皆さんは、どんなセキュリティー対策をとっていますか。
筆者は、情報処理技術試験向けの参考書を執筆する機会がある。それらの参考書で試験の頻出問題として取り上げるのが、「情報セキュリティーの3要素」だ。答えは、情報の「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」である。
3要素のそれぞれを一言で表すと、機密性は誰かに情報を見られないようにすること、完全性は情報を改ざんされないこと、可用性は情報を利用したいときに利用できる状態にすること。セキュリティー対策は、この3つを確保・維持することである。
この3要素のうち、可用性はセキュリティーとしてクローズアップされないことが多く、対策も忘れがちになる。この可用性を確保・維持するうえで重要なのが、「バックアップを取ること」だ。しかし、バックアップを用意していないユーザーが多い。
今回は、バックアップを取らないことの危険性や、バックアップの正しい取り方について解説する。
バックアップが無いことによるリスク
企業の可用性を脅かすリスクと言うと、DDoS攻撃などのサイバー攻撃やシステム障害が取り上げられることが多い。DDoS攻撃とは、攻撃者が標的に対して複数のコンピューターから大量の不正な通信などを行う攻撃である。攻撃を受けると、標的が提供するサービスがダウンしてしまう可能性がある。一方、システム障害はシステムが正常動作しない状態である。サイバー攻撃には攻撃の回避や緩和、障害にはシステムの冗長化や二重化が対策となる。
ここ数年で目立っている可用性に関する脅威は、なんといってもランサムウエアだろう。ランサムウエアとは「Ransom(身代金)」と「Software(ソフトウエア)」を組み合わせた言葉で、感染すると身代金を要求するマルウエアを指す。感染したコンピューターのハードディスクを暗号化し、元に戻してほしかったら身代金を支払え、と脅迫する。最近では、暗号化する前のデータを窃取し、「データを公開されたくなかったら身代金を支払え」と脅す。この2つを同時に行うことを、ランサムウエアの二重脅迫や二重恐喝と呼ぶことが多い。
誰もが被害者になり得る
ランサムウエアの攻撃対象は、大企業とは限らない。攻撃者が身代金の支払い能力や支払いやすさなどを考えて攻撃しているという話を聞いたことがあるが、実際には攻撃しやすいところを攻撃しているとみている。中小企業の被害件数のほうが多い。
ランサムウエア攻撃には、標的型とばらまき型の2種類がある。ばらまき型は、マルウエアに感染させるファイルを添付したメールを大量に配信し、受信者のコンピューターを感染させようとする。この攻撃では企業の規模に関係なく、個人にも被害が及ぶ。
報道では、大企業が被害に遭ったときの身代金は数億円とも数十億円ともいわれている。ばらまき型の被害では300ドル(約4万円)と低額だったものもある。ただ、金額の大小に関わらず、身代金を支払ってはいけない。身代金を支払えばデータは元通りになる可能性はあるが、窃取したデータを攻撃者が完全に消去するとは限らない。残しておいて再度脅迫に使ってくるかもしれない。また、復旧したデータは改ざんされたリスクが残り、完全性が保証されない。何より、攻撃者に金銭を支払うことは攻撃を助長することにつながる。絶対に払うべきではない。
