ランサムウェア対策とは?
ランサムウェア対策の戦略とソリューションは、ゼロトラストセキュリティの原則を高度な脅威インテリジェンスや検知と組み合わせ、サイバー攻撃からデータを保護します。専門家が2031年までに2秒に1回企業が攻撃されることを予測するなど、ランサムウェアは急速に増加しており、組織はサイバーレジリエンスを最大限に高めるためにプロアクティブに計画し、環境を構築する必要があります。攻撃に遭ってデータの緊急復旧が必要になるのを避けるため、ランサムウェア対策には、データの保護とサイバー脅威の検知の両方を含みます。
ランサムウェア攻撃を防ぐには?
企業データを盗み出すランサムウェア攻撃の対策は4つの重要なアクションから始まります。
- バックアップデータとシステムの保護: サイバー犯罪者は本番システムだけを攻撃するのではなく、今やバックアップデータも標的にします。そのため組織は、データのグローバルな可視化と、最小権限や職務分掌といったゼロトラスとの原則に基づいて構築された堅牢なセキュリティ機能を備えた、最新のバックアップと復旧ソリューションに投資する責任があります。ランサムウェア攻撃をプロアクティブに防ぐバックアップソリューションには、イミュータブルスナップショット、データの暗号化、WORM (Write Once, Read Many)、設定の監査やスキャン、耐障害性機能だけでなく、データ隔離機能などが含まれます。柔軟なデータ隔離機能は、最悪の事態が発生した場合に、厳しいRTO (目標復旧時間) / RPO (目標復旧時点) とセキュリティ要件のバランスを取ることができます。
- 不正アクセスリスクの軽減: 認証情報を盗みやすいデスクトップ共有ソフトウェアは、ランサムウェア攻撃の手段としてよく使われています。サイバー犯罪者は盗んだ認証情報を使って企業のインフラストラクチャに侵入し、横方向に移動しながらシステムやデータをロックします。組織は、多要素認証、変更のモニタリング、従業員が組織で果たす職務や役割に応じてデータへのアクセス権限を与えるきめ細かなロールベースのアクセス制御 (RBAC) といった、最新のデータ管理とランサムウェア対策機能を利用して不正アクセス阻止の効果を高めることで、データの盗難や損失のリスクを軽減することができます。
- 攻撃の確認と検知で侵害を阻止: ランサムウェア攻撃は非常に多いため、これをひとつずつ探し出して阻止することは今や不可能です。強固なランサムウェア対策戦略には、人工知能や機械学習 (AI/ML) を活用したデータセキュリティとデータ管理ソリューションが役立ちます。こうした新たなテクノロジーは、脅威インテリジェンスやスキャンによる異常検出を行い、侵入が発生した、または発生しているかどうかを迅速に判断して、チームに対策を講じるよう自動でアラートを発します。さらに、最新のデータ管理プラットフォームに備わっているサイバー脆弱性の検知機能は、ランサムウェア攻撃を寄せ付けないようにします。
- 統合機能とAPI (Application Programming Interface) でセキュリティ体制を強化: 今日の企業で完全に隔離されたシステムはほとんどないため、ランサムウェア攻撃を防止しようとしている組織は、ソリューション間の互換性を求める必要があります。例えば、豊富なAPIを搭載したデータ管理アーキテクチャであれば、現在と今後のソリューションに対応することができます。さらに、強力な関係を築いているセキュリティベンダーであれば、サイバー犯罪を阻止するためにより深く踏み込んだ緊密なテクノロジーの統合 (事前組み込みやカスタマイズ) をサポートしてくれます。拡張可能なプラットフォームはデータのフットプリントを削減し、環境内の攻撃対象領域を狭めることができます。
なぜランサムウェア対策が重要なのか?
ランサムウェア対策は、継続的な事業運営にとって非常に重要です。今日の悪意ある行為者は、個人からグループ、国家まで、組織に身代金を支払わせるためにデータを暗号化するだけでなく、二重恐喝のランサムウェアスキームで不正にデータを削除 (窃取) してダークウェブなどで一般に公開することで、金銭的、評判的にもさらなる損害を与えようとします。
堅牢なランサムウェア対策があれば、組織は以下を実現することができます:
- 事業継続やビジネスレジリエンスの大幅な向上
- リスクの軽減
- 企業や業界の要件の遵守
ランサムウェア対策のチェックリスト
ランサムウェア対策の戦略は、人、プロセス、テクノロジーを含むランサムウェア対策チェックリストから始めます:
人:
- ランサムウェア攻撃に関する教育やトレーニングを従業員に実施 (フィッシング、メールの添付ファイル、ソーシャルエンジニアリングなど)
- 対策の重要性を伝えるため、IT、ビジネス、コミュニケーションの代表者から成るランサムウェアのタイガーチームを設置
プロセス:
- 脆弱性のあるアプリケーションとシステムに対し、定期的にパッチを適用
- RTOとRPOを含む、ランサムウェア対策と復旧計画を準備
- 堅牢なランサムウェア対策ソリューションに投資して維持
テクノロジーソリューション:
バックアップデータとシステムを保護します:
- 暗号化、変更、削除が不可能なイミュータブルスナップショット
- 偶発的または悪意のある変更や早すぎる削除を防ぐため、最も機密性の高いデータに、ロールベースまたはポリシーベースで期限付きロックを適用するWORM (Write Once, Read Many) テクノロジー
- データの転送中や保存中に他者が平文でデータを見ることを防ぐ、データの暗号化
- 人為的エラーの自動検知を使った設定監査とスキャン
- データの完全性を保証する耐障害性システム
- 機密情報を完全に分離し、必要に応じて迅速に本番環境へ戻す最新の柔軟なデータ隔離
不正アクセスのリスクを軽減します:
- 持っているものと知っていることで本人確認をする多要素認証 (MFA)
- 導入が容易な4-Eyes承認で、機密なアクティビティには最低2名のユーザーの承認を必要に
- 認証情報が漏洩してもビジネス全体が侵害されないよう最小レベルのアクセスを保証する、細かい単位でのRBAC (ロールベースのアクセス制御)
攻撃を確認、検知して侵害を阻止します:
- 侵害指標でマルウェアを識別することのできる、AI/MLを活用したモニタリング機能
- ランサムウェア攻撃の兆候を示すデータの異常な変化を検知する異常検知機能
- 疑わしいアクティビティをチームに迅速に伝える自動アラート
- 是正が必要なエクスポージャーを判断するサイバー脆弱性の発見
プラットフォームの拡張性でセキュリティ体制を強化します:
- 効率化を実現する、事前に組み込まれた主要なSOAR (Security Orchestration, Automation, and Response)、およびSIEM (セキュリティ情報とイベント管理) ソリューションとの統合機能
- 独自のビジネス要件に対応できるカスタム統合
- ウィルススキャンやデータのマスキングからファイル監査ログの分析やデータの分類まで、データをその場で使用できる付加価値の高いアプリケーションとの相互運用性
Cohesityとランサムウェア対策
ランサムウェア対策、ランサムウェアからの復旧、サイバーレジリエンスの強化は、Cohesityのデータセキュリティとデータ管理ソリューションが世界中の組織に提供しているコアの機能です。
Cohesity Data Cloudは、組織がデータを保護し管理するための統合プラットフォームです。Cohesity DataProtectはランサムウェアに対する防御のための堅牢なバックアップです。一方、Cohesity DataHawkは、脅威インテリジェンスやスキャン、サイバー保管庫、機械学習を活用したデータ分類をすべてひとつのソリューションで提供することで組織をランサムウェアから守ります。
Cohesityはこれらのソリューションで、金銭を得るために業務を妨害し、データを盗み出すよう設計されたランサムウェアやその他のサイバー脅威を監視するために必要な、重要なランサムウェア対策や検知機能をすべて提供しています:
- さまざまなデータソース (オンプレミス、SaaS、クラウドネイティブ) のバックアップデータとシステムの保護
- 不正アクセスの防止
- セキュリティ運用とインシデント対応を統合することでインシデント対応を強化するプラットフォームの拡張
- 必要な時に、任意の場所と時点への大規模かつ迅速な復旧
詳細については、ランサムウェアへの備えガイドをご覧ください。