セキュリティー侵害のニュースが頻繁に報道されていますが、これは氷山の一角にすぎません。
セキュリティー侵害が成功した数は、私たちの想像をはるかに上回っています。企業は、セキュリティー侵害が多発した2021年から何を学び、何に気をつけるべきなのでしょうか。2022年は、サイバーセキュリティーの防御と、データ保護の強化に向けて、IT部門やセキュリティー部門の責任者は何を検討すべきなのか、解説します。
企業の情報をロックして身代金を要求する「ランサムウェア」は、強力で、壊滅的な被害をもたらす可能性のあるサイバー攻撃の一種です。特に、Ransomware as a Service(ランサムウェア・アズ・ア・サービス、RaaS)は、2021年の1年間でさらに進化しました。これにより、ランサムウェア攻撃を仕掛けるサイバー犯罪者たちは、分業が進み、技術力のないサイバー犯罪者でも、気軽にランサムウェア攻撃に参加できるようになりました。中小規模の組織も、より広範囲に攻撃ができるようになってきています。
その理由は明快です。大規模な組織を対象とした「オーダーメイド」の攻撃は、数百万ドルの報酬を得られる半面、高度な技術力と実行力が必要です。一方、RaaSを利用した小規模な組織を対象にした攻撃では、個々の被害額は小さくても、多くの組織を対象とできるため、全体の被害額は大きくなる可能性があるからです。
IPA(コンピュータウイルス・不正アクセスの届出事例)の2021年上半期の報告をみると、「今期において目立ったのは、NAS(Network Attached Storage)やクラウドストレージが攻撃の対象となった事例である」と指摘しています。コロナ渦において、テレワークが増えたことにより、NASをインターネットからアクセス可能な場所に設置し、テレワーク中の従業員に企業のローカルネットワークの外からファイル共有できるようにしていたところ、NAS の脆弱性を悪用されるなどして、ランサムウェア攻撃の被害に遭ったという事例が確認されています。
バックアップ環境も暗号化され始めている
多くの組織にとって、ランサムウェア攻撃対策として、本番環境のデータをバックアップすることは、常識になっています。しかし、それだけでは、安心できなくなってきていることを認識する必要があります。バックアップは、いざというときの保険として、「とっておきさえすればよい」と考えられがちです。しかも、多くのバックアップデータが、いわば「裸の状態」で置かれています。ランサムウェアの攻撃者はそうした弱点に目を付け、本番環境だけでなく、バックアップ環境も暗号化してくるのです。
データセキュリティーの観点から、そのような攻撃のリスクを減らすために今何が必要かを検討することが重要です。
書き換え不可能なバックアップ環境
まず、攻撃を受けたとしても、データを暗号化されないようにするための措置をとる必要があります。書き込んだデータを、「リードオンリー」にする不変的なバックアップを行ったり、一度書き込んだデータを消去・変更できない追記型とする仕組みを取ったりして、バックアップデータを保護することが推奨されます。
ロール(役割)ベースのアクセス制御(RBAC)や、多要素認証(MFA)、暗号化フレームワークといったセキュリティー機能も実装してあれば安心です。さらには、社内データセンターからパブリッククラウドにバックアップし、両者の通信を遮断する「エアギャップ」を設けることが望ましいです。
早期検知と的確なバックアップ
感染したバックアップからではなく、定期的でクリーンなデータを確実にバックアップすることも大切です。もし感染してしまったら、悪意のある行為に早期に気づくことが重要なのです。最先端で高度な、次世代データ管理テクノロジーとプラットフォームは、AIと機械学習機能を活用し、一般的に疑わしい活動の指標となる異常を検出します。プラットフォームは、必要なITとセキュリティーのチームのメンバーに、何のトラブルが起きているのかを調査するよう警告を発してくれます。早期発見は攻撃の影響範囲を抑えるため、とても重要です。その後のバックアップが、悪意あるファイルも含めてバックアップしないようにし、既存のバックアップからクリーンポイントを特定するのに役立ちます。
