ランサムウェア被害例に見る
サイバーレジリエンスの重要性

警視庁が発表した「マルウェア『ランサムウェア』の脅威と対策(脅威編)」によると、2021年下半期に発生したランサムウェアの被害は、2020年同時期に比べ約4倍に増加している※1。実際、いくつか甚大な被害をもたらしたインシデントも確認されている。こうしたランサムウェアの被害が発生した場合、事業を継続するためにはどのような対策が重要なのか。被害事例をもとに考えていきたい。

事業停止を招いた被害の共通点

 表1にランサムウェアによる事業停止や業務遅延といった被害事例をまとめている。これらの事例には、共通の課題が見られる。

【共通の課題】
①ITインフラ、業務システムの停止が、事業停止に影響している
②被害が複数のサーバー、PCに及んでいる
③インターネット接続機器の脆弱性や接続ポイントの設定ミスを突かれている
④子会社経由で攻撃されている
⑤バックアップシステムも被害に遭っている

 これらの課題への対策ができていれば、被害を少しでも小さくし、事業継続につなげることができたのではないだろうか。

米国のガイドラインに基づいた対策

 対策時に重要となるのは、前回も紹介した「サイバーレジリエンス」の考え方の適用だ。日本では、防御策に予算を割く傾向にあるが、サイバーレジリエンスの考え方では、想定外の事象にも打ち勝つ力を高めることが重要視されている。具体的にどのような対策があるのか、米国国立標準技術研究所(NIST)の「NIST SP800-160 Vol.2」で定義されている4つの力に分類して、いくつか例を示す。

■予測力:サイバー攻撃に対する準備と態勢の維持
・システムが侵害された場合の事業継続性を再点検
▶サイバー攻撃に対応したBCP※2策定
・ランサムウェアが拡散しないように内部を再点検
▶ペネトレーションテスト
・脆弱性対策がおろそかになっていないか再点検
▶外部攻撃対象領域管理(EASM※3)
▶セキュリティポスチャマネジメント
・子会社などサプライチェーンのセキュリティ対策状況の把握
▶取引先セキュリティ評価

■抵抗力:被害を局所化し事業機能を維持
・ランサムウェアが拡散しないよう対策
▶マイクロセグメンテーション

■回復力:被害からの迅速な回復
・バックアップシステムの保護と暗号化されていない回復用データの早期特定
▶バックアップの要塞化と世代管理
▶EDR※4/MDR※5サービス

■適応力:再発防止と組織改善
・システムが侵害された場合の事業継続性を再点検
▶サイバーインシデント対応演習

 次に、前述した能力を踏まえた各対策例の概要を説明する。

●サイバー攻撃に対応したBCPの策定
企業が整備しているBCPに、サイバー攻撃の観点を加えて内容を共有する。

●ペネトレーションテスト
自社のセキュリティ対策のサイバー攻撃への耐性を、ハッキング技術の専門家が攻撃者の立場で評価する。

●EASM
企業が外部公開しているIPアドレスに疑似攻撃を仕掛け、セキュリティホールを検知する。トップドメインを指定し、その配下の外部公開資産(グローバルIPアドレスを有するサーバーや機器、クラウドサービス)を検査することで、VPNの脆弱性やIaaS / PaaS 上の仮想ファイアウォールなどの設定ミスを洗い出す。

●セキュリティポスチャマネジメント
セキュリティインシデントへの態勢を整え、維持・管理を行う仕組み。PC、サーバー、IaaS/PaaS上の仮想環境のセキュリティ設定のミスやパッチ未適用などを検出。

●取引先セキュリティ評価
サプライチェーンなど取引先のセキュリティ対策状況の評価と、取引先に対する解決策の助言を行う。

●マイクロセグメンテーション
システム間をファイアウォールなどでできる限り細かく仕切り、一部のシステムが侵害されたとしても、他のシステムに影響を与えないようにする。クラウドも含めた環境では、SDP※6により、ユーザー・グループごとに細やかなアクセス制御も可能だ。

●バックアップの要塞化と世代管理
API※7方式など、ランサムウェアに突破されにくいバックアップの仕組みを採用。複数世代管理により非暗号化データも保護する。

●EDR/MDRサービス
ランサムウェアの感染日時を特定し、バックアップデータの中から暗号化されていない世代のデータを迅速に探し出せる。

●サイバーインシデント対応演習
インシデントの疑似体験を通じ、主に経営層〜管理職を対象に実践的なグループワークを行う。演習には2種類あり、「インジェクト型」では、各グループの活動に応じて次々と情報を与え、判断、再発防止方法を検討する。「シミュレート型」では、経営層や管理職も含めた役職者のアクションや部署間連携のフローなどの対応可否を確認。

予測力定着のための短期導入対策を

 これまで対策例を紹介してきたが、どれから取り組めばよいのか疑問に思う人もいるだろう。疑問の解消に向けて、筆者の主観ではあるが導入の難易度と期間の観点で前述の対策をマップにした(図1参照)。事例からも分かるように、攻撃者は脆弱性や設定ミスといった隙を狙って攻撃を仕掛けてくる。この隙を小さくする予測力こそ、すぐにでも取り組んでほしい。特に、難易度が低く導入期間が短いEASMやセキュリティポスチャマネジメントが最初の取り組みにお薦めだ。

 まずは企業内の実態を把握し、セキュリティ対策や体制の整備状況を今一度見直すとよいだろう。現在の対策状況や、どこから手を付けたらよいのか分からないといった場合は、NIST SP800-160 Vol.2の観点で状況を可視化するコンサルテーションもある。

 万が一の際の被害を抑えて事業を継続するためにも、サイバーレジリエンスの考え方を適用した対策をぜひ実施されたい。

※1 参考資料:警視庁 「マルウェア『ランサムウェア』の脅威と対策(脅威編)」
https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/joho/ransomware_threat.html
※2 BCP:Business Continuity Plan
※3 EASM:External Attack Surface Management
※4 EDR:Endpoint Detection and Response
※5 MDR:Managed Detection and Response
※6 SDP:Software Defined Perimeter
※7 API:Application Programming Interface

早稲田大学グローバルエデュケーションセンター
非常勤講師

日立ソリューションズ
セキュリティソリューション事業部
企画本部
セキュリティマーケティング推進部 部長
Security CoEセンタ長
セキュリティエバンジェリスト
扇 健一 氏