サイバー攻撃に対するデータの保護とセキュリティ確保
データ保護
データセキュリティ
データインサイト
サイバーレジリエンス実現のための5つのステップ
クラウド & SaaS
企業・法人
業界
デジタルインフラに依存すると、組織をランサムウェア攻撃などのサイバー脅威に晒すことになります。 これらの攻撃は深刻な脅威であり、企業、医療システム、政府機関を標的とするインシデントの増加を示す報告もあります。サイバー犯罪者がリモートワークの環境や古いシステムの脆弱性を悪用する例が増加しており、組織がランサムウェア攻撃を受けやすくなっています。
ランサムウェア攻撃の被害者は、金銭的損失や運用上の損失、そして二度と回復できないほどの評判の失墜を被ります。今日、脅威が増加しているため、組織はランサムウェアのインシデント対応計画を策定し、マルウェアを識別し、影響を受けたシステムを隔離し、データ損失と混乱を最小限に抑えるための修復プロセスを開始する必要があります。
ランサムウェアのインシデント対応計画とは、攻撃者が攻撃を仕掛けたときに組織が取る行動の枠組みです。この計画では、インシデント発生前の検知から封じ込め、根絶から復旧、インシデント発生後の分析まで、リスクの把握に関する具体的な手順を概説します。
この計画には、リスク評価を実施し感染を検知するために待機するインシデント対応チームが含まれています。影響を受けたシステムを隔離し、マルウェアを除去することが不可欠です。また、侵害されたシステムを再構築する際に業務を復旧するためのバックアップデータも必要になります。
これらの手順を文書化することで、明確な役割と責任を割り当てることができるようになります。ランサムウェア攻撃が発生した場合、対応チームのメンバー全員が自分の役割を理解していれば、混乱が生じることはありません。
ランサムウェア攻撃は「もし起きたら」ではなく「いつ起こるか」の問題です。これは最も蔓延している脅威の一つであり、サイバーセキュリティの専門家は少なくとも11秒に1回の攻撃試行があると推定しています。
ハッカーは容赦なく中規模・大規模な組織や機関を攻撃しており、その数字は恐るべきものです。ランサムウェアによる被害の世界的年間コストは、2031年までに2650億ドルに達する可能性があります。
身代金を支払うことでお金を失うだけでなく、データが攻撃を受けていると事業運営も停滞します。業務停止は、生産性の低下、納期遅延、顧客サービスの停止を意味するだけでなく、データリストアにかかる費用も発生します。
ランサムウェア攻撃を受けると、多くの場合、企業のセキュリティ体制が疑問視され、組織の評判が傷つきます。残念ながら、評判の失墜は取り返しがつかない場合があります。ランサムウェアのインシデント対応計画がなければ、組織の顧客やステークホルダーは攻撃を過失と見なし、訴訟を受ける恐れがあります。医療情報に関するHIPAA(医療保険の相互運用性と説明責任に関する法律)など、特定のデータプライバシー規制は部門によって異なり、違反や不遵守は罰金が科される可能性があります。
これらの罰金は非常に高額であるため、2024年2月時点で、世界のデータ侵害による罰金の総額は488万ドルに達し、2023年から10%増加しています。2024年5月、アセンション病院はランサムウェア攻撃を受け、ITシステムが影響を受けて業務が混乱しました。この医療機関は、サイバー攻撃"ブラック・バスタ"に関連して、"予見可能で防止可能"であったと主張された、2件の集団訴訟に直面しました
ランサムウェアのインシデント対応計画はもはや選択肢ではありません。これは、財務上の損失を軽減し、運用上の混乱を最小限に抑え、必然的なサイバー脅威に直面した場合に評判と顧客の信頼の両方を保護するのに役立つ重要な保護手段です。
良い計画は、達成したい成果を知ることから始まります。組織は、潜在的な攻撃を検知し、迅速に行動し、機密データを保護し、被害を最小限に抑え、失われたデータを復旧するように設計された、ランサムウェア攻撃対応計画を立てる必要があります。慎重に設計された計画は、サイバーレジリエンスを支援するとともに、混乱や災害を抑えます。
データ侵害の検知には数か月かかることがあります。しかし、適切に設計されたインシデント対応計画があれば、組織は進行中のサイバー攻撃を検知して阻止することが可能です。継続的な監視システムを配備すると、ネットワークトラフィックとシステムログを分析して異常を検知し、攻撃を示唆する不審な活動を迅速に検知することが可能になります。計画では、脅威を識別したら直ちに、被害を封じ込めるために影響を受けたシステムを隔離して、攻撃に対するフォレンジック調査を開始することを概説します。
ランサムウェアのインシデント対応では、攻撃の拡散を制限し、攻撃対象領域を可能な限り縮小してデータを保護する必要があります。ランサムウェア攻撃が発生した場合、計画書には、ランサムウェアがネットワーク全体に拡散するのを防ぐための封じ込め対策に関する指針を示す必要があります。重要なデータの定期的なバックアップ(オフラインバックアップ、またはサードパーティサービスによるイミュータブルデータバックアップ)を維持していれば、身代金を支払うことなくデータをリストアできます。
エンドポイント検知分析をさらに精査すると、潜在的に侵害されたシステムを識別し、検査と再構築を行い、残存するマルウェアを排除するのに役立ちます。
ランサムウェア攻撃に対するインシデント対応手法には、事業継続性を確保するための効率的なデータの復旧とリストアに向けた具体的な手順を含める必要があります。イミュータブルバックアップは、ランサムウェア攻撃後の組織の最善の防御策です。日常業務に戻ることができるからです。3-2-1ルールのような堅牢なバックアッププロトコルを採用すれば、身代金を支払う心配をせずにデータをリストアできます。
インシデント発生時には、コミュニケーションチャネルを通じて、対応チームと関係者間でアラートなどで、タイムリーな情報交換が可能になります。コミュニケーションコーディネーターなど、明確に役割を定義しておくと、社内外のコミュニケーションを管理し、ステークホルダーに情報を提供し、インシデント全体を通して透明性を維持できます。さまざまなIT、法務、広報部門のチームメンバー間でタイムリーに情報共有し、コラボレーションすると、技術的、法的、評判上の懸念に対処するのに役立ちます。
強力なサイバーセキュリティを実現するために、組織は継続的な改善と学習に取り組む必要があります。このプロセスは、インシデント後のレビューから始まります。チームはひとつひとつのインシデントを分析し、対応における強みと弱みを識別します。組織は、教訓を文書化することで、IRPを改良し、手順を更新し、インシデント対応担当者のトレーニングプログラムを改善し、将来のインシデントに備えることができます。
さらに、主要業績評価指標(KPI)を確立すると、平均検知時間(MTTD)や平均対応時間(MTTR)など、インシデント対応の取り組みの有効性の指標が得られます。これらの指標を追跡して使用することで、改善が必要な分野を識別できるようになります。
計画の枠組みとなる目標を設定したら、次のタスクは手順を概説することです。組織固有のニーズに合わせて対応を調整する必要がありますが、特定の要素は普遍的です。米国サイバーセキュリティ・社会基盤安全保障庁(CISA)が、ランサムウェア攻撃への対応時に推奨する、ランサムウェアインシデント対応プレイブックを以下に示します。
皆さん、次のことわざをご存じですね。予防は治療に勝る。だからこそ、対応すべきことが起こる前に、対応計画を開始する必要があるのです。ランサムウェア攻撃を防ぐ、または攻撃を受けたときに備えるには、次のような方法があります。
従業員の教育とトレーニング:ネットワークの修復作業を行う際には、ランサムウェアの脅威と安全対策について、あらゆるレベルの従業員を対象とした定期的なトレーニングを実施し、攻撃者がネットワークを攻撃経路として利用できないようにしてください。
定期的にリスク評価を実施する:ハッカーが悪用できる可能性のある箇所、例えば脆弱なパスワード、古いソフトウェア、検知が困難なファイルレスマルウェアなどをチェックしてください。
従業員とステークホルダーとともにインシデント対応計画を策定する:対応チームを編成し、IT、法務、人事、広報、業務の各部門の代表者を動員します。各チームメンバーの役割を明確にし、誰に連絡すべきかを周知することで、誤報のリスクを軽減して、全員に情報を共有します。
潜在的なリスクを調査する外部企業を選定する:外部企業に、社内チームが不足している可能性のある専門知識と経験を提供してもらいます。Cohesityのサイバー復旧アシスタントを利用すると、AIを活用した機能を使用して潜在的な脅威を迅速に調査して対処し、事業運営が迅速にリストアできるようになります。
机上演習または攻撃シミュレーション演習を実施する:攻撃シミュレーションを行うと、現実世界の攻撃シナリオを模倣することができ、組織が既存のセキュリティ対策をテストし、実際の攻撃者が悪用する前に脆弱性を発見できます。
トレーニング、データの復旧、コンプライアンスを実践して強固な基盤を築くことで、組織はランサムウェアのリスクを効果的に軽減し、効率的に対応し、重要な次のステップに向けた準備を整えることができます。
侵害は避けられないことがあります。しかし、早期の検知と分析は損害と復旧の間のギャップを埋めるため、検知システムを最優先に導入する必要があります。以下は、疑わしい活動を検知するための基本的な手順です。
ランサムウェアのインシデントに迅速に対応する:攻撃を検知して封じ込めるのが早ければ早いほど、攻撃者が他のシステムに侵入し、貴重なデータを暗号化または持ち出しする時間が短くなります。監視ツールを使用すると、さまざまなソースからのログを集約して、不審なパターンを識別し、アラートを生成できます。
影響を受けるシステムを識別する:侵害されたシステムを識別するには、異常なネットワークトラフィック、ユーザーアカウントの不審なアクティビティ、ログインの失敗、ファイルやシステム設定への不正な変更など、侵害の兆候を定期的にチェックします。次に、ネットワークアクセスを切断して、感染が確認された機器を隔離します。
必要に応じて機器の電源を切る:ランサムウェアの感染が拡大し、重要なシステムに差し迫った脅威をもたらす場合には、被害を受けたデバイスをシャットダウンして、さらなる被害を防ぎます。システムをシャットダウンすると、メモリの内容などの揮発性データが失われる恐れがありますが、場合によっては、これらのデータを保持することよりも、進行中の暗号化プロセスを停止することの方が重要です。
重要なシステムのトリアージ:財務、顧客サービス、データ管理などの重要な機能を支援する重要なシステムの潜在的な影響を評価し、優先順位を付けます。どのシステムを優先すべきかを理解すると、リソースを効果的に配分するのに役立ちます。
システムログを確認する:攻撃の早期指標についてシステムログをレビューすると、脆弱性が明らかになります。ファイアウォールログ、侵入検知システムなどから関連ログを収集して、攻撃の兆候を探します。
一連の事象を判断する:システムログをレビューしたら、最初のアクセスポイントから他の侵害されたシステムまでの攻撃チェーンを再構築し、攻撃者がどのように侵入し、拡散したかを理解します。
ランサムウェアとマルウェアを識別する:感染したシステムのファイル署名と暗号化パターンを分析すると、特定のランサムウェアの亜種やマルウェアを識別することに集中できます。あるいは、フォレンジック調査や未知の亜種の識別を支援できる第三者の脅威インテリジェンス情報源に相談してください。
検知と分析は、攻撃の影響をコントロールする上で重要です。監視ツールは迅速な検知を促し、疑わしいアクティビティに気付くと、デバイスをシャットダウンして攻撃をシャットアウトします。後でシステムログをレビューすれば、特定のマルウェアを識別できます。
封じ込めフェーズでは、システム全体にマルウェアが拡散するのを防ぐことに重点を置きます。その目的は、侵害された領域を隔離し、それ以上のデータ暗号化を食い止め、組織のデータ資産への影響を最小限に抑えることです。
VPNとクラウドベースのアクセスポイントを無効にする:VPN、クラウドサービス、公開エンドポイントを無効にすると、攻撃者の侵入ポイントが減少し、攻撃対象領域が制限されます。また、これにより、横方向の動きを防ぎ、外部サーバーとの不正な通信を停止し、機密データを保護できるようになります。
サーバー側のデータ暗号化をオフにする:サーバー側の暗号化を有効にすると、ランサムウェア攻撃がバックアップシステムにまで及ぶ場合、バックアップされたファイルや保存されたファイルも暗号化される可能性があります。サーバー側の暗号化を一時的にオフにすると、ランサムウェアのインシデント発生時にバックアップがそのまま維持され、アクセスできるようになります。
永続化メカニズムを識別する:攻撃者は、永続化メカニズムを使用して、存在を削除しようとした後でもシステムへのアクセスを維持します。徹底的なシステム監査の実施、ログの不正な変更の分析、異常な動作に対するネットワークトラフィックの監視により、内部・外部の永続化メカニズムを識別して根絶します。
マルウェアを封じ込めるには、VPNを無効にし、侵入ポイントから攻撃者をロックアウトします。バックアップを保護するために、サーバー側の暗号化をオフにすることを忘れないでください。内部・外部の永続化メカニズムを削除し、許可されていない変更がないかを確認することで、すべての脆弱性を解消します。
あらゆるデータ復旧の成功の裏には、バックアップされたデータ(リストア前にデータが安全であることを確認する必要がある)と継続的な監視が存在します。以下は、取るべき追加のステップです。
データを復旧・リストアする場合は、バックアップデータが感染していないことを確認することが重要です。その後、攻撃の原因を調査し、計画がどの程度効果的であったかを評価し、必要に応じて修正します。
迅速な対応と復旧の取り組みが完了したら、徹底的な事後分析を行います。これにより、悪用されたすべての脆弱性、セキュリティコントロールの弱点、バックアップのカバレッジギャップを識別し、ポリシー更新の指針となります。
インシデント後に効果的なレビューを実施する際は、インシデント対応に関与するステークホルダーチームを編成し、関連するすべての視点が確実に反映されるようにします。このプロセスでは、参加者が自身の経験を率直に共有し、何がうまくいき、何がうまくいかなかったのかについて正直な議論ができるように、オープンな環境を築くとよいでしょう。
組織として、インシデントで露呈した弱点に対処するために、サイバーセキュリティポリシーと手順を修正する必要があります。継続的な改善と対応計画の定期的な更新を強調し、回復力を高め、進化する脅威に適応し、絶えず変化するサイバーセキュリティ環境において、チームが将来の課題に、より適切に備えられるようにします。
ランサムウェアのインシデント対応計画は、組織固有のニーズに合わせて調整する必要がありますが、確立されたベストプラクティスに従うことで強固な基盤を構築することが可能です。カスタマイズされた戦略と実績のあるベストプラクティスを組み合わせることで、組織はリスクをより適切に軽減し、攻撃の影響を最小限に抑え、強靭なセキュリティ体制を育むことができます。
定期的なトレーニングとシミュレーション演習を行う文化を築いて、インシデント対応チームが迅速に行動する準備を確実に整えられるようにします。ランサムウェアのシナリオをシミュレートする定期的な卓上演習を実施して、対応プロトコルをテストし、改良するとよいでしょう。IT、法務、PRなどの部門横断的なチームを関与させ、連携した対応を演習し、現在の計画の潜在的なギャップを識別するようにしてください。これらの取り組みにより、手順への習熟度が高まり、連携が改善され、自信が醸成され、対応時間を最小限に抑えることができます。
安全でイミュータブルバックアップを持つことは、データを迅速に復元するための究極の解決策です。コピーをオフサイトまたはクラウド上の場所に保存し、堅牢な自動バックアップスケジュールを確立して、テストすることをお勧めします。また、定期的にリストア訓練を実施することで、バックアップに迅速にアクセスし、データの破損や遅延なく、バックアップが確実に復元できるようにします。悪意のある攻撃者はこれらのバックアップにアクセスできないため、信頼性のある復旧ポイントとなります。
法務の専門家がいないインシデント対応チームは、完全とはいえません。法規制の遵守は法的リスクを軽減し、罰則を回避し、組織の評判を保護するのに役立つため、ランサムウェアへの対応が規制上の義務と整合していることを確認します。法律顧問とコラボレーションして、業界固有の規制報告のタイムラインと義務を理解するとよいでしょう。これらの要件をインシデント対応計画に統合し、チェックリストを作成して、インシデント発生時に規制当局との間で適時かつ正確にコミュニケーションを取るようにします。
ランサムウェア攻撃は、組織を機能不全に陥らせる恐れがあります。しかし、明確に定義されたランサムウェアインシデント対応計画があれば、システムを監視し、万全の態勢を整えることができます。
攻撃者がデータにアクセスする余地を残してはいけません。Cohesityのデータ管理ソリューションで、機密情報を安全に管理しましょう。当社は、AIを活用したデータ管理とセキュリティを単一のプラットフォームで提供しており、スピード、拡張性、シンプルさ、セキュリティ、インテリジェンスにおいて業界をリードしていることが評価され、2024年のガートナー社マジック・クアドラント(エンタープライズバックアップ・復旧ソフトウェアソリューション部門)に選出されました。
詳細情報、または30日間の無料トライアルをご希望の場合は、お問い合わせください。
関連情報
