バックアップで事業継続性を維持
ランサムウェア対策において重要なのは、強力な事業継続性の確立と維持に向けたバックアップインフラストラクチャの導入です。企業はサーバーを保護し、またデータを取り戻すために身代金を払う事態が起きないよう、信頼性の高いシステムを導入する必要があります。
バックアップサーバーをインターネットから隔離し、全ユーザーにアクセスを許可する共有アカウントの使用を制限してください。代わりに、サーバー内でユーザーに特定のタスクを割り当て、リモートデスクトップからのサーバーアクセスには二要素認証を必須にするようにしてください。
さらに、物理的に隔離された状態にあるオフラインまたは“イミュータブル(作成後に状態を変えられない)”なデータのコピーを用いたバックアップと、バックアップの「3-2-1ルール」を組み合わせましょう。これが、ランサムウェアやインサイダー(内部犯罪者)の脅威、偶発的な削除に対する最も重要な防衛策のひとつとなります。
ランサムウェアという脅威をできるだけ早期に検知することは、IT部門にとって大きなメリットです。検知には、起こりうる脅威のアクティビティにフラグを立てるツールが必要です。
遠隔地に置かれたエンドポイントデバイスの場合、リスクを特定する設定のバックアップリポジトリがあれば、IT部門は潜在的な脅威の侵入を分析するための広範な知見を得られます。上述の対策を実行しても防御できない場合は、バックアップを可能な限り暗号化するという予防策を追加するのも選択肢です。
データ漏洩を防ぎたい企業に身代金を請求する“脅威アクター(仲介者)”は、データを解読する手間を避けたがる傾向があります。ランサムウェアというインシデント発生に際し、絶対的な復旧手段はありませんが、企業には選択肢があります。
留意すべきは、ITのレジリエンスとは、バックアップの実装方法、脅威への対処方法や復旧の過程によるという点です。時間をかけて利用可能な選択肢を調べ、ソリューションを確実に導入して組織を守りましょう。
インシデントを事前に修正するための準備
攻撃に備えた教育やランサムウェア対抗手順、実装テクニックが設定されていたとしても、脅威を受けた場合の対応策も講じておくべきです。脅威を発見した時に何をすべきか、具体的な計画を立てる必要があります。攻撃に対する防御レイヤーは非常に重要です。
ランサムウェアによるインシデントが発生した場合、バックアップが危険にさらされないよう、企業は復元プロセスのサポート体制を確立しておかなければなりません。そのためには、コミュニケーションが鍵です。
社内外のセキュリティ、インシデント対応、ID管理の連絡先をリスト化しておくことにより、修正プロセスを簡素化できます。次に、意思決定者の一覧を作成し、あらかじめ承認を得ておきます。攻撃を受けた時に、企業データを復元するか、フェイルオーバー(冗長システムに切り替え)するかなどの意思決定を誰に委ねるべきか、知っておく必要があるからです。
データが復旧可能な場合、IT部門はランサムウェアに起因する状況に応じて、複数の復旧手段を取れるようにしておかなければなりません。システムを再びネットワークに接続する前に、ウイルス対策スキャンなど用いて復元前のデータの安全性を確認し、プロセスを正しい方向に進めます。プロセスが完了したら、脅威の再浮上を防ぐため、抜本的にパスワードの強制変更を行ってください。
組織の大小を問わず、ランサムウェアという脅威は現実のものです。攻撃がいつ、どのように起きるかは誰にも予測できません。強力な多層防御とIT戦略、実行部隊があれば、復旧の可能性は高まります。
適切な準備を整えれば、オフィス、リモート、または双方の組み合わせであるハイブリッドワークプレースでも、ランサムウェア被害に対抗する企業のレジリエンス向上に役立てることができます。これは同時にデータの損失、財務上の損失、ビジネス上の評判低下を回避することにもつながるのです。
