CISO(最高情報セキュリティ責任者)やセキュリティリーダーは、ランサムウェア攻撃による多大な損失を回避して組織を守らなければならない。今回は、ランサムウェア攻撃に備える6つのポイントを紹介する。
ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。
2020年に報告されたマルウェアインシデントの27%は、ランサムウェアに起因すると考えられる。ランサムウェア攻撃は、企業にデータ侵害よりも大きな影響を与えるようになっている。この攻撃は、悪意あるソフトウェアをコンピュータシステムに侵入させ、データを暗号化または破壊したり、データへのアクセスを拒否したりするなどして、被害者にデータ復旧と引き換えに身代金を要求するサイバー脅迫だ。
ランサムウェア攻撃は、短期的には企業に数百万ドルの損害を与え、長期的には評判や信頼を傷つけ、さらに大きな損失を負わせる恐れがある。ランサムウェア攻撃者は、大手の医療機関や小売業者から保険会社まで、幅広い業種の企業のサイバーセキュリティの脅威であり続けている。
「最近のランサムウェア攻撃では、被害にあった組織が攻撃者に大金を支払っているケースがある。こうした攻撃が活発化している理由の一つはそこにある」と、Gartnerのアナリストでシニアディレクターのポール・ウェバー(Paul Webber)氏は語る。
「ランサムウェア攻撃による被害を抑えたければ、事前の準備と、早期の緩和策にフォーカスする必要がある」(ウェバー氏)
CISOやセキュリティリーダーは、次の6つの施策を網羅したランサムウェア攻撃対策をすることで、この攻撃に見舞われる可能性を減らし、脆弱(ぜいじゃく)性リスクを軽減し、組織を保護できる。
リスク評価と侵入テストをし、攻撃対象領域に加え、攻撃を防ぐツール、プロセス、スキルのセキュリティ回復力および準備の現状を判断する。
「身代金を支払うしかないと考える前に、無償ランサムウェア復号ツールの使用を調査するとともに、攻撃者に身代金を支払うことのリスクや潜在的な悪影響を理解すべきだ」(ウェバー氏)
ランサムウェア攻撃への技術的な対応を準備する前に、組織内の主要な意思決定者が関与するガバナンスとコンプライアンスのプロセスを確立しておく。ランサムウェアが引き起こす問題はあっという間に危機に発展し、組織の売上高に打撃を与え、評判を傷つけてしまうからだ。
対応準備には、CEOや取締役などの重要なステークホルダーが関与する必要がある。ランサムウェア攻撃を受けているときはセキュリティリーダーやCISOではなく、ジャーナリストなど外部のステークホルダーが取締役会に対して攻撃への対応を求めるだろう。
演習や訓練を頻繁に行い、システムがランサムウェア攻撃の検知機能を最大限発揮できるようにする。インシデント対応シナリオの定期検証を、ランサムウェア対応計画に組み込む。
定期検証を繰り返し行い、脆弱性やコンプライアンス違反のシステム、構成ミスをチェックする。インシデント対応プロセス自体が、ランサムウェア攻撃の影響を受けるか重大なインシデントの発生時に利用不能になる恐れがあるITシステムに依存しないようにすることが重要だ。
データだけでなく、全ての非標準のアプリケーションと、それらを支えるITインフラストラクチャもバックアップする。頻繁に実行可能で信頼性の高いバックアップおよびリカバリー機能を維持するようにする。オンラインバックアップを利用している場合は、ランサムウェアによって暗号化されないようにする。エンタープライズバックアップおよびリカバリーインフラストラクチャのコンポーネントについても、攻撃に対する防御を強化する。そのためには、バックアップアプリケーション、ストレージ、ネットワークアクセスログを定期的に検査し、これを予期している活動やベースライン活動と比較するとよい。
さらに、具体的なRTO(リカバリータイム目標)やRPO(リカバリーポイント目標)を設定し、バックアップストレージメディアやアクセスの可能性を保護することで、システム全体へのランサムウェア攻撃に対抗するクリティカルなアプリケーションのリカバリーに備える。
権限を制限し、デバイスへの不正なアクセスを拒否する。エンドユーザーにローカルシステム管理者権限を持たせず、標準ユーザーによるアプリケーションのインストールをブロックし、一元管理されたソフトウェア配信の仕組みに置き換える。
CISOやセキュリティリーダーは、可能な限り多要素認証を展開しなければならない。特権アカウントについては特にそうだ。全ての重要なサーバ、ネットワークアプライアンス、ディレクトリサービスへの認証ログを拡充し、ログが削除されないようにする。セキュリティオペレーションチームに、予想外のあらゆるアクティビティーを通知し、異常なログインや認証失敗を事前対応的に探してもらうようにする。
ランサムウェアに備えてネットワークインフラストラクチャを強化する方法についてのガイドラインを提供している政府機関や地方自治体を調査する。CISOやセキュリティリーダーはこうしたガイドラインを使って、組織内の全てのスタッフを対象とした基本的なトレーニングプログラムを作れる。だが、ランサムウェアに備えたトレーニングの効果を高めるには、組織に合わせてトレーニングをカスタマイズする必要がある。
「サイバー危機シミュレーションツールを使い、実際の状況に近い模擬訓練やトレーニングを行うことで、ランサムウェアへの備えを強化することができる」(ウェバー氏)
ランサムウェアなどのマルウェアが厄介なのは、攻撃者の手口や狙いが絶えず変わっていくからだ。戦略的に備え対策を講じることが、被害を抑え、組織を保護するのに役立つ。
出典:6 Ways to Defend Against a Ransomware Attack(Smarter with Gartner)
Public Relations Manager
Copyright © ITmedia, Inc. All Rights Reserved.