アリかナシか、ランサム攻撃の身代金支払いと交渉 有識者たちの見解は……

　例えばSOC（Security Operation Center、システムへの脅威を24時間365日体制で監視・分析する）機能を提供すると、相当な売上になると聞きます。インシデントが起きれば、さらに追加で費用を上乗せできるのでしょうね。ただ、あくまで簡易的なことしかしない、あるいはできないセキュリティベンダーも増えているように思います。

辻氏：そういうベンダーがいう「監視サービス」も、本来のものとはちょっと意味合いが変わってくる場合もでてくるのかなと思います。しかも良くない方に。現状のクオリティを維持し続けることによって生じる人件費だと勝負できなくなってきますので、質を下げたオフショア対応になるかもしれません。

　そうすると「監視やっています（なんちゃって）」みたいな状態になることも考えられます。結果として、これまで真面目にやってきたベンダーが、競争力を失ってしまう。

北條氏：そっちの方が全体的な金額が安くなるから、契約を取りやすいのかもしれませんね。依頼する企業もインシデントが発生するまでどのような対応をしてくれるのかをきちんと理解せず契約している可能性もあります。個人的には、そういう良くないベンダーは、インシデント対応の経験が全くない未経験者も監視の人員として割り当てているような気がしているんです。

辻氏：下手したら人じゃなくてAIかもしれない（笑）

北條氏：そういう人たち、あるいはAIかもしれません（笑）が、最新の情報が収集できていない可能性が高いと思うんですよ。しかし、被害に遭った企業は、そのような状況は分からないですから、ベンダーを信用して依頼しているわけですので、言われるがままに信じると思います。本来、セキュリティベンダーは「常に最新の情報を手に入れよ」ということが必須であってほしいのですが、そのような義務があるわけでもなく、なかなか難しい話なんでしょうね。

辻氏：僕もリークを伴うランサムギャングを4～5年間見ていますけど、「二重脅迫」だけでも移り変わりありますもんね。VMware ESXiのソースコードがリークされてからは、ギャングの仮想環境への対応も早かったんですよ。漏えいしたソースコードの一部を流用しているんだと思うんですけど、そういう移り変わりをキャッチアップすることは結構大変だと思う。

　大手のしっかりしているセキュリティベンダーだとしても、このジャンルは詳しいけど、このジャンルは弱いとかっても多分あるんじゃないかなと思います。