セキュリティ環境を整備しよう！ランサムウェアの攻撃に対処するための対策とは？～入口対策、内部対策編～

企業にとって、ランサムウェアの脅威は常に意識しなくてはならないものです。しかし実際には、どのような対応をすればよいのか悩んでいるセキュリティ担当者も多くいます。そこで今回は、出口対策と内部対策に焦点をあて、大切な機密情報をどのように守ればよいかについて解説します。

ランサムウェアの変化

端末にあるデータを人質にし、金銭を要求するランサムウェア。トレンドマイクロ株式会社が実施した「ランサムウェア攻撃 グローバル実態調査 2022年版」によると、日本を含む26の国と地域において、過去3年間にランサムウェアの攻撃を受けたことのある企業は66.9％に上ります。また、攻撃を受けたうち、4割以上が身代金を支払いました。これらの企業は、技術情報や顧客情報、従業員情報などを持ち出されたようです。

このように世界規模で発生しているランサムウェアは、もともとエンドポイントからの感染が一般的でした。取引先からのメールや顧客からの問い合わせなどを装ったメールにウイルスを添付して、不特定多数に送り付け、うっかり開いてしまったPCやタブレットなどを経由して不正アクセスを実行しました。しかし今、攻撃の方法が少しずつ変化しています。

最近では端末ではなく、VPN機能やOSの脆弱性セキュリティ対策が甘い部分を狙い、ピンポイントで攻撃されるケースが増えています。これまでは攻撃経路が限られていましたが、今やどこから攻撃が来るかわからず、社員一人ひとりのPCが思わぬところから攻撃されるリスクを抱えています。

ランサムウェアに対抗する入口対策、内部対策、出口対策

攻撃方法が変化する中で、企業では入口対策、内部対策、出口対策の3つが求められています。入口対策とは、侵入を防ぐために様々な対策をゲートウェイに実施することです。インターネットと社内LANの間にファイアーウォールを設置したり、受信したメールを自動で分析するスパムフィルターを活用したりします。また、不正な通信を遮断し管理者に対して怪しい動きを通知するIPS/IDSも入口対策に含まれます。

攻撃を未然に防ぐ入口対策ですが、弱点もあります。例えばフィルターをすり抜けた標的型メールが届き、社員が添付ファイルを開いてしまうケースは多いです。また、オフィスにある数十台のPCは常に管理できますが、拠点や営業所が増え、扱うPCの数が100台、500台と増えていくと、すべてを管理することは難しくなります。

そこで注目を集めているのが、EDRです。これはEndpoint Detection and Responseの略で、PCやサーバーでの不審な挙動を検知するセキュリティ対策です。EDRを導入することで攻撃を受けても素早く気づき、すぐに対応することができます。

EDRについて詳細を知りたい方は、「ランサムウェアへの対応策！EDR製品の選び方とCybereason EDRの強みを解説！」をぜひご覧ください。

また、EDRの拡張版としてXDRを導入する企業も増えてきました。これはExtended Detection and Responseの略で、エンドポイントだけではなくメールやサーバー、クラウドなどあらゆるシーンでデータを収集し、お互いを関連付けることでより高度な検知と対応ができるようになります。

XDRの詳細は、「EDRの拡張版？XDRの特徴とそれぞれの違いを解説！」にまとめましたので、ぜひご一読ください。

内部対策の具体的な方法とは

ランサムウェアに対抗するためには、入口対策だけでは十分とはいえません。そもそも、サイバー攻撃の目的は単なる侵入ではなく、そこから企業の機密情報を盗むことです。つまり侵入された先にあるデータを守る必要があります。そこで各企業が注力しているのが、内部対策です。

内部対策は、どうやっても不正アクセスは防げないという考えをベースに、内部でデータを守ることを目的としています。侵入された後に注目し、そこからどうやって情報を守るか、被害を最小限に食い止めるにはどうすればいいかを検討して、対策を講じます。

内部対策の具体的な事例として、モニタリング・ログ監視が挙げられます。アクセス状況を24時間監視し、不審なアクセスを検知すると警告を表示します。ファイル暗号化も内部対策の一種です。万が一データが流出しても、暗号化をしておくことで第三者が内容を理解できなくなります。

また、ユーザーごとにアクセス権限のレベルを変えることも重要です。機密度の高い情報は役員クラスのみ閲覧権限を付与し一般社員はアクセスできないようにすると、内部犯の犯行を抑えられます。社員のIDとパスワードが盗まれても、そのユーザー権限では情報が見られなければ、被害を小さく抑えられるでしょう。

こまめなバックアップも内部対策につながります。仮にサーバーにアクセスできなくなっても、バックアップさえあればすぐに復旧が可能です。サーバーやクライアントPCなど、複数のバックアップをとっておくことで、通常業務が止まってしまう時間を最小限にできます。

セキュリティスイッチも内部対策の一手です。これは必要なタイミングで端末をネットワークから遮断するセキュリティツールで、マルウェアの感染拡大を防止します。端末の近くからアクセスできる点がメリットです。

適切な内部対策を講じるためのポイント

内部対策を効果的に機能させるには、3つのポイントがあります。

1つ目がフローの設計です。
セキュリティツールが不審な動きを検知した後、どのようなアクションを取るかを検討します。設計した後は、本当にそのやり方で大丈夫か、テストも必要です。テストは何度か繰り返すことで、実際にランサムウェアに侵入された時でも冷静に行動することができます。

2つ目が、適切な組織作りです。
不正アクセスなどが発生したら対応するチームを作ったり、社内のシステムを日々監視し、脆弱性を見つけて改善させるチームを作ったりします。もともとは海外の企業で置かれることが多かったのですが、最近では国内でもこういったチームを配置するケースが増えています。

3つ目が、適切なツールの導入です。
入口対策や内部対策を講じるためのツールは数多くあり、製品によって様々な特徴を持っています。自社の働き方や持っている機密情報、社員数などをもとに、どんなツールがあっているかを検討して適切なものを導入することが重要です。

入口対策・内部対策のご相談は三谷商事まで

弊社では、ランサムウェアに対抗する多くのセキュリティツールを取り扱い、これまで様々な業界の企業に対して、適切な製品の導入をサポートした実績があります。「ランサムウェアのリスクに備えたい」「もっとセキュリティを強化したい」という方は、ぜひお気軽にお問い合わせください。ノウハウを持つスタッフが、お客様にあった製品のご紹介をいたします。

次回は、出口対策について解説するのでぜひご一読ください。