今こそ見直すべきランサムウェア対策 脆弱性管理からバックアップまでのポイントは：今日から始めるサイバーレジリエンス実践ステップ（1/2 ページ）

ランサムウェア攻撃が激化する今、サイバーレジリエンスの強化が企業には求められている。では具体的に何をすればいいのか。脆弱性管理からバックアップのポイントを解説する。

[扇 健一，株式会社日立ソリューションズ]

　本連載「今日から始めるサイバーレジリエンス実践ステップ」は、“サイバーレジリエンス”という広義の概念をかみ砕き、その構成要素を明らかにした上で、筆者の体験や生の声、ユースケースを通して組織のサイバーレジリエンス能力向上と実践に役立つ情報をお伝えしている。第1回では、サイバーレジリエンスが注目される背景とその構成要素を解説した。

　ランサムウェア攻撃が激化しているのは読者も承知の通りかと思うが、警察庁発表の「令和4年におけるサイバー空間をめぐる脅威の情勢等について」によると、その感染経路としては、2022年はVPN経由が多かった。これはVPNのセキュリティパッチの適用漏れなど脆弱（ぜいじゃく）性対策の不備や認証強度の弱さが原因となっている。

　ランサムウェアは企業のセキュリティの弱い部分を突いて内部に侵入し復旧を遅らせて身代金の獲得率を上げるため、最近ではバックアップシステムにまで感染を拡大させる。第2回となる本稿は、こうした侵害パターンに対してサイバーレジリエンスの観点からどのような防御を講じればいいかを考えていく。

ランサムウェア対策として“まずやるべきこと”

　早急な対策としては、VPNにおけるセキュリティパッチの適用と認証の強化が挙がる。この対策はインターネットに接続しているVPNやファイアウォール、Webサーバなどの資産に加え、インターネットに接続される可能性があるPCやクラウド環境などに対して優先して実施すべきだろう。

　それに加えてランサムウェアの侵入を許した場合も考慮し、内部ネットワークに接続している資産に対する「脆弱性対策」や「ランサムウェアの拡散防止」「バックアップシステム」などを、ツール・システム、人・組織、プロセスの観点で見直す必要がある。順を追って見ていこう。

脆弱性管理でセキュリティ担当者が直面する2つの課題

　脆弱性を管理する際は、「ITベンダーに任せる」あるいは「自社で実施する」の2通りだと思われがちだが、筆者が企業の情報システム部門にヒアリングしたところ、以下のような課題があることが分かった。

　1つ目はITベンダーに脆弱性管理を任せているつもりだったが、実際にはその業務が実施されていなかったケースだ。ITベンダーが脆弱性管理の重要性を理解しておらず、かつ契約上明確に業務を依頼されていない場合に発生することがある。2021年10月に発生した医療機関を標的としたランサムウェア攻撃もこのケースに該当する。

　この事件をきっかけに最近、ITベンダーにセキュリティ設計や脆弱性管理を任せているつもりになっていた企業が、自分ごととして自社でセキュリティを検討するようになってきた。当社でもそのための検討支援を求める相談は増えてきており、今後も増加すると思われる。

　2つ目は脆弱性情報を収集しているが、情報システム・セキュリティ担当者の負荷が高く、管理や運用ができていないケースだ。脆弱性を管理するためには、まず自社で保有しているIT資産やクラウドの契約状況を把握し、OSやインストールされているアプリケーションを洗い出し、それらに関係する脆弱性情報を収集および照合、必要なセキュリティパッチを適用する必要がある。

　これらの作業は、情報システム担当者だけでは難しく、従業員やパートナー企業にも協力を依頼する必要がある。実際、手順の整備や問い合わせ対応、状況把握、フォローなど一連の作業を実施するには情報システム担当者に高い負荷がかかる。脆弱性は、セキュリティパッチが発行される対象のOSやアプリケーションのプログラム上の問題だけでなく、OSやアプリケーション、機器、クラウド環境のセキュリティに関する設定など、広範にわたって含まれている。

　ではこれらの課題解消を支援するソリューションとしては何があるのだろうか。