ランサムウェアの対応
ランサムウェア対応では「フォレンジック」「封じ込め」「業務継続」「復旧」の各フェーズにトレードオフが存在します。封じ込めを優先すれば感染拡大を防げますが、ネットワーク遮断で業務が停止し、フォレンジックや復旧が遅れる可能性があります。業務継続を重視すると、感染が広がるリスクや証拠データの破壊でフォレンジックが妨げられることがあります。一方、復旧を急げば、感染源が未特定のまま再感染を招き、フォレンジックの機会損失に繋がる可能性があります。それぞれの優先度はシステムの重要性や被害規模、業務の性質によります。事前にインシデント対応計画を策定し、状況に応じた最適なバランスを取ることが不可欠です。