コストと効果から考える優先順位
ランサムウエア攻撃の対策には、侵入される可能性がある経路を塞ぐためにネットワーク管理をしたり、被害に備えてバックアップを取ったり、侵入検知のためにログ取得やEDR(Endpoint Detection and Response)を導入したり、など様々なものがあります。ただ、すべてをいきなり実行に移すことは、金銭的な問題や人的リソースの問題があるため現実には難しいでしょう。予算も人員も十分にあるという組織はそう多くはありません。そのため優先順位を付けて対策を実施することになりますが、組織の規模や予算などによっても対応が難しかったり、方針が異なったりすることがあるため、コストや効果も考慮したうえで、特に優先すべき事項を次にまとめます。
1. 脆弱性対策と認証の強化
攻撃者は標的が脆弱性のあるシステムを利用しているかを調べ、侵入の足掛かりにします。特にVPNやコンピューターのOS、外部に公開されたサーバーに関する脆弱性情報には普段から注視し、緩和策や修正パッチの適用が迅速に行えるようにしましょう。
また、パッチを適用して脆弱性を塞いでいても、何らかの方法で認証情報を窃取された場合には、その認証情報を用いて侵入される可能性があります。認証方法には可能な限り多要素認証を取り入れ、機密性を確保しましょう。
2. バックアップの取得とデータ保護
ランサムウエアによるデータ破壊はそれだけで経営問題に直結します。データ暗号化により事業が停止する恐れがあるからです。事業継続のためにはデータ復旧が不可欠であるため、バックアップがしっかり取れているかどうかで大きな違いが生じます。また、せっかく取得したバックアップまで暗号化されないよう、ネットワークから分離して保管しましょう。
それに併せて、重要データに対する適切なアクセス権の設定や、データ暗号化による保護など、データ保護や情報漏えい対策も実施することが望まれます。
3. 各種管理体制の構築とリスクの洗い出し
セキュリティー対策は一人でできるものではありません。技術的な対策はもちろんのこと、自組織が抱えるセキュリティーリスクの洗い出しや対策/対応方針の決定など、様々な部門を巻き込んで検討すべきことが非常に多くあります。管理体制の構築により、それぞれの役割や責任範囲を明確にし、検討した対策に抜け漏れが発生しないようにしましょう。
4. ログの取得と監視の導入
侵入の検知や有事の際の影響調査のため、普段から必要なログを取得しておきましょう。また、それらを監視する仕組みが導入されると、侵入の検知や影響範囲の調査により被害の特定や最小化が期待できます。特にEDR/XDR(Extended Detection and Response)はコンピューターの保護および有事の際の調査にも活用でき、検知された事象への迅速な対応ができるようになることが期待できます。このような特性から、EDRはセキュリティー対策製品として特に注目されており、導入が拡大しています。攻撃の早期発見、被害の最小化、迅速な対応などのため、技術的な対策として監視システムの構築は十分検討する余地があります。
なお、これらはあくまでも最優先の対策に過ぎません。このほかの対策については、「CIS Controls」を参考に優先順位を付けることができます。「CIS Controls」は、米国のセキュリティー非営利団体CISが、企業がサイバーセキュリティー対策として取り組むべき事項をまとめたガイドラインです。
このガイドラインでは企業と防御策(セーフガード)を企業の規模やセキュリティー人材の有無などによりIG1(IG:実装グループ)、IG2、IG3の3段階に分類しています。まずはIG1、それからIG2、IG3に当てはまる対策へと広げていくイメージで優先順位を付けて、そのほかの対策を実施していきましょう。
