あなたの企業のバックアップ、本当にランサムウェア対策になっていますか?:半径300メートルのIT
ランサムウェア対策の重要性が叫ばれる今こそ、"机上の空論"にならないセキュリティ対策が必要です。そして今すぐできる対策として筆者はバックアップを推奨しています。しかしただ「取るだけ」では意味がありません。
国内のあらゆる企業からシステム障害の報告が上がっており、その多くが不正アクセスやランサムウェアなどのサイバー攻撃によるものです。サイバー攻撃が当たり前になって久しいですが、ここまでの頻度で実害が発生するのは珍しいように思えます。もはやニュース報道になるものはごく一部であり、あなたの組織のすぐそばでも起きていると認識した方がいいかもしれません。
「標的型攻撃」や「サプライチェーン攻撃」についても、多くの国内事例が出てきています。最近も、名古屋港の「名古屋港統一ターミナルシステム」がランサムウェア被害に遭い、2023年7月4日6時30分から同年7月6日18時15分までシステムが停止したことで話題を集めました。本件は海外ではしばしば発生する、「特定の国の社会インフラを狙ったランサムウェア攻撃」と捉えてよいでしょう。
“机上の空論”にならないセキュリティ対策とは何か
本稿執筆時点で今回のサイバー攻撃に関する詳細な報告書は公開されておらず、これがインフラを狙ったものなのか、それとも単にばらまかれたランサムウェアがたまたま港湾システムに着弾したのかどうかは判断できません。どこの国のサイバー攻撃者がこれを実行し、その裏にどのような思想や意図があったのかについても明らかになってはいません。
ただしそういったものはひとまず後回しで、本稿では「何らかのサイバー攻撃を受け、それがシステムに着弾して目的を達成されてしまった」という1点を考えたいと思います。サイバー攻撃の裏に何があるかを考えるよりも、そもそも攻撃を成立させないことが、私たちの最初のゴールといえるでしょう。
“たられば”の話になってしまいますが、本来であれば平時のタイミングで事前のセキュリティ対策を講じておき、有事の際にそれらの策が正しく回っていたかどうかを把握した上で改善すべきポイントがあればそれを反映する、という良いスパイラルを回すことが重要です。
しかしこれは完全なる“机上の空論”ともいえます。「セキュリティ=売り上げに直結しない」と考えられがちですが、積極的にこれに投資し、余裕を持って対策を講じられている企業はどのくらいいるのでしょうか。そう考えると、サイバー攻撃で実際に被害に遭う企業が続出する現状は、ある意味で必然といえるでしょう。
サイバー攻撃は今や何でもありの総合格闘技で、守る側にも近代五種やトライアスロンのような幅広いスキルが必要とされます。パッと思い浮かべるだけでも、脆弱(ぜいじゃく)性対策やID/パスワードの強化と管理、ラテラルムーブメントの防御といった、「言うは易く行うは難し」な対策が並びます。
これらの対策は平時であれば、重要度順にスモールスタートで導入するのが王道かと思います。筆者としてもこれを推奨していますが、もはや日本のサイバー空間は“戦時中”です。そのような状況で今すぐにできることを考えるとなると、"バックアップの世代設定を確認してテストすること"ではないでしょうか。
そのバックアップは本当にランサムウェア対策になっているか?
まずは皆さんの組織が使用しているバックアップの世代設定を見直しましょう。ある程度の企業規模であれば、システムやファイルサーバのバックアップは取得しているはずですから、その前提で考えます。
バックアップは普段、単に「取るだけ」であり、うまく動いている間はあまり気にされない存在です。昔から稼働しているバックアップシステムは事業継続計画(BCP)や災害復旧対策(DR)をベースにするケースは多いものの、サイバー攻撃を考慮していないこととがほとんどです。サイバー攻撃に向けたバックアップを用意するとなると異なる考え方が必要です。
例えばDR用のバックアップシステムの中には、毎日バックアップを取得しているものの、数世代程度しか残っていないものもあります。しかしマルウェアはシステムに侵入後、すぐに活動するとは限りません。取得しているバックアップの世代数が少ないと、“3日前に戻したらマルウェアも一緒に戻ってしまった。さらに正常なファイルは消えてしまった”なんていうことも起こり得るわけです。
そのためサイバー攻撃に向けたバックアップ対策では、まずバックアップの世代を、それなりに長く保持することが重要です。世代数を確認するとともに、自分の作ったダミーのファイルを消してみて、それを翌日に復旧できるかどうかを確認してみてください。翌週や翌月にこれを復元できるどうかもテストしましょう。まずはファイルサーバをバックアップから戻せることを確認しましょう。システム全体のバックアップの戻し方も、しっかりとマニュアル化されているかどうかが、ランサムウェア攻撃に対する復元力を高める重要なポイントです。
バックアップ設定を変更するための“交渉”をしよう
バックアップの世代数を増やすのは、ストレージ領域を圧迫し、コストの増加にも直結します。ですからこれを実現するには、経営層にランサムウェアなどサイバー攻撃のリスクを理解してもらう必要があります。
もしランサムウェア被害に遭ったとしたら、事業を継続するために何としてもシステムを復旧しなければなりませんが、サイバー犯罪者の要求に屈して身代金を支払うのは経営者にとっても抵抗があるはずです。身代金を支払わず、暗号化されたシステムを元に戻すには、それなりの世代数のバックアップを取得しておくしか手はありません。そのために必要なコストであることを理解してもらえば、サイバー犯罪者との交渉よりも簡単であると、筆者は思います。バックアップ世代を増やすためのコストは、もはや最低限必要なセキュリティ対策の費用と考えてもらいましょう。
企業にはバックアップがなくとも何とかなるデータも存在すると思います。本来であればそういった「情報の分類」を平時の際に実施し、それに沿ったバックアップ手法の検討や世代数の管理を考えればコストも削減可能です。しかし、サイバー攻撃の脅威が高まる中で今からそれらに取り組むには時間が足りません。お金をかけてでもひとまずは守るということになるでしょう。
国境を問わずセキュリティ脅威が高まるサイバー空間においては、サイバー犯罪者にとってちょっとでも「攻撃するのが面倒だ」と思わせることが、被害に遭わないポイントとなるはずです。エンドポイントの防御に関しては「Windows 11」を含めて正しくアップデートを適用すれば、標準でできることも増えます。経営者やシステム管理者、従業員それぞれで、まずはできることから対策を進めましょう。
関連記事
- 名古屋港のシステム障害、原因はランサムウェア 復旧のめどは
名古屋港運協会名古屋コンテナ委員会ターミナル部会は、名古屋港内全てのコンテナターミナル内で運用している「名古屋港統一ターミナルシステム」で障害が発生し、調査の結果、ランサムウェアに感染したことを明らかにした。 - 月額900ドルでマルウェア使い放題 MaaSの知られざる実態が判明
Kaspersky Labは2015〜2022年にかけてマルウェア・アズ・ア・サービス(MaaS)で使われたマルウェアの調査や分析結果を発表した。ランサムウェアをはじめとしたマルウェアの値段やサービスの詳細が明らかになった。 - リソース不足の中堅・中小企業でもできるEDRの現実解とは?
ランサムウェア被害に遭えばデータの消失や漏えい、身代金の支払いを招き、最悪の場合、廃業のリスクもある。これを防ぐためにリソース不足の中堅・中小企業ができることは何か。 - AIを狙ったサイバー攻撃の知られざる世界 専門知識なしでどう対処するか?
生成AIブームが訪れ、各企業がAI開発に乗り出しているが、AI開発プロセスには脆弱性が潜んでおり、これを悪用することでサイバー攻撃が可能になることは意外と知られていない。攻撃の詳細とそれを防御するための方法を解説する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.