です。インシデント対応は急速なペースで進むうえ、多くの場合、新たな攻撃手法やツールに対処します。そのため、状況に応じて判断しながら臨機応変に解決策を導き出す思考力が求められます。
ランサムウェア交渉でも同じことが当てはまります。多くの場合、復号の必要性、データ窃盗の状況把握、攻撃ベクターの分析といった組織のニーズを考慮しつつ、連邦制裁や脅威グループの出自・関連性などのリスクも同時に評価する必要があります。新しい脅威グループと対峙することも多く、交渉面と支払い面の両方から問題を解決し、クライアントが通常業務に復帰できる一方で、制裁違反のリスクにさらされない方法を見つけ出さなければなりません。適切な人材がそろっていなければ、実に困難な任務になる可能性があります。
ランサムウェア交渉で成功するには、優れたコミュニケーション能力と文章力が不可欠です。多額の金銭や高度に専門的な内容について、通常よりも短い時間で、母国語の異なる相手とやり取りすることが多いため、伝える内容は簡潔かつ正確で、的確に表現されなければなりません。コミュニケーション上の小さな齟齬でも、後の交渉過程で大きな問題につながる可能性があります。
顧客とのやり取りの面でも、この同じスキルが重要になります。ランサムウェア交渉の際、組織は通常、最も困難な状況にあり、関係者は疲弊し、ストレスや混乱を抱えています。そのような状況で、交渉人は議論を主導し、組織のニーズを先読みし、明確で一貫したコミュニケーションを保つことで、自信を示すことが求められます。
組織は私たちに信頼を寄せ、最善の行動を期待しています。そのため、常に組織が理解され、聞き入れられていると感じられるように配慮しつつ、同時に彼らにとって全く馴染みのないプロセスについても十分に理解してもらうことが重要です。
組織のランサムウェア交渉の成功は、代理で交渉を行う人々の専門知識にかかっています。そのため、交渉経験のある企業に依頼することが不可欠です。自力で交渉を試みると、適切な人材を投入したら回避できたであろう深刻な結果を招く可能性があります。サイバーセキュリティ保険会社、サイバー法務事務所、信頼できるインシデント対応事業者などは、交渉に適した人材の推薦を提供できることが多いですが、重要なのはできるだけ早く関与してもらうことです。
ランサムウェアはビジネス環境の新たな現実として避けられないものですが、その困難な道のりを乗り越える手助けをしてくれる人々は存在します。