ランサムウェアからの復旧　～　サイバー攻撃からデータを守る方法

ランサムウェアは、企業がサイバーセキュリティ対策を検討、強化するきっかけとなっています。広範囲にわたる攻撃の急増により、復旧にはこれまで以上にコストと時間がかかるようになっています。ランサムウェアに感染した企業は、収益の損失、生産性の低下、顧客の不信、規制上の罰金、回復不能なデータ損失など、多くの課題を引き起こすダウンタイムや業務の中断に直面します。一部の組織は、インシデントの結果として法的手続きや集団訴訟の対象となる可能性もあります。

被害者にとって、攻撃の影響は企業の評判、業務、財務などに及ぶことがあります。場合によっては、ダウンタイムのコストが身代金の支払い要求金額を上回ることもあります。この予期しないダウンタイムは、生産性に大きな影響を与える可能性もあります。従業員はアプリケーションやデータにアクセスできず、通常のパフォーマンスを維持するのが困難になりますが、会社としての取り組みは復元に重点を置いています。復旧コストが高くなるもうひとつの要因は、外部の専門家を雇う必要があることです。典型的な中堅企業や中小企業は、ITセキュリティチームのリソースに制約があるため、セキュリティインフラを再構築して実装するためのセキュリティ人材や帯域が不足している可能性があります。こうした制約を認識した中小企業は、ランサムウェアからの復旧を完全にアウトソースすることを決定することが多くみられます。

IBMによると、データ侵害による平均コストは445万ドルにのぼるそうです。ランサムウェアからの復旧に数百万ドルのコストがかかる要因は何でしょうか。復旧に必要なリソース以外にも、復旧コストの高騰につながる要因があるのです。これには、影響を受けた顧客による法的な影響、株主からの訴訟、コンプライアンス違反による罰金などが含まれます。

ランサムウェアからのリカバリプランは、攻撃に対する準備を確実にします。ここでは、ランサムウェアによる業務の中断や損害を軽減するために企業が取るべき手順、基準、ポリシーを概説します。最も効果的なランサムウェアリカバリプランには、インシデント対応計画、検出と分析、データのバックアップと復旧が含まれます。

アクロニスでは、ランサムウェアに対応するための12のステップに従うことを推奨しています。これらのステップには、復旧のための5つの主要な原則があります。ランサムウェアからの復旧を成功させるためには次のことを行う必要があります。

企業は、重要な社内外の連絡先、名前、電話番号、電子メールアドレスの物理的なコピーを保持することを検討する必要があります。オンライン記録は、ランサムウェア攻撃中にアクセスできなくなる可能性があります。さらに、ソーシャルメディアや組織のメッセージングアプリなどの代替の内部コミュニケーション方法を徹底的に確立してテストすることで、通常のシステムが動作しなくなった場合に主要な関係者に連絡できるようになります。効果的なIRPでは、アクティブなランサムウェア攻撃中にどのチームに通知する必要があるかをマップする組織化されたコミュニケーション戦略を開発することで、イベントがエスカレートする可能性がある場合に、適切な相手に通知することができます。これには、ITやセキュリティ運用のプロフェッショナル、経営幹部、法務やコンプライアンスチーム、影響を受ける可能性のあるパートナーと顧客、報道機関と一般の人々、規制当局、投資家などが含まれます。

現代の企業は、強化されたマルウェア対策を実装することで、従来のシグネチャベースのウイルス対策ソフトウェアを補完できます。機械学習とAIを利用して疑わしいアクティビティ (ランサムウェアのような動作を含む) を検出するエンドポイント検出＆応答 (EDR) ソリューションは、ITセキュリティの専門家が悪意のあるパターンを早期にプロアクティブに検出するのに役立ちます。振舞いベースの検出アプローチを無視すると、境界セキュリティとシグネチャベースのマルウェア対策を回避するゼロデイマルウェアやその他の高度な攻撃を検出できなくなります。

EDRの回復の利点の1つは、サイバーセキュリティアナリストが収集したEDRデータを評価して、サイバー犯罪の手法をよりよく理解し、侵入を分析し、感染したマシンを特定できることです。このデータは、適切なインシデント対応アクティビティを実行するために不可欠であり、今後同様の攻撃を防ぐために使用できます。

企業が自然災害、サイバー攻撃、または人的要因のいずれの影響を受けた場合でも、ディザスタリカバリは業務を正常に戻すために不可欠です。従来、大量のバックアップデータを復元するには数日から数週間かかることがあり、その結果、企業が通常業務に戻るのを妨げる深刻な遅延が発生します。ランサムウェア攻撃の後、ディザスタリカバリを使用すると、クラウドに保持されているデータとアプリケーションのマルウェアのないレプリカに切り替えることで、企業はすぐに業務を再開できます。ディザスタリカバリを備えた組織は、業務の停止や予期しない中断に対してはるかに回復力があります。さらに、サービスとしてのディザスタリカバリ (DRaaS) の概念は、コスト効率と管理のシンプルさを維持しながら、小規模企業に同じビジネス継続性のメリットを提供します。

強化されたデータ保護計画を実装することで、データ侵害が成功する可能性が高いことを認識し、データ損失に対するセーフティネットの作成を優先します。貴重なデータを保護する最後の試みとして、企業は最近のバックアップを利用して業務を再開し、身代金の支払いを回避することができます。しかし、犯罪者はバックアップがデータ保護の要であることを認識しており、バックアップアーカイブを悪用することがよくあります。これらの攻撃に対抗するには、マルウェアのないバックアップを維持するためにデータの暗号化が不可欠であり、データコピーを複数の代替場所に保存することをお勧めします。組織がオンサイト、オフサイト、ハイブリッドのいずれのバックアップを選択するかは、個々のビジネスのニーズ、予算、保護戦略によって異なります。

データ損失につながる脆弱性は数多くあります。これらの脆弱性は通常、攻撃者によって悪用され、ネットワークへの不正アクセスを可能にします。

すべての企業が警戒すべき一般的なセキュリティ脆弱性を次に示します。

• 既知であるがパッチが適用されていないソフトウェアの脆弱性

• ゆるく割り当てられた特権または過剰な特権

• 多要素認証 (MFA) の欠如

•  地震、洪水、ハリケーン、竜巻、吹雪などの自然災害

• ヒューマンエラー

• 物理的セキュリティの低さ

• 無制限の個人端末持ち込み (BYOD) ポリシー

最後の防衛線として、3-2-1バックアップ戦略を採用することは、セキュリティの脆弱性からデータを保護する最も効果的な方法の1つです。3-2-1戦略では、組織は貴重なデータの3つのコピーを保持し、1つのコピーをローカルに保存し、2つのコピーをオフサイトに保持します。安全なバックアップをローカルとオフサイトの両方の場所に分散させることで、自然災害、人為的ミス、サイバー攻撃など、場所や原因に関係なく、データ損失のリスクを大幅に軽減できます。

公開されている脆弱性を積極的に軽減するための予防措置を講じることで、セキュリティ体制が強化されるだけでなく、顧客、コンプライアンス規制機関、サイバー保険業者に対して、組織がサイバーリスクの軽減と機密データの保護に重点を置いていることを示すことができます。企業は、包括的なリスク評価を実施することでセキュリティの弱点を特定できます。これにより、データの漏えいを特定し、ITセキュリティリーダーがインフラストラクチャの弱点を調査できるようになります。

さらに、定期的なデータ監査を実行すると、利害関係者が日常的に収集、保存、共有されているデータの種類を理解し、そのデータにアクセスできるユーザーを特定するのに役立ちます。これにより、対策が不足している可能性のある保護領域を強化できます。

ランサムウェア攻撃を受けた後、被害を最小限に抑え、迅速に復旧するためには、組織の迅速な対応が不可欠です。継続的なランサムウェア攻撃を受けた企業が直ちに取るべき3つのステップを説明しましょう。

ステップ１：最初のステップは、ランサムウェアの拡散を阻止するために、感染したシステムをネットワークから分離することです。これには、影響を受けたデバイスをインターネットやその他のネットワーク接続から切断することが含まれます。

ステップ２：次に、企業のIRPを参照して、組織内の明確なコミュニケーションを確立し、適切な担当者に通知するようにします。これには、ITチーム、経営陣、法務部門、役員など、攻撃に関する関係者とのコミュニケーションが含まれます。効果的なコミュニケーションは、インシデント対応を成功させ、迅速な意思決定を可能にするための鍵です。

企業は、法律および規制のコンプライアンス義務を考慮する必要があります。これには、適切な当局へのインシデントの報告が含まれます。法的および規制上の義務を遵守することで、顧客やパートナーとの信頼と透明性を維持し、規制による制裁を受けるリスクを軽減できます。

ステップ３：最後に、企業は復旧作業に重点を移す必要があります。これには、バックアップからのシステムの復元、サイバーセキュリティの専門家との連携、セキュリティのギャップの解消、将来の攻撃を防ぐためのセキュリティ対策の強化などが含まれます。

多くの大規模な組織では、サイバーセキュリティの運用とITの運用が、独自のリーダーシップ、スタッフ、予算、ツールを備えた2つの独立した保護部門として組織されています。しかし、サイバーセキュリティとデータ保護をより緊密に統合して、ランサムウェア攻撃の成功確率を下げ、成功した攻撃からより迅速かつコスト効率よく復旧することの価値がますます認識されています。フェールオーバーまたは復旧オプションで使用される前に、既知の脆弱性とマルウェアのバックアップとディザスターリカバリーレプリカをスキャンする機能 (攻撃の原因となった問題が復旧プロセスに再び持ち込まれないようにするため) 、攻撃後のフォレンジックデータの収集と分析を強化して、同様の攻撃の再発を防ぐ可能性のある変更を推進するといったメリットがあります。

統合されたサイバープロテクションは、多層防御の基礎です。アクロニスでは、統合されたサイバーセキュリティとデータ保護を 「サイバープロテクション」 と定義しています。統合されたサイバー保護の主な利点は次のとおりです。

統合されたサイバーセキュリティとデータ保護により、組織はインフラストラクチャの可視性を強化できます。これにより、EDR、エンドポイントのマルウェア対策、脆弱性スキャンとパッチ管理、バックアップとディザスタリカバリにまたがる多層防御策の間の潜在的な管理とレポートのギャップが最小限に抑えられます。

統合されたサイバープロテクションは、ポリシーの作成、構成、監視、および管理を1か所で一元化することにより、管理プロセスを簡素化します。セキュリティプロフェッショナルは、よりシームレスに運用し、複雑さを軽減し、効率を向上させ、時間を節約できます。

ランサムウェア攻撃が発生した場合、被害の影響を最小限に抑えるには時間が重要です。統合されたサイバー保護により、セキュリティチームは、セキュリティとデータインフラストラクチャのすべての側面に目を向けることで、より簡単に調査、分析、トリアージを行うことができます。統合されたサイバー保護により、マルウェアに感染したバックアップ、エンドポイントデバイス、サーバー、VM、ワークステーションなど、影響を受ける資産を迅速に特定し、影響を受けていないシステムを攻撃から分離し、感染したシステムに対応の焦点を絞ることができます。

統合されたサイバープロテクションは、組織がコンプライアンス要件をより適切に満たし、業界の規制に合わせるのに役立ちます。データ保護とプライバシーへのコミットメントを示し、重要なデータを保護するためのプロアクティブなサイバーセキュリティ対策を示している組織は、ランサムウェアの回復コストを負担し、規制当局からより寛大な処置を受けるためのサイバー保険の資格を得る可能性が高くなります。

統合されたソリューションは、長期的にコスト削減につながります。セキュリティツールとテクノロジを統合することで、組織は冗長性を排除し、ライセンスとメンテナンスのコストを削減し、リソース割り当てを最適化します。さらに、データ侵害とセキュリティインシデントを防止することで、組織は潜在的な金銭的損失、評判の低下、および望ましくないダウンタイムから保護されます。

企業がベンダーの統合に移行するにつれて、サイバーセキュリティとデータ保護の統合により、セキュリティ、運用効率、および財務上の利点が向上します。間接費が増加する中、セキュリティ技術の統合は引き続き勢いを増し、ますます複雑化するサイバー脅威からデータと稼働時間を保護するために、企業がインフラストラクチャを保護するのに役立つと予測しています。

Acronis Cyber Protectは、サイバーセキュリティ、データ保護、および管理を統合して、企業がサイバー保険の資格を満たし、業界の規制を遵守し、サイバーレジリエンスを強化できるようにします。このソリューションを使用すると、サイバーセキュリティ、バックアップ、リカバリ、およびエンドポイント管理を1つのコンソールで一元的に管理、プロビジョニング、および拡張できるため、個々のツールのアレイを管理するために無駄になるリソースと時間を削減できます。