ランサムウェア被害拡大阻止へ「備えるべき力」 影響を最小限にとどめ「事業を止めない」ために
サイバー攻撃の対象となるIT資産が増加している
暗号化したデータと引き換えに身代金を要求するサイバー攻撃であるランサムウェア。その被害は近年増加しており、警察庁の調査※によると、2022年に警察庁へ報告された被害件数は前年比57.5%増の230件に上った。
ランサムウェア攻撃の大きな特徴は、企業経営に与える負のインパクトが大きいことだ。同調査によると、ランサムウェア被害が業務に与えた影響として、有効回答140件のうち「一部の業務に影響あり」との回答が82%(115件)を占め、「すべての業務が停止した」も13%(18件)に上っている。
「最近の傾向として、ビジネスの根幹を担う重要なサーバーがランサムウェア攻撃を受け、企業の事業継続に影響を与える事例が増えています。実際に工場の操業が止まったり、決算発表が遅れたりしたケースがあったほか、医療機関で電子カルテシステムに障害が発生し、手術の延期や患者の受け入れが停止に追い込まれた事件も起きました。ランサムウェア被害が人の命に関わる場合もあると、その怖さが多くの人に認識されたのではないでしょうか」
セキュリティマーケティング推進部 シニアエバンジェリスト
Security CoE センタ長 扇 健一氏
日立ソリューションズでセキュリティのエバンジェリストを務める扇健一氏はこのように語る。なぜランサムウェア被害が増加しているのか。背景には、新型コロナウイルスの感染拡大を契機としたテレワークの増加や、企業のDXの進展などがある。
テレワーク推進のためにVPNを増設する際、セキュリティパッチの運用計画もないままに行った結果、対策されていない脆弱性が悪用されて攻撃される。あるいはDXでクラウドサービスが頻繁に使われるようになる中で、その設定ミスや認証設定の弱さなどを攻撃者に突かれ、内部への侵入を許してしまう。
しかもクラウド環境は各事業部門がそれぞれ契約し、情報システム部門が把握し切れていなかったり、セキュリティに対する意識が高くない事業部門が運用していたりするケースも少なくない。
要するに、企業においてサイバー攻撃の対象となるIT資産や経路が以前と比較して増加しており、そこを攻撃者が狙っているのだ。
「最近はサプライチェーンが標的にされ、子会社や関連会社から侵入されて事業がストップしたり、バックアップシステムがランサムウェアに感染してデータの復旧に長い時間がかかったりするケースが目立ちます。こうしたインシデントが発生すると、事業継続に深刻な影響が出てしまいます。
攻撃者は必ずしも技術的に高度なことをしているわけではありません。しかし、現状でランサムウェア対策が十分なされているのは一部の大手企業にとどまっており、それが被害件数の増加に表れています。『うちはきちんとセキュリティ対策をやっている』と話される企業の方もいますが、事業継続の観点での対策が足りていないことが多いと感じています」(扇氏)
※出所:警察庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」
「抵抗力」と「回復力」を強化し影響を最小限に抑える
企業の事業継続に影響を及ぼすサイバー攻撃に対しては、基本となる侵入防止対策を行ったうえで、それでもサイバー攻撃は防ぎきれないことを前提とした対策が求められる。つまり、もし被害が発生しても速やかに対処して回復し、事業継続を可能にする態勢を構築することが大切というわけだ。
このコンセプトは一般に「サイバーレジリエンス」と呼ばれる。企業がサイバーレジリエンスを強化するために備えるべき力として、NIST(米国立標準技術研究所)が定義するのは「予測力」「抵抗力」「回復力」「適応力」だ。
いずれの力も重要であるが、最近のランサムウェアの被害トレンドに基づくと、「抵抗力」と「回復力」を高める必要性が高い。「サイバーレジリエンスを高めること、すなわち事業継続力を高めるためには、攻撃に遭ってもその被害を最小限に抑え、復旧にかかる時間を短くすることがカギになります」と扇氏は指摘する。
具体的には、ランサムウェアの侵入や被害の発生を速やかに検知し、被害の拡大を防ぎダメージを局所化する。これが「抵抗力」に当たる。一方で暗号化された可能性のある範囲を見極めて、正常なバックアップデータを探し出し、速やかに復旧する。これが「回復力」だ。被害のダメージと復旧にかかる時間を最小限に抑えるためには、これら2つの力の強化が欠かせない。
そうした背景の下、日立ソリューションズは「データ回復ソリューション」として、事業継続性を踏まえたバックアップの設計から構築、業務端末の日常的な監視・運用や、インシデント発生時の初動対応から復旧までをワンストップで提供。万一ランサムウェアに感染した場合の迅速な事業の復旧を支援している。
まず感染したら、感染ルートと感染日時、感染範囲を把握する必要がある。その役割を果たすのが、サーバーやPCといったエンドポイントのセキュリティ脅威を検知し、通信や起動プロセスなどのログを取得・分析してインシデント対応を支援するEDR(Endpoint Detection and Response)、もしくはEDR製品の運用を日立ソリューションズが代行するMDR(Managed Detection and Response)サービスだ。
「EDRを導入していないと手作業で一連の調査や対応をしなければならず、手間と時間がかかりすぎてしまいます。EDRを導入していれば作業を効率化できるメリットがあります。セキュリティの専門知識がない、人材確保が難しいなど自社で対応ができない場合は、専門知識をもったセキュリティエキスパートが調査や対応を代行するMDRサービスをぜひ利用していただきたいです。支店や海外子会社が被害に遭った場合、リモートで迅速に対応することもできます」(扇氏)
また、最近のランサムウェア攻撃ではバックアップシステムを狙うものも増えている。前出の警察庁の調査では、バックアップから被害直前の水準までデータを復元できたのは19%にとどまった。迅速な回復には、バックアップの感染防御、およびきちんとデータを復旧できる仕組みをつくることも大切になる。
「バックアップがランサムウェアに感染してしまった企業には、バックアップをファイルサーバーにコピーしているだけのケースも見られましたが、それでは不十分です。現在は独自の方式で感染しにくい領域にバックアップを取るシステムもありますので、システム更改のタイミングなどに合わせて、そうしたバックアップシステムに替えていくことも支援しています」(扇氏)
さまざまな角度からレジリエンスを高めるために
ここまで見てきたように、ランサムウェア攻撃を受けても影響を最小限にとどめるためには、サイバーレジリエンスの抵抗力や回復力を高めることがカギを握る。一方で、そもそも攻撃を受けないための対策も、サイバーレジリエンスを強化するうえでは見逃せない。
とりわけDXが進む中で企業のクラウド活用が増えたことにより、クラウド環境の脆弱性管理や設定ミスの課題が顕在化している。それに対し、日立ソリューションズはクラウドの設定ミスや脆弱性の有無といったセキュリティリスクを検出し対策を支援する「CSPM(Cloud Security Posture Management)」を提供。
実際に導入したある大手メーカーでは、各事業部門で導入されたクラウドサービスを含めて、クラウドの脆弱性を情報システム部門が簡単にチェックできる仕組みを構築し、クラウドの脆弱性に起因するセキュリティの課題をカバーすることができたという。
サイバー攻撃が日々高度化し、被害事例も増えている中で、サイバーレジリエンスの重要性はますます高まっている。攻撃に対して強固な態勢を築くには、さまざまな角度からセキュリティ対策を考えなくてはいけない。どのような対策を講じるべきか悩む企業にとって、総合的にサイバーレジリエンスの強化を支援してくれる日立ソリューションズは支えとなる存在だろう。
「多くの企業が経営戦略の中でDXに注力していますが、これに伴って発生するのがセキュリティのリスクです。ただし、どの企業も一律に同じ対策を取ればよいというものではなく、個々の企業が直面している課題を見極め、最適な製品やサービスを導入することが重要になります。
当社は多様なセキュリティ製品を取り扱い、それぞれの特徴を把握したうえでお客様の課題にマッチする適切なソリューションを、コンサルティングを含めて提案することができます。何か困り事があれば、ぜひ当社にお声がけいただきたいと思います」(扇氏)
