ランサムウェア対策、“バックアップだけ”はバックアップにあらず 米セキュリティ企業が考える最新対策法(3/3 ページ)
企業データを盗み取り、身代金を要求する「ランサムウェア」への対策は、単なるバックアップだけでは足りない。いまのランサムウェアに対する正しい対策方法を、情報セキュリティ企業・米RubrikのCEOが語った。
浮かび上がった「ゼロトラスト」の概念
こうしたトレンドの中で注目を集めているキーワードが「ゼロトラストセキュリティ」(以下、ゼロトラスト)だ。概念自体はサイバーセキュリティの世界で比較的昔からあるものの、バズワードとして広くキーワードが掲出されるようになったのは割と最近のことだ。
サイバーセキュリティの世界は「境界」という概念から発展してきた。インターネットと社内ネットワークが接続される過程で「DMZ」(非武装地帯)の概念が持ち込まれたように「外の世界は危険だから、“中”との境界に緩衝地帯を設置して防御しよう」というものだ。
だが防御技術の発展と攻撃技術の進化は表裏一体であり、イタチごっこの側面もある。マルウェアの進化と亜種の出現率は大きく上昇し、人手を介した防御対策は限界が近くなった。またネットワークのハイブリッド化が顕著になるにつれ「“中”だから安心」という前提は崩れつつある。
ゼロトラストの考え方は、「そもそも“全て”を信用しない」という部分からスタートしている。全ての挙動をチェックし、企業の最大の資産であるデータアクセスにおいて、その検証を行うことで脅威を防ぐことも目標にする。
ゼロトラストがバズワード化する過程で米Forrester Researchをはじめ、調査会社やコンサルティング企業などがそれぞれにゼロトラストの考え方やフレームワークを表明するようになったが、現在では米国の標準化機関であるNISTが提唱する「SP 800-207: Zero Trust Architecture」が事実上のスタンダードとして機能している。
2020年に提唱された仕様なだけあり、ハイブリッド環境での運用が考慮されており、全てのリソースへのアクセスを所定のポリシーに基づいて実施するよう取り決めている。日本語訳としてはPwCが用意している文書があるが、Microsoft 365などクラウド上のサービスへの攻撃も深刻化する中、こうしたポリシーに基づいた運用管理が最も重要になるといえるだろう。
攻撃を乗り越え、いかにビジネスを継続させるか
ゼロトラストの概念を導入したとして、侵入そのものを完璧に防げるわけではない。いかに攻撃につながる不審な行動を発見し、万が一のときには素早くデータを復旧、ビジネスの継続性を高めることが重要だ。
さきほども触れたが、そもそもバックアップデータ自体がランサムウェアの標的になっている可能性もあり、バックアップではデータの復旧が行えないケースもある。
そうした対策を行うソリューションが必要であり、実際に同様の被害を受けた組織に対して“新しい概念”からのバックアップソリューションを提供している企業の一つがRubrikだ。2015年設立の比較的若い会社だが、もともとGoogleで関連開発をしていたメンバーなどが集まって創業されたベンダーでもある。
Forward 2022では「Rubrik Security Cloud」を発表しており、3つの観点から企業や組織内のデータを保護する仕組みを提供するという。
Rubrikのバックアップ機能はアプライアンスサーバ(特定機能に特化したサーバ)を通して提供する。オンプレミス向けであればサーバにインストールされたソフトウェアを通じて、クラウドであればAWSやMicrosoft Azureといった特定のIaaSやPaaSなどのインスタンスを通じてバックアップ機能を持つソフトウェアが動作するという。
「Rubrik Security Cloud」はそれらを包括して管理する仕組みであり、「Data Resilience」(データの回復力)、「Data Observability」(データの監視可能性)、「Data Recovery」(データの復旧)の3つの機能を提供する。
具体的には複数要素認証によるアクセス制御を通じての論理データ保護のほか、AIの機械学習を使ったデータアクセスの挙動分析、過去に記録されたスナップショットを遡っての攻撃ポイントの特定、ポリシーに応じたセンシティブなデータのモニタリング、マルウェアの検疫と攻撃対象となっているデータのアクセス制限などだ。
ネットワークの内外をまたいで全てのデータを監視できるため、オンプレミスとクラウドで“境界”を意識する必要がないのも大きい。
ランサムウェア急増の背景を受け、現在世界中の企業や組織がその対策に追われている。既存ツールのみでは対策が不十分というケースもあり、Rubrikのソリューションもその過程で導入されることが多いようだ。例えばMicrosoftとRubrikの戦略提携が昨年8月に発表されているが、これはMicrosoft 365でのランサムウェア被害とリスクが急増したことが背景にある。
シンハCEOによれば「(ランサムウェアなどの攻撃が)もともとMicrosoftの提供していたソリューションの範囲外にあったこともあり、Rubrikのソリューションが補完関係にあった」という。提携によってMicrosoftのサービスのみでは提供されない機能が用意されるようになる。
ランサムウェア対策はもはや社会全体の問題
日本においては、Rubrikのソリューションに非常に大きな興味を持っている業界として製造業、金融、医療機関、リテールの3つが主に挙げられるという。
22年3月には部品メーカーのデンソーがランサムウェア被害に遭ったことが報道されたが、トヨタ自動車など日本の製造業のサプライチェーンになくてはならないメーカーへの攻撃であり、被害の周辺への波及は日本経済にとって大きな打撃となりかねない。
金融、医療、小売もサービス業で重要なインフラの一つとなっており、ビジネスが一定期間ストップする影響はその企業にとどまらない。ランサムウェア対策は、すでにそれだけ重要な意味を持つ段階にきているというわけだ。
関連記事
- ランサムウェアの知識、古くなってない? 従来型とは別手法の「システム侵入型」が台頭
ランサムウェアによる被害は以前から継続してあるが、その攻撃手法は大きく変わってきた。近年問題になっているのは、人間がシステム内部に侵入して作業する「システム侵入型ランサム攻撃」が増えており、対策のためにも知識のアップデートが必要だ。 - デンソー独法人にサイバー攻撃 犯罪グループ「Pandora」がダークウェブで犯行声明
デンソーのドイツ法人がランサムウェアを使ったサイバー攻撃を受けた。サイバー犯罪グループ「Pandora」がダークウェブ上で犯行声明を出している。 - ランサムウェアグループ、ロシア政府支持を一時表明 ロシアを標的としたサイバー攻撃に「持てるリソースを全て注ぎ込み報復」
ランサムウェア「Conti」を開発する犯罪グループが、ロシアとウクライナの情勢についてロシア政府を支持する声明を発表した。 - ASUSTORのNASでランサムウェア被害 一部サービス停止 緊急アップデート配信へ
台湾ASUS傘下のASUSTORが手掛けるNASでランサムウェア被害が確認された。「Deadbolt」と呼ばれており、同社は一部サービスを停止。専用OSの緊急アップデートを配布予定としている。 - 愛知県PCR検査システムにランサムウェア攻撃 個人情報漏えいなど二次被害はなし
愛知県は、PCR検査のデータを管理しているシステムにランサムウェア攻撃を受けたと発表した。10日時点で個人情報漏えいなどの二次的被害はないという。
Copyright © ITmedia, Inc. All Rights Reserved.