うっかり一通のメールを開封したことから、会社の事業全体が止まってしまう──昨今、国内で猛威を振るうランサムウェアは、そんな脅威を現実のものにしている。「ZDNET Japan Security Conference ’25 Vol.3」において、TD SYNNEX ブロードコムビジネス部門 プロダクトマネジメント部 シニアビジネスデベロップメントマネジャーを務める萱野大輔氏が「終わらない攻撃にどう立ち向かうか──Carbon Blackで実現する“復旧と再起”のセキュリティ戦略」と題して講演を行い、ランサムウェアがもたらす影響の大きさを解説し、多層防御を通して、防御だけでなく復旧と再起に備えるべきと呼び掛けた。
TD SYNNEX株式会社
ブロードコムビジネス部門プロダクトマネジメント部
シニアビジネスデベロップメントマネジャー
萱野 大輔 氏
猛威を振るうランサムウェア、「気付いたときには遅かった」という新種も
たびたびメディアで報じられているとおり、ランサムウェア攻撃の被害に遭う企業や組織が後を絶たない。IPAの「情報セキュリティ10大脅威」でも、ここ数年ずっとランサムウェアが一位の座を占めているほどだ。
悪意あるファイルが添付されたメールを開いたり、既知の脆弱性を放置したままVPN機器を運用していたり、あるいは取引先などのサプライチェーンを経由して侵入されたりと、ランサムウェアの感染経路はさまざまだ。ただ、ひとたび感染するとその被害は計り知れない。
とある関西の物流会社では、一通のメールからランサムウェア被害がスタートし、社内のシステムやインターネットも一切使えない事態に陥った。他にも、大手出版企業や教育機関、病院など、さまざまな企業や組織が影響を受けている。
「もしECサイト事業者ならば、サービスが停止すると売上も止まります。受発注システムが止まるため仕入れもできなくなります。その上ランサムウェアは、お客さまの個人情報や機密情報を盗み取り、返してほしければ金銭を支払えと要求してきますから、それらに対する損害賠償のほか、パートナーのビジネスを止めてしまった損失の補償も求められます」(萱野氏)
加えて、インシデントの調査を進めながら復旧作業を進め、場合によってはメディア対応や訴訟問題への対応も検討しなければならない。こうした直接的な被害もさることながら、信頼やブランドの失墜、株価への影響といった間接的な被害も広がり、負のスパイラルに陥る可能性があると萱野氏は指摘した。
ランサムウェアの被害にあった場合、会社への影響は?
その上で萱野氏は、サイバー攻撃時に対応する専門部署がある、と回答した企業はたったの9.3%にすぎず、70%はまったくないとしている実態を紹介し、「どのように対応すればよいかわからない企業が多いと思います」と述べた。
しかし、いざ被害が発生した際に、誰がどのような方針の下で意思決定を下していくかを決めておかなければ、具体的なアクションを適切に取ることはできない。
一方で、ランサムウェアはどんどん進化している。初期のランサムウェアは、感染するとCPUやネットワークの負荷が異常に高まったり、わかりやすい脅迫状を表示したりで、感染の事実にすぐ気づけるものが大半だった。しかし最近のランサムウェアは、通常の動作を装って監視の目から隠れながら企業システム内を密かに動き回り、偵察し、Active Directoryなどの重要なシステムや情報のありかを把握してから攻撃を行います」(萱野氏)。ときにはセキュリティ対策製品を停止させた上で攻撃を行うものまである。
「こうした新たなタイプのランサムウェアは、既存のエンドポイント保護製品やEDRではなかなか検知できず、『気付いたときには遅かった』という事象が増えています」(萱野氏)
経営層の理解の元、部分最適ではない多層防御にしっかり投資を
不幸にしてランサムウェアの被害に遭った場合は、緊急対応チームを立ち上げ、経営層などがリーダーシップを取りながら解決に取り組まなければいけない。
まず、あらかじめ定めていた手順に沿って、バックアップからシステム復旧を試みる必要がある。ただ、システムがすぐに復旧できない場合には、電話やFAX、そして紙の台帳といったアナログな手段によるビジネスフローを再整備し、最低限の事業を回していかなくてはならない。また、もしサイバー保険に加入していた場合には保険会社に連絡を取る必要もある。ここまでが一次復旧と言えるだろう。
そして、感染前後のさまざまなデータやフォレンジック調査の結果を踏まえ、何が感染の原因だったのか、自社のどこが問題や脆弱性があったのかを分析し、次のセキュリティ対策につなげていくことが重要だ。
事後の復旧対応で取り組むべき5つのポイント
最終的には、「サイバー攻撃に強いセキュリティ設計の実現に向け、部分最適ではなく、インターネットの入口と出口、そしてシステム内部で拡散させない内部対策という多層防御を行っていく必要があります」と萱野氏はアドバイスした。合わせて、いざという時に備えたインシデント対応計画を策定し、従業員にそれを教育・周知していくことも重要だ。
そして「こうした取り組みにはコストもかかります。ランサムウェアやサイバー攻撃の怖さを経営層が理解し、投資としてお金を払っていくような会社作りをしていく必要性があります」と指摘した。
幅広いポートフォリオと信頼できるサポートでセキュリティ対策を後押し
TD SYNNEXではこうしたアプローチを具体化するために、ブロードコムの総代理店として幅広いセキュリティポートフォリオを提供し、入口と内部、出口にまたがる全体最適のセキュリティ対策を支援している。
ブロードコムでは、エンドポイントからネットワーク、アプリケーション、Eメール、そして情報漏洩を防ぐDLPに至るまで、幅広いセキュリティソリューションを提供してきた。さらに、幅広い製品群を生かして毎月3万件以上の新種のウイルスや攻撃手法を収集し、業界でも最も歴史のあるグローバル脅威インテリジェンスを活用して効果的な対策を支援している。また、クラウドとオンプレミス、それらを組み合わせたハイブリッドといった幅広い環境に対応していることも特徴だ。
Symantec Endpoint Securityのセキュリティポートフォリオ
中でもエンドポイントに関しては、そもそもの感染を防ぐ「Symantec Endpoint Security」によってウイルスやマルウェアへの感染を防ぐほか、脅威の検知・可視化を行う「EDR」というコンセプトを打ち立てた「Carbon Black」が有効だ。Carbon Blackは端末上の挙動に関するデータをきめ細かく収集し、万一防御の網をすり抜けて脅威が侵入してきても異常や変化に素早く気付き、迅速に対応できるよう支援する。
クラウドベースのセキュリティプラットフォーム「Carbon Black Cloud」には、クラウド環境端末用の「Endpoint」と仮想マシン用の「Workload」がある。このうちCarbon Black Endpointでは、次世代アンチウイルスやビヘイビアベースのEDR、デバイス制御といった基本機能を備えた「Foundation」、リアルタイムに今の状況を確認したり脆弱性管理も行える「Advanced」、感染後の迅速な対応や脅威ハンティングまでを支援する「Enterprise」という3つのエディションが用意されている。
また、オンプレミス環境向けの「Carbon Black EDR」では、Carbon Black Cloudのような脅威検出や解析が可能なほか、内部脅威検知やユーザー行動の監視、データ持ち出し防止といったより幅広いセキュリティ機能を提供する。可視化機能を利用した継続的な監査も可能だ。さらに、アプリケーションの制御機能を提供する「Carbon Black App Control」も用意されている。
こうした特徴を評価し、情報通信業やコンサルティング、あるいは製造、サービスなど、幅広い企業で導入事例がある。
Carbon Blackのソリューション概要
TD SYNNEXはブロードコムのカタリストパートナーとして、日本市場におけるマーケティングから販売、日本語によるさまざまなレベルのサポートに至るまで、一連の支援を提供している。顧客向けの支援だけでなく、ウェビナーの企画や技術コンテンツの提供、設計支援といった形で、代理店向けのさまざまな支援も展開する。旧SymantecやCarbon Blackのメンバーも再集結することで、手厚いサポートを実現していく方針だ。
萱野氏は、「見積もりの発行などでお待たせすることなく、迅速な対応を行い、安定価格の提供に取り組むことを我々の約束としています。さらに、エンドユーザー様の満足度を上げるためのサポート品質にもこだわり、しっかり対応していきます」と宣言した。
未知のウイルスが登場する中、被害の未然防止はもちろん、迅速な初動対応、そして事業継続に備えたプラン作りを経営層の理解やリーダーシップの下で進めていく必要がある。それでももし被害に遭った場合、元のビジネス環境に戻るには克服すべき点が多々あり、長い道のりとなるだろう。だがTD SYNNEXは、サイバーセキュリティ業界におけるブロードコムの長い歴史とナレッジ、情報を生かし、常に寄り添い、ベストなソリューションを提案していく。
関連記事:【特別連載】TD SYNNEX × Broadcom
