the bucket

中小企業に向けたランサムウェア対策のチェックリスト

中小企業に向けたランサムウェア対策のチェックリスト

ランサムウェアの予防と軽減を目的とする、人材、プロセス、テクノロジー面でのアプローチ

Drew Schlussel
By Drew Schlussel
Senior Director, Technical Product Marketing

October 11, 2023

ランサムウェアは、いかなる業界においても脅威とされる存在です。残念ながら、この類のサイバー攻撃は驚異的なスピードで増え続けています。更に、サイバー犯罪者の攻撃対象は大企業だけに留まらず、中小企業(SMB)が標的となるケースも高まりつつあります。
中小企業には大企業ほどの資金や組織的なリソースがないため、サイバー攻撃への脆弱性が高まる傾向があります。そこで、多層かつ進化し続けるSMBランサムウェアに対する予防・被害軽減チェックリストを用意することで、攻撃を受けた場合でも、企業や従業員、重要なビジネスデータを確実に回復させることができます。
ランサムウェアとは、攻撃対象のコンピュータやネットワークに感染し、特定の条件になるまでユーザーアクセスを制限するマルウェアの一種です。サイバー犯罪者は、これによって手に入れた情報を様々な悪事に利用します。ランサムウェアには複数のタイプがありますが、そのすべてが悪性です。
残念ながら、ランサムウェアは避けられるかどうかではなく、被害に遭うとしたらいつになるのかという視点で考えるべき問題です。しかし、攻撃の標的になる確率をコントロールすることはできなくても、自社のビジネスが攻撃を受けた際の脆弱性を判断することは可能です。

ランサムウェアの予防 vs. ランサムウェアの緩和

実際のところ、どれだけ懸命に対応しても、サイバー犯罪者によるランサムウェアの侵入を阻止することはできません。中小企業のオーナーまずこの重要な事実を理解し、ランサムウェアの予防だけでなく、緩和も重視するべきなのです。
こういったマルウェアが中小企業ビジネスに与える悪影響を抑えようとする場合、人材、プロセス、テクノロジーを考慮した3つのアプローチからなるSMBランサムウェア戦略を策定し、伝えていく必要があります。

SMBランサムウェア戦略の作成

このSMBランサムウェア戦略は、データ保護に重点を置いたものであり、ランサムウェア自体の予防や対応を完全に網羅するものではないことをご留意ください。また、米国サイバーセキュリティ・社会基盤安全保障庁(CISA)にはランサムウェアやその他のサイバー攻撃に対処するためのツールやリソースが多数用意されているので、ぜひご確認ください。

優れたサイバーセキュリティは人材から

従業員になる予定の人物が実際に入社する前の段階から、ランサムウェア対策を行うことができます。ここでは、従業員がランサムウェアによるサイバー攻撃の弱点とならないようにするための戦略をいくつかご紹介します。

  • 採用プロセス: 新入社員の候補者となる人物の身元調査は入念に行い、十分な注意を払いましょう。経済的なストレスを抱えた人はサイバー犯罪者にとって格好の標的であり、わずかな報酬のためにネットワークやデータへのカギとなる情報を渡してしまう可能性があります。
  • サイバーセキュリティへの意識向上を目的とする、継続的なトレーニング: ほとんどの従業員は、ランサムウェアへ意図的にビジネスを感染させることはありません。しかし、開発者が誤ってデータベースを安全でない状態にしてしまったり、従業員が思いがけずフィッシング攻撃に引っかかったりすることがありえないとも断言できません。そのため、従業員のサイバーセキュリティ意識向上に投資し、定期的にトレーニングとテストを行う必要があります。
  • セキュリティ文化の構築: ランサムウェア対策は、チームスポーツと似ています。貴重なIPと内部インフラへのアクセスを安全に保つため、個々の責任の重要性について、組織の全員で認識を統一する必要があります。


データを保護するプロセス

あなた自身や従業員、顧客、そして組織が最新のベストプラクティスに基づいている状態は、調査やテストを含め、さまざまなプロセスを実行することで保たれます。

  • システムのハードニング: このプロセスをツールやプログラム処理に適応させ、攻撃対象の範囲を最小化することで、ソフトウェア、データシステム、ハードウェアの脆弱性が低減します。システムには、ネットワーク、サーバー、アプリケーション、データベース、オペレーティングシステムなどさまざまな種類がありますが、そのすべてに対応する必要があります。
  • エンドポイントセキュリティ: ネットワークセキュリティと並行してエンドポイントセキュリティ製品を使用することで、従業員が業務に使う個々のデバイス(デスクトップ、ノートパソコン、モバイル端末など)を保護します。
  • 準備状況の査定およびテスト: 実用的な調査を通して組織内のテクノロジー、プログラム処理、全体的な品質を査定することで、ランサムウェア攻撃の防御や被害の軽減につながります。また、できるだけ多くの攻撃ベクトルに対してランサムウェア対策チェックリストの有効性を定期的にテストすることも大切です。
  • ランサムウェア保険: サイバー保険の一種であり、ランサムウェア攻撃による身代金請求料や事業中断費用などの金銭的損失をカバーします。しかし、堅牢かつテスト済みのランサムウェア対策やデータ保護計画を証明できない企業にとっては、高額化するランサムウェア保険への加入は困難であると言えます。さらに、企業が堅実なランサムウェア防止計画を提示できない場合、サイバー保険のプロバイダーは保険を打ち切ることもあります。
  • ユーザーアクセス: ランサムウェア攻撃が成功する要因は実際のところ、すべて従業員の過失にあります。認証情報が漏えいするとさまざまなランサムウェア攻撃に悪用される恐れがあるため、従業員から組織のシステムへのアクセスが必ず保護されている事を確認してください。そのためには、適切なパスワード管理を行い、多要素認証を有効にする必要があります。さらに、ソフトウェアの制限ポリシーを設定し、従業員が業務に必要のない情報やプロセスにアクセスできないようにしてください。セキュリティに対するゼロトラストのアプローチはこの点で大いに役立ちます。


適切なテクノロジーへの投資

ランサムウェアは、従業員による何らかの過失が原因となって攻撃が仕掛けられるケースがほとんどです。そのため、ランサムウェアに対するトレーニングへの投資だけでなく、攻撃が避けられない事態になることを想定した「フェイルセーフ」対策をとる必要があります。人材とプロセス以外にも、ランサムウェア攻撃が成功した場合の被害を軽減する「適切なテクノロジーへの投資」をチェックリストに加える必要があります。

  • データの暗号化: マルウェアやハッカーが重要な情報にアクセスするのを防ぐ有効な方法のひとつとして、データの暗号化が挙げられます。これによって、暗号化キーなしではコンテンツの利用が困難な環境を作ることができます。
  • IAMおよび多要素認証: ルートアカウントの認証情報は決して共有しないようにしましょう。アプリケーション管理者には、IDの管理・認証・認可(IAM)またはユーザーのロールに基づいたアクセス制御(RBAC)ツールによって、適切な認証情報セットを割り当てるべきです。また、多要素認証(MFA)を可能な限り使用することで、認証情報が漏えいするリスクを劇的に減らすことができます。さらに、複数のログイン試行が阻止された場合などにおいて、攻撃が試みられているかもしれないことを事前に把握することができます。
  • バックアップとリカバリー: 重要なデータが定期的かつ安全にバックアップされている状態を保つために、「3・2・1バックアップルール」を用いた戦略を組み立てましょう。このルールは、最低3つデータコピーを作成し、それらを異なる2つのメディアで保存し、最低1つはオフサイトに保管することでローカルな災害に備えるというものです。支社のオフィスをデータの保管場所とする方法もありますが、低コストで安全なクラウドオブジェクトストレージを活用してセカンダリーバックアップを確保する企業も増えています。
  • イミュータブルストレージ: 最後の防衛ラインとしての役割を果たします。イミュータブル(不変的)なバックアップを実行した場合、あらかじめ決められた時間が経過するまでは、悪意を持ったユーザーを含め、誰にも、いかなる形でもそのデータを削除・変更することができなくなります。従来の手法ではデータがネットワークと完全に切り離される「エアギャップ」が発生していましたが、Wasabiをはじめとする最新のクラウドストレージサービスプロバイダーは、暗号化とハッシュ化を活用し、イミュータブルストレージや仮想エアギャップを提供しています。
  • マルチユーザー認証: ストレージアカウントを削除する前に複数のセキュリティ管理者の同意が必要なクラウドストレージサービスを選択することで、さらに安全性が高く、ランサムウェアにも対処できる復旧ソリューションが完成します。


SMBランサムウェア対策のパートナーを探す

昨今、中小企業向けのランサムウェア対策に興味があるが何から始めたらよいかわからないという組織に向けて、多くの企業が従業員トレーニングやITニーズなどを含めたあらゆるサービスを提供しています。しかし、人材の雇用において候補者の価値やリスクなどを調査するプロセスがあるように、ランサムウェア対策のパートナー探しも慎重に行う必要があります。

まずは、米国サイバーセキュリティ・社会基盤安全保障庁(CISA)や米国国立標準技術研究所(NIST)が提供している優れた無料リソースを活用することをおすすめします。

イミュータブルストレージ
ransomware
the bucket
Drew Schlussel
By Drew Schlussel
Senior Director, Technical Product Marketing