海外コメンタリー

ランサムウェア攻撃から保護、復旧するために--マイクロソフトが示した3つのステップ

Liam Tung (Special to ZDNET.com) 翻訳校正: 石橋啓一郎

2021-09-16 06:30

 Microsoftは、企業がランサムウェア攻撃によってネットワークを全面的にまひさせられ、何百万ドルもの身代金を要求されたり、企業データをインターネット上に流出させられたりする事態を防ぐための3つのステップを示している。

 この3つステップは、米国立標準技術研究所(NIST)のNational Cybersecurity Center of Excellence(NCCoE)が、ランサムウェアなどの破壊的なサイバー攻撃を防ぎ、被害を復旧するためのアプローチについて専門家からのフィードバックを求めたことに対する、Microsoftの回答の中に記されていたものだ。

 3つのステップを端的な言葉で表現すれば、「準備」「制限」「防止」になる。Microsoftは、身代金を支払わずに環境を復旧するための復旧計画を準備しておく、特権ロールを保護することによって被害の範囲を制限する、侵入を困難にするという3つの措置によって、リスクを段階的に減らしていくことが望ましいと述べている。

 これらのステップは、最終的にはネットワークが攻撃者に侵入されてしまうことを前提としている。これは、ITベンダーや米国政府が関心を持っている、いわゆる「ゼロトラスト戦略」の考え方に基づくものだ。

 Microsoftのサイバーセキュリティソリューショングループでリードサイバーセキュリティアーキテクトを務めるMark Simos氏は、「多くの人は単純に攻撃を防いでそれで終わりにしたいと考えているため、このやり方は直感に反しているように見えるかもしれない」と話す。

 「しかし残念ながら私たちは、侵害が発生することを前提として、まず確実に最悪の被害を軽減することに力を入れる必要がある。これを優先することが非常に重要なのは、ランサムウェア攻撃を受けると、最悪のシナリオが起きる可能性が非常に高いためだ」

 この3段階計画には実際には多くの作業が必要とされるが、その作業は大きく分けて3つに分けられる。

 準備の段階では、詳細で安全なバックアップ計画を策定し、誰が、何を、なぜ、どのようにバックアップするかを定める必要がある。

 これには、企業が最悪のシナリオに遭遇したときに、どのように被害を抑えるかを決めることも含まれる。Microsoftは、システムをバックアップから復旧する方が、攻撃者に対処したり、攻撃者が提供する復号ツールを使ったりするよりも簡単で安価だと指摘している。また、身代金を払っても必ずしも復旧できるとは限らないという問題もある。

 Microsoftは、「Microsoft Active Directory」などのアイデンティティ・アクセス管理システムなどを含む、重要な依存関係を持つ要素のバックアップを取り、バックアップを保護し、被害から復旧するためのシナリオと事業継続性を検証するよう勧めている。

 また被害の範囲を限定することに関しては、エンドツーエンドのセッションセキュリティを適用し、管理者が多要素認証を使用すること、アイデンティティシステムの保護と監視、ラテラルトラバーサルの軽減(攻撃がネットワーク内に及んだ場合)、および迅速な脅威対応を行うことを推奨している。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]