ランサムウェア被害からの復旧計画、重要なポイントを知っていますか？（2/2 ページ）

[石井晃一，Rubrik Japan]

企業が意識すべき4つのポイント

　では今後ランサムウェア攻撃に対処する上で企業はどのような対策を講じればいいのでしょうか。企業が意識すべき4つのポイントを紹介します。

ポイント1．バックアップシステムの強化

　ランサムウェア攻撃が激化し、いつ被害に遭ってもおかしくない今、企業はセキュリティ機能を強化したバックアップシステムを構築し、常にデータを復旧可能な状態に維持することが求められています。

　具体的にはゼロトラストの考え方を根幹に据え、「データのレジリエンス」「データオブザーバビリティ」（可観測性）「データリカバリー」を3つの柱としたシステムを構築することが効果的です。

　データの場所を外から見つけられないようにした上で、データを改ざんできない仕組みを構築しましょう。これによって、サイバー攻撃からデータを保護しつつ、万が一ランサムウェアに感染してもデータを迅速に復旧できます。

ポイント2．データオブザーバビリティ機能の導入

　ランサムウェア攻撃による影響を即座に理解するためには、データオブザーバビリティ機能を導入してデータの可観測性を高めることが有効です。セキュリティ担当者は常に自分たちの機密データが本当に安全かどうか、データの異常な削除や改ざんが発生していないかどうかについて心配しています。また、サイバー攻撃を受けたことに気が付かないケースも多く、発見してもバックアップに侵入されたのはいつか、機密データが影響を受けたのかどうかなどが分からず、対処に時間がかかってしまうこともあります。

　これらを回避するためには、自社が抱える全てのデータを観測可能にし、継続的にリスクを監視して機密データの漏えいや侵害の兆候をリアルタイムで発見することが求められます。データオブザーバビリティ機能を導入し、影響を即座に把握できれば、復旧対象の明確化と復旧の工数や時間を見積もることができ、実作業に迅速に取り掛かれるでしょう。

ポイント3．システム内の機密情報の所在を可視化

　実は驚くほど多くの企業が機密データの所在を把握していません。ランサムウェアに感染したデータが身代金の支払いを検討すべき重要なデータだったのかどうかが分からないといった声を聞くことがあります。データの所在を可視化することで、暗号化されたり、漏えいしたりしたデータ内の機密情報の有無を即座に理解し、しかるべき報告や対応の初動を迅速化できます。

　データの復旧では安全な時点はいつまでなのかを把握し、マルウェアの再感染を防ぎながら、必要なデータだけを安全かつ迅速に復旧することが重要です。

ポイント4．データ復旧のプロセスを定義し、日頃から復旧訓練を実施

　どのくらいのスピードでデータを復旧できるのか、どのような手順で、誰が主導して実行するのかなど実際のシナリオを想定した訓練をすることで、有事の際の復旧作業を簡略化し、復旧までの時間を短縮できます。どの範囲を復元するのかといった優先順位付けやどのアプリケーションなのか、1時間後の復旧でも問題ないのかなど、綿密な復旧計画を作成することが重要です。

　復旧計画において重要な要素を以下に紹介します。

• トリガーとなるファイルの発見：まず攻撃のトリガーファイルを発見し、全てのデバイスから除去します
• 攻撃種類の確認：ランサムウェア攻撃の種類を特定すれば、次のステップが決定しやすくなります。ランサムウェアは基本的に画面ロック型と暗号ベース型の2種類があります
• 全デバイスの隔離：ランサムウェアの影響を限定します。攻撃の拡散を防ぐために、全ての脆弱（ぜいじゃく）なデバイスをネットワークから切り離します
• ランサムウェアの把握：ランサムウェア攻撃の種類によっては、Webベースのソフトウェアでデータ復元が可能かもしれません。ランサムウェア暗号解除ツールを使えば、暗号化されたファイルの復号ができる可能性があります
• ファイルシステムのリストア：理想は「失われた」データをできるだけ多くリストアすることです。バックアップデータを使えばそれが可能ですが、注意が必要です。マルウェアがアーカイブバックアップに潜んでいる可能性があるため、リストア前に、全てのシステムでマルウェア対策パッケージを実行します

　ランサムウェアは2023年においても、新たな手法の出現とともに今後も組織にとって大きな脅威となるでしょう。組織のビジネスの継続性を守り、攻撃を防ぐための対策に加え、攻撃を受けた際にデータを復旧できるよう、復旧計画の策定と日頃の実践的なトレーニングを心掛けましょう。