ランサムウェア対策はクラウドで実現

ランサムウェアとは

ランサムウェアとは、マルウェア（悪意のあるソフトウェア）の一種の名称です。この名称は「Ransom（身代金）」と「Software（ソフトウェア）」という2つの単語に由来しており、ランサムウェアはその名の通り、データを人質に取って身代金を要求する目的で利用されています。攻撃者は被害者のPCやサーバー上にあるデータをロックまたは暗号化することで使用不能な状態にし、このデータの復旧と引き換えに、身代金を要求するのが一般的な手口です。

警察庁が公開した「令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について」では、ランサムウェアによる被害から復旧するまでに2か月以上かかったケースや、調査や復旧に1000万円～5000万円もの費用を要したケースもあることが明らかにされています。このように、ランサムウェアによる攻撃は現在、企業や組織にとって大きな脅威となっているのです。

従来のランサムウェアは、メールやWebサイトへのアクセスなどを感染源として、不特定多数を狙う「ばらまき型」の手口が主流でした。しかし近年では、特定の企業や組織を明確な標的とし、攻撃対象のネットワークに侵入してサーバー上の機密情報や個人情報などを窃取する「標的型」へとシフトしてきています。さらに、データの復旧と引き換えに身代金を要求するだけでなく、窃取した機密データを公開すると脅迫して身代金を要求する「二重の脅迫」を行うケースもあり、その手口もより悪質で巧妙になってきています。

ランサムウェアと対策方法

サイバーセキュリティフレームワークとは、NIST（米国国立標準技術研究所）が発行しているセキュリティガイドラインの一部で、重要インフラにおけるサイバーセキュリティの改善を目的として作成されました。サイバーセキュリティフレームワークを含む「SP-800シリーズ」は、元々アメリカの政府機関向けに作成されたものですが、企業や組織のセキュリティ対策を考えるにあたっても非常に有用です。

サイバーセキュリティフレームワークは、「識別」「防御」「検知」「対応」「復旧」の5つの機能によって構成されています。ランサムウェアへの対策も、この各機能ごとに考えるとよいでしょう。例えば、各機能における具体的なアクションとして、以下のようなものが考えられます。

• 「識別」サイバーセキュリティリスクの管理に必要な理解を深める。
• 「防御」適切なセキュリティパッチの適用や、ウイルス対策ソフトを使用することで機器やソフトウェアの脆弱性を塞ぐ。
• 「検知」サーバー、ネットワーク機器、PC等のログの監視を行うことで、不正アクセスを迅速に検知する。
• 「対応」実際にランサムウェアの攻撃を受けてしまった場合に備えて、対処手順の準備、社内・社外の連絡体制を整備する。
• 「復旧」暗号化されたデータを復号する、もしくはバックアップをリストアするなどで復旧する。

当然ですが、ランサムウェアによる攻撃は、事前に予防・検知できるのが一番です。しかしながら、前述のサイバーフレームワークを前提とした対策を行った上でも、未知の攻撃手段や脆弱性を利用されるなどにより、対策が間に合わない可能性も有り得るでしょう。そのため万が一に備え、「バックアップ」によるデータの保護が重要です。バックアップを取得しておけば、万が一ランサムウェアによって重要データを使用不能にされてしまったとしても、バックアップからデータをリストアすることで復旧できるためです。

一口にバックアップと言っても、具体的なデータの保存方法は、テープ、ハードディスク、クラウドなどさまざまです。それぞれメリットとデメリットがあるため、保存したいデータのサイズや重要度、バックアップやリストアにかかる時間、データの保存にかかるコストなど、システムの要件に応じて最適な方法を選択する必要があります。

最も一般的なバックアップ手法は、専用のバックアップソフトを利用し、社内に用意したバックアップ用のサーバーやNASなどにデータを保存することでしょう。ですが、バックアップ用のサーバーが同一のネットワーク内に存在していると、これらのサーバーやNASまでもがランサムウェアの攻撃対象となってしまい、せっかくのバックアップが意味をなさなくなってしまうかもしれません。こうしたネットワーク内部の「横移動」による攻撃の拡大を防ぐには、マイクロセグメンテーションなどのセキュリティ対策が必要となります。しかしそこまでの対策は、コスト的にも難しいという企業も多いのが現実なのではないでしょうか。そんな場合にお勧めしたいのが、クラウドバックアップソリューションサービスの利用です。

ランサムウェア対策には「クラウド」がおすすめ

バックアップデータをクラウド上、すなわち社内ネットワークとは物理的に異なるロケーションに保存することで、社内へのランサムウェアの侵入を許してしまった際にも、バックアップデータまでもが被害に合うリスクを下げることができます。また、クラウドバックアップソリューションの利点は、データを安全に隔離できるだけではありません。バックアップ用サーバーやNASの運用保守をクラウドベンダーに任せることで、運用保守にかかる工数をオンプレミスよりも削減できるという副次的な効果も期待できます。

ニフクラではクラウドバックアップソリューションサービスとして、ニフクラに構築したサーバーやオンプレミスにあるサーバーのディスク全体をバックアップ・復元できる「バックアップ/セキュリティサービス（Acronis Cyber Protect Cloud）」を提供しています。本サービスはバックアップ機能だけでなく、マルウェアおよびウイルス対策などのセキュリティ機能も利用可能です。さらには保護されているマシンで実行中のプロセスの監視や、悪意あるプロセスによる暗号化の試みにアラートを生成し、お客様が指定するアクションを実行するランサムウェア対策機能も備えています。詳しくは、「導入＆運用も簡単！最新のバックアップとセキュリティ」や「バックアップ/セキュリティサービス（Acronis Cyber Protect Cloud）の資料」をご覧ください。また、本サービスを利用したクラウドデザインパターンも公開していますので、こちらもあわせてご覧ください。

もしも可能であれば、バックアップだけに限らず、システム自体のクラウド移行を検討するとよいでしょう。オンプレミス環境がランサムウェアの被害にあってしまった場合、感染したサーバーやディスクなどは利用を停止し、新たな環境を構築しなければなりません。そのためには新しいハードウェアの調達も必要となりますが、これは非常に時間がかかる作業となるため、その間は業務が停止してしまったり、被害がさらに広がってしまう可能性も否定できません。しかし、クラウドであればランサムウェアに感染したサーバーを停止し、新たに作成したサーバーにバックアップデータをリストアすれば、スムーズに復旧することが可能です。

また、クラウドではランサムウェア対策だけでなく、様々なセキュリティ対策における工数を削減できるというメリットもあります。例えば機器やソフトウェアの脆弱性への対応も、責任分界点に沿ってクラウドベンダーに対応を任せられます。人力で行うとミスが生じやすいサーバー、ネットワーク機器、PC等のログ監視も、APIを備えたクラウドであれば、容易に自動化が可能です。ウイルス対策も、クラウド型のソフトを利用すれば、最新のセキュリティパッチの適用に手間を取られることもありません。ニフクラでは、「サーバー向けクラウド型セキュリティ（Trend Micro Cloud One – Workload Security）」や「ウイルス・スパイウエア対策（ESET File Security for ニフクラ）」といったウイルス対策ソフトも提供していますので、ぜひこうしたサービスの利用もあわせてご検討ください。