ランサムウェアからのデータ復旧

ランサムウェアとは、組織のデータをひそかに暗号化して暗号解除のために支払いを要求する、悪意のある攻撃者によって開始されるマルウェア攻撃のことです。

ランサムウェアからの復旧とは、攻撃後のデータのリストアを実現することです。組織は復号キーに対する身代金の支払いを拒否しても、保護していたデータをリストアして、ビジネスプロセスやサービスを再開することができます。

ランサムウェア対策を講じていても、ランサムウェアを100%防ぐことはできません。脅威者は、最善のセキュリティ制御やランサムウェアスキャンを破ったり、または単に回避したりすることができるようなさまざまな手口を持っています。ランサムウェアの集団は、防御策を回避するために攻撃の手法を変化させ続けています。

ランサムウェアからの保護において重要なのは、攻撃に耐える能力と、そこから復旧する能力の両方です。従来のサイバーセキュリティソリューションは、ランサムウェア攻撃に耐えるための機能を提供します。これには、異常な行動の検知、サーバーやエンドポイントへのアクセスのロック、効果的なマルウェア検出などが含まれます。サイバーセキュリティ、データセキュリティ、データ管理の専門家と連携すると、組織はサイバー復旧の能力も得ることができます。この復旧プロセスでは、身代金の支払いを拒否し、影響を受けたデータを復旧することができます。また、サイバー復旧とランサムウェアソリューションには、組織の重要なデータに関する独自の視点も持っています。そのため、保護されたデータの異常や脅威を検出し、既存のセキュリティ運用やインシデント対応と統合することで、ランサムウェア攻撃を阻止するのに役立ちます。

システムやエンドポイントからランサムウェアを駆除するには、マルウェアを徹底的に取り除くか、マルウェアのないデータのコピーを復旧します。適切にデータを復旧することで、ランサムウェアの影響を最小限に抑えることができます。暗号化されたファイルを復旧するための復号ツールを使用することで、悪意あるソフトウェアが組織内の感染デバイスにさらなる被害を拡大するのを防げます。

ランサムウェア攻撃が発生した場合は、可能な限り迅速かつ安全に、ランサムウェア対策用バックアップを使用して復旧する必要があります。収益や顧客ロイヤルティに深刻な影響を与えることなく、組織は重要なサービスの停止に長時間耐えることはできません。迅速な復旧に不可欠なのは、信頼できるデータが利用可能であること、そして、信頼できるバックアップランサムウェアソリューションを用いて大規模なリストアが可能であることを確実にしておくことです。復旧には、仮想システムだけでなく、すべての重要なデータ (構造化および非構造化) も含める必要があります。さらに、何千ものVM (仮想マシン) と企業データの復旧は、日単位ではなく、時間単位で行う必要があります。このような包括的な復旧は、事業継続性とサイバーレジリエンスにとって非常に重要です。

バックアップは、サイバー復旧の信頼できる情報源となるよう完全性を維持する必要があります。ランサムウェア対策用のバックアップの完全性を守る上では、以下のような複数の要素が重要です: まず、変更や修正がされないよう、バックアップデータはイミュータブル (変更不可の) でなければなりません。第二に、バックアップスケジュールなどの管理設定を変更できないよう、バックアッププラットフォームを強化する必要があります。第三に、悪質な内部者が一方的に設定を変更できないよう、すべての重要な設定の変更には複数人の承認、つまりクォーラムが必要です。最後に、セキュリティ設定が変更されたりリスクが生じたりしないよう、プラットフォームのセキュリティ体制を継続的に監視する必要があります。ここでは、バックアップを保護するためのヒントをいくつか紹介します。

ランサムウェアの課題は、攻撃が起こるかどうかを懸念するのではなく、攻撃に備えることです。(「もし」起こったら、ではなく「いつ」起こるかという問題です。) どんなに優れたサイバーセキュリティ対策も、メールの添付ファイルをクリックするといった単純なユーザーの過ちによって台無しになる可能性があります。このような現実を考慮すると、組織が身代金の支払いを回避し、業務の大幅な中断を避けるためには、信頼できる復旧能力を備えていることが必要です。さらに、多くのサイバー保険会社は現在、補償を受けるためには、強固な復旧能力を備えていることを組織に要求しています。ランサムウェア対策サービスやデータ復旧ソフトウェアを包括的なリスク管理戦略の一環として導入することは、これまで以上に重要です。