Microsoftは、企業がランサムウェア攻撃によってネットワークを全面的にまひさせられ、何百万ドルもの身代金を要求されたり、企業データをインターネット上に流出させられたりする事態を防ぐための3つのステップを示している。
この3つステップは、米国立標準技術研究所(NIST)のNational Cybersecurity Center of Excellence(NCCoE)が、ランサムウェアなどの破壊的なサイバー攻撃を防ぎ、被害を復旧するためのアプローチについて専門家からのフィードバックを求めたことに対する、Microsoftの回答の中に記されていたものだ。
3つのステップを端的な言葉で表現すれば、「準備」「制限」「防止」になる。Microsoftは、身代金を支払わずに環境を復旧するための復旧計画を準備しておく、特権ロールを保護することによって被害の範囲を制限する、侵入を困難にするという3つの措置によって、リスクを段階的に減らしていくことが望ましいと述べている。
これらのステップは、最終的にはネットワークが攻撃者に侵入されてしまうことを前提としている。これは、ITベンダーや米国政府が関心を持っている、いわゆる「ゼロトラスト戦略」の考え方に基づくものだ。
Microsoftのサイバーセキュリティソリューショングループでリードサイバーセキュリティアーキテクトを務めるMark Simos氏は、「多くの人は単純に攻撃を防いでそれで終わりにしたいと考えているため、このやり方は直感に反しているように見えるかもしれない」と話す。
「しかし残念ながら私たちは、侵害が発生することを前提として、まず確実に最悪の被害を軽減することに力を入れる必要がある。これを優先することが非常に重要なのは、ランサムウェア攻撃を受けると、最悪のシナリオが起きる可能性が非常に高いためだ」
この3段階計画には実際には多くの作業が必要とされるが、その作業は大きく分けて3つに分けられる。
準備の段階では、詳細で安全なバックアップ計画を策定し、誰が、何を、なぜ、どのようにバックアップするかを定める必要がある。
これには、企業が最悪のシナリオに遭遇したときに、どのように被害を抑えるかを決めることも含まれる。Microsoftは、システムをバックアップから復旧する方が、攻撃者に対処したり、攻撃者が提供する復号ツールを使ったりするよりも簡単で安価だと指摘している。また、身代金を払っても必ずしも復旧できるとは限らないという問題もある。
Microsoftは、「Microsoft Active Directory」などのアイデンティティ・アクセス管理システムなどを含む、重要な依存関係を持つ要素のバックアップを取り、バックアップを保護し、被害から復旧するためのシナリオと事業継続性を検証するよう勧めている。
また被害の範囲を限定することに関しては、エンドツーエンドのセッションセキュリティを適用し、管理者が多要素認証を使用すること、アイデンティティシステムの保護と監視、ラテラルトラバーサルの軽減(攻撃がネットワーク内に及んだ場合)、および迅速な脅威対応を行うことを推奨している。
