ランサムウェアの脅威に“隙を作らない”多層防御の在り方とは？ 中小企業での対策も含めて検証：「バックアップしているから大丈夫」は昔の話

データ暗号化だけでなく、データの窃取、バックアップデータの破壊などランサムウェアの攻撃が高度化し、被害が増えている。多層防御の重要度が高まる中で、どう対策すればよいのだろうか。NetAppとMicrosoftの製品を例に有用な対策を考察、検証する。

[PR／＠IT]

PR

ランサムウェアの進化に対策が追い付いていない

SB C&S 技術統括部 第1技術部 河村龍氏

　サイバー攻撃をいかに防ぐかは、企業にとって常に関心が高い課題の一つだ。中でも最近はランサムウェアの攻撃が活性化し、対策を模索する企業が増えている。

　企業の課題に、多種多様な製品を提案して応えてきたSB C&Sの技術統括部 第1技術部 河村龍氏は次のように指摘する。「最近のトレンドの背景には、ランサムウェアの攻撃手法が変化していることが挙げられます。従来は不特定多数を狙った攻撃が主流でしたが、今は標的を明確に定めた上で、企業や組織のネットワークに入り込んで攻撃を仕掛けてきます。また、データの暗号化だけでなく、データを窃取し『身代金を払わなければ、外部に公開する』と二重に脅迫するものも増えており、暗号化と窃取の両方の対策が求められます」

　また、被害が広がっている要因として、ランサムウェアに対する認識の甘さがあるという。「バックアップがあるから攻撃されても復旧できると考える方もいますが、誤解があります。以前は通用したかもしれませんが、最近はバックアップデータまで破壊、暗号化するランサムウェアも多く、バックアップを取っていても復旧できないケースがあります」（河村氏）

SB C&S 技術統括部第2技術部 横山章太郎氏

　さらに、社内、社外問わず対策が求められるようになってきた。SB C&S 技術統括部第2技術部 横山章太郎氏は「テレワークなど社外で働く機会が増加したこともありますが、今は社内に入り込んで内部から攻撃する手法も増え、もはや社内だから安全とはいえません。ゼロトラストセキュリティが広まっているのもこういった事情が大きく、複数ポイントでのセキュリティ対策が不可欠です」と話す。

　対策としては「多様化する攻撃手法に対応できる製品を選ぶことに尽きます」（河村氏）という。それでも、攻撃を100％防ぐことは難しく、万が一の際の復旧まで考慮する必要がある。

　「バックアップへの攻撃まで想定し、エンドポイントやネットワークに加え、バックアップやストレージまで各レイヤー（層）で包括的に対策する必要があります。いわゆる多層防御です。迅速な復旧を考え、いかに最新のバックアップデータを守り抜くか、攻撃をすぐに検知し、対処することが重要です」（河村氏）

包括的な対策を実現するMicrosoft 365 E5 Security

日本マイクロソフト シニア クラウド ソリューション アーキテクト 田住一茂氏

　多層防御のための包括的なセキュリティ製品として「Microsoft 365 E5 Security」がある。日本マイクロソフト シニア クラウド ソリューション アーキテクト 田住一茂氏は製品を次のように紹介する。「エンドポイントの端末自体はEDR（Endpoint Detection and Response）などで対策しますが、昨今の攻撃の主体はメールです。Microsoft 365 E5 Securityはメールからデバイス、ID管理、クラウドの保護まで攻撃の流れ全体をカバーします」

　まずは「Microsoft Defender for Office 365」でメールを保護し、攻撃がそれをすり抜けてしまったら、「Microsoft Defender for Endpoint」でデバイスを保護。デバイスが感染すると、管理者権限などを乗っ取る攻撃が続くので、オンプレミスの「Active Directory」（AD）を保護する「Microsoft Defender for Identity」や「Azure AD」を保護する「Azure AD Premium Identity Protection」が動く。最終的に、「Microsoft Defender for Cloud Apps」でクラウドサービスを含めたデータを保護するという形だ。

Microsoft 365 E5 Securityによる外部からの脅威および内部不正への対策（提供：日本マイクロソフト）

　「外部からの攻撃だけでなく内部の不正にも対策できます。内部不正といっても必ずしも従業員の不正とは限らず、攻撃者による従業員のアカウントの乗っ取りや、不正アクセスなども内部不正として検出できるのです」（田住氏）

　Microsoft 365 E5 Securityは、ダッシュボードにも特長がある。一回のセキュリティ攻撃であっても、メールが届き、デバイスが感染し、アカウントが不正利用され……という流れがあり、各所で異常が検知される。Microsoft 365 E5 Securityではこれらを個別に通知するのではなく、1つのインシデントとして管理できるのだ。

　「SB C&Sでも検証しましたが、ダッシュボードは非常に使いやすい印象です。エンドポイント保護では複雑なチューニングやポリシー設定が求められるものもありますが、Microsoft Defender for Endpointはチューニングや設定が不要で、自動で適切なポリシーが適用されます。異常検知後には、調査、端末隔離などのアクション、その後の復旧まで自動で制御され、管理者の対応も最小限に抑えられます。1つの製品でここまで対策できる点は魅力です」（横山氏）

Microsoft Defender for Endpointのダッシュボード（提供：日本マイクロソフト）

　Microsoftは2022年5月に、これらの機能を中小企業向けに最適化した「Microsoft Defender for Business」の提供を開始。「Microsoft 365 Business Premium」を利用中の企業は追加費用なしで利用できる。「サプライチェーンのうち、セキュリティ対策の脆弱（ぜいじゃく）な中小企業が狙われるケースが増えています。Microsoft Defender for Businessは導入しやすいプライシングでトータルセキュリティを享受でき、中小企業の対策強化に貢献できると考えています」（田住氏）

“重要なデータ”を自動で分類、保護する「Microsoft Purview」

　データ保護を支援するサービスとしては「Microsoft Purview」がある。「バックアップは重要ですが、大容量のデータを全て厳重に保護するのは困難です。Microsoft Purviewでは特に重要なデータ、保護すべきデータを自動分類し、徹底的に保護します」（田住氏）

　ファイル名に「社外秘」が含まれる、ファイル内容にマイナンバーやクレジットカード番号など特定の文字列が含まれるなどの条件から保護対象を自動で分類、暗号化した上で、外部公開をブロックする仕組みだ。「対策は極力自動化することが重要とされますが、Microsoft Purviewはその観点からも有効です」（田住氏）

データ保護の最後の砦となる、ネットアップのストレージ

ネットアップ パートナー テクニカル リード 大西宏和氏

　ランサムウェアからのデータを保護する際、最後の砦（とりで）となるストレージも進化している。「ランサムウェア攻撃からシステムを復旧するコストは、年々増えています。攻撃の高度化とともに復旧の負担が増していることがうかがえます」と語るのはセキュリティ対策を強化しているストレージベンダー、ネットアップのパートナー テクニカル リード 大西宏和氏だ。

　「ネットアップのストレージは、他の製品を追加しなくても、標準機能やオプションで十分対策できることが特長です」（大西氏）

　ネットアップのストレージは独自のストレージ専用OS「ONTAP」を搭載し、汎用（はんよう）OSに対するサイバー攻撃の対象となりづらい。OSの仕様は一切公開されていないので、セキュリティリスクを低く抑えられる。

　他にも標準で搭載する「FPolicy」という機能では、ファイルの拡張子に基づいて処理を監視、ブロック可能だ。「ランサムウェアでは攻撃と同時に拡張子を変更するものが多くあります。攻撃でよく使われる拡張子を登録することで、変更をブロックし、攻撃を防ぎます。一方で、登録した拡張子のみ動作を許可するホワイトリストにも対応します」（大西氏）

　ネットアップはストレージの基本機能「スナップショット」も強化している。感染に気付かず対処が遅れることを想定し、なるべく長期間のスナップショットの保管が理想だ。ネットアップではボリュームごとに1023世代まで保管できる。「1時間おきに取得しても42日分取れますし、直近1週間は1時間ごと、それより前は1日ごととして長期保管することも可能です。スナップショットは瞬時に取得でき、どれだけ取得しても性能に影響はありません。取得頻度を上げることで、被害を最小化できます」（大西氏）

ランサムウェア対策に合わせたバックアップ方式や運用方法が必要（提供：ネットアップ）

　復旧も容易であり、GUIの管理画面で、対象のスナップショットを選んで、メニューからリストアを実行するだけで完了する。一般的な復旧手順ではデータ量に応じてリストアに数日単位かかる。だが、ONTAPならばデータは秒単位、サービスでも分単位で復元可能だ。他にも、スナップショットからクローンを作成する「FlexClone」機能、ボリュームをWORM（Write Once Read Many）化することで書き込んだデータの改ざんを防ぐ「SnapLock」機能などを搭載。データ保護から迅速な復旧までサポートする。

ストレージの機能で、ランサムウェアを検出する

　さらに特筆すべきは2021年11月にリリースされた「Onbox Anti-ransomware」だ。これはストレージの機能だけでランサムウェアを検出するもの。独自のML（機械学習）によって、ボリュームへの書き込みや、ファイルのエントロピー（データの不規則性をスコア化したもの）を分析し、脅威を検出する。「データを暗号化されると不規則性のスコアが上がるため、脅威を検出できます。インターネットに接続できない環境でも利用でき、セキュリティが厳しいケースでも活用できます」（大西氏）

Onbox Anti-ransomwareの仕組み（提供：ネットアップ）

　Onbox Anti-ransomwareとは異なる観点でランサムウェアを検出するのがSaaS（Software as a Service）製品「Cloud Secure」だ。ネットワークやAD上のユーザーごとのアクセスパターンを学習し、ランサムウェアの挙動を示した際に検知する。ONTAPと連携することで、異常検知時にスナップショットを取得し、ユーザーをブロックといった対処をする。異なる観点から監視することで、異常検知の精度向上につながるというわけだ。

　これらの機能についてもSB C&Sで検証を実施。クライアント端末とAD、ファイルサーバ、ネットアップのストレージを構築し、疑似的なランサムウェアを動作させたところすぐに検出されたという。

　「Onbox Anti-ransomwareはボリューム単位で設定します。設定自体は非常に簡単で、2〜3クリックで完了しました。あらかじめ、新規作成するボリュームに対してOnbox Anti-ransomwareの設定をオンにすることもでき、導入や管理の観点でもメリットが大きいです。ストレージにセキュリティ機能が搭載されているのは画期的で、多層防御すべきとはいえ、どういった製品を導入するか悩ましい中で、ストレージの機能やオプションのみで複数の対策を実現できることは強みだと感じています」（河村氏）

　「ランサムウェア対策としてOnbox Anti-ransomwareの他に、ネットアップには『Cloud Secure』があります。メリットとしては、やはりADと連携して攻撃に関与したユーザーまで追跡できることです。ランサムウェアに感染した場合、身代金以外にも復旧にかかるコストは莫大（ばくだい）です。感染の範囲や攻撃の継続状況などを可視化できることで、復旧開始のタイミングや復旧範囲を見誤ることなく実行できるため、無駄な作業をなくし、迅速にシステムの復旧を進めることができます」（河村氏）

Cloud Secureのアラート画面（提供：ネットアップ）

詳細をホワイトペーパーで確認できる

　繰り返しになるが、高度化するランサムウェアへの対策は複数のポイントで何重にも防御し、いち早く検出、隔離、復旧する体制を整えることが重要となる。「Microsoft 365 E5 Securityとネットアップは製品単体で多方面から検出できることが強みです。現状でベストの対策を選ぶならば、この2つが有力候補といえるでしょう。SB C&Sは企業ごとのニーズに合わせた提案や導入もサポートします。今回、3社での共同プロモーションということで、各製品の機能説明やセットアップ手順をまとめたホワイトペーパーも同時公開します。ぜひ、こちらの資料もご参照いただきたいです」（河村氏）

【NetApp×Microsoft×SB C&S 共同プロモーション】ランサムウェア対策に関するホワイトペーパーのダウンロードはこちら