検索
連載

被害後に気付く企業が続出 ランサムウェア対策の「抜け落ちたピース」データ保護から始める最終防壁構築(1/2 ページ)

ランサムウェア被害が激化する中、バックアップを取っていても「復旧できない」企業は後を絶ちません。なぜ対策しているはずの組織が被害から立ち直れないのでしょうか。データ保護の“最後の砦”を機能させるための5つのポイントを解説します。

Share
Tweet
LINE
Hatena

 ランサムウェア対策におけるデータ保護の重要性を掘り下げる本連載。これまで3回にわたってランサムウェア被害に関する以下の“怖い話”を紹介しました。

  1. オリジナルデータがすでに暗号化されていたことに気が付かずバックアップをしていた結果、リストアに失敗した
  2. 暗号化されたファイルを特定したり、暗号化前のバージョンを探すためにバックアップの世代を一つずつさかのぼったり、リストアのためにバックアップサーバやストレージなどの環境を用意したりするのに時間がかかり、すぐにリストアできなかった
  3. データを窃取されて恐喝されたが、被害範囲を特定できなかった

 最終回の今回は、これらの怖い話を踏まえてランサムウェア対策を進める上で見落としがちな5つのポイントを紹介します。

ランサムウェア対策で抜け落ちている5つのピースとは?

 ITインフラを構成する3つの要素としては「サーバ」「ストレージ」「ネットワーク」があります。

 ただ、ランサムウェア対策においては、パスワード管理や脆弱(ぜいじゃく)性対策、情報権限保護(IRM)、多要素認証、EDRなど、サーバを含むエンドポイントやネットワークにおける、防御中心の対策に目が行きがちです。

 ストレージにおける対策は「これまでと同様にバックアップを取って残しておく」くらいで、多層防御という観点ではストレージにおける対策にはあまり注意が払われていないのが実情です。

 しかしデータを記録して保管するストレージは、サーバからのアクセスがネットワークを介して最後に行き着く場所であり、見方を変えればランサムウェア攻撃に対する「最後の砦」「最終防壁」といえるでしょう。

 筆者はこれまでセミナーやワークショップの開催などを通して、さまざまな企業団体のITインフラ担当者やセキュリティ担当者から対策状況や悩み、ランサムウェア被害者から教訓を聞いてきました。その際に多くの方が「被害に遭って初めてそれに気が付いた」「言われて初めて事の重大さに気が付いて見直しをした」と言っていたのが印象的でした(※1)。

(※1)セキュリティ部門はPCやスマホを中心としたワークプレース周りのエンドポイントやネットワークのセキュリティ向上に力を入れる一方、ITインフラにおける対策検討と実装は情報システム部門に任せるケースが多いようです。両部門の分断は、社内規程の見直しや対策推進に向けた予算措置などが進まない要因の一つになっています。


 そこで本稿では、ストレージにおけるランサムウェア対策を以下の5つのポイントに整理して解説します。

  1. 最小権限の原則と権限保護
  2. 各種ログの取得と保全
  3. 保護された複数世代のバックアップ
  4. 攻撃の早期検知
  5. 素早く柔軟に実行できるリストア

最終防壁構築のポイント1: 最小権限の原則と権限保護

 「最小権限の原則」とは、何かの処理を遂行するために必要最低限のアクセス権限のみを与える、というセキュリティの考え方です。ストレージの共有フォルダやボリュームなどで一般ユーザーがアクセス可能な範囲とその権限を業務上必要な範囲に絞ることは当然として、管理者についても業務内容に応じて必要な権限のみを与えるようにしましょう。ストレージの設定変更を担う管理者と、日々バックアップを実行する管理者とでは、必要な権限は異なるはずです。

 この他、船が水密隔壁で区分けされていることで火災や浸水の被害を限定できるように、ストレージを論理的に分割する「マルチテナント」機能を使えば、被害が一気に拡大するのを抑えられるでしょう。

 一方で意外と見落としがちなのが「管理者は無条件で信用してよいのか」という問題です。ストレージ管理者はボリューム丸ごとのデータ一括削除や複製、バックアップの削除など強力な操作が可能です。報酬をちらつかされて教唆されたり、会社に恨みを持っていたりするなどの理由から、ストレージ管理者がなりすまされたり、管理者が悪意を持ってそれらの操作を実行したりした場合、破滅的な事態となることは想像に難くありません。

 この問題の解消に向けて最近では、管理者が特定の操作を実行するときには、別の管理者の承認を必要とさせる機能(MAV:Multi-Admin Verification)が登場しています。操作内容によってはこの機能を事前に有効化にしておくのもよいでしょう。


管理者の操作を無条件で通さない(出典:NetApp作成資料)《クリックで拡大》

最終防壁構築のポイント2: 各種ログの取得と保全

 ログについては、システムログや管理者の操作ログに加え、一般ユーザーのアクセスログも取得しましょう。データ窃取だけでなく、データ暗号化の被害範囲特定にも役立ちます。アクセスログの保持期間は各業界のセキュリティ基準にもよりますが(PCI DSSなど)、ランサムウェア対策という観点では「恐喝されるまでデータの暗号化や窃取に気が付かなかった」という事例もあるため、数カ月から年単位は保持すべきです。

 なお、ログは犯人によって削除されるなど証拠隠滅被害に遭いやすいため、改ざん防止対策を講じることが重要です。

 この他、「仮想マシンでログサーバを立ててログを集約、保管していたが、ハイパーバイザーが乗っ取られて仮想マシンが丸ごと暗号化されてしまいログが取り出せなくなり、初動対応が遅れてしまった」といった事例もありがちです。ログはいざというときに簡単確実に取り出せるようにしましょう。

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ
ページトップに戻る