ランサムウェア対策の一番わかりやすいベストプラクティス ― 1 に保護、2 に復旧、3 にアフターケア

ランサムウェアがこわいいことは周知の事実なので、それについてつべこべ言うのはやめておきます。

ランサムウェアはこわい。では、どうすればよいのか。ベストプラクティスにしたがって粛々と対策を整えるしかありません。

近年ランサムウェアの脅威が増しているため、ベストプラクティスも巷に溢れています。いろいろなベストプラクティスを吟味しているうちに気が付いたらランサムウェアに攻撃されていた、なんてことのよう、ここでは、もっとも確実でわかりやすいベストプラクティスを紹介します。単純に言えば、1に保護、2に復旧、3にアフターケアです。

1.  データ保護を強化する

バックアップを徹底しなければならないのは、言うまでもありません。ランサムウェアの脅威が増す前から、ほとんどの企業がすでに事故やミス、災害に備えて、バックアップを徹底していることでしょう。ランサムウェアとはそもそも企業のデータを暗号化して使えないようにし、鍵と引き換えに身代金を要求する犯罪です。ランサムウェアの犯罪組織としても、企業が身代金を支払う代わりにバックアップをリストアすればコトが済むようではランサムウェアの名がすたるので、やつらは必ず本番環境より先にバックアップを狙ってきます。

ランサムウェア対策を念頭に置いてバックアップをさらに強化するには、以下の3点が重要です。

1. バックアップの信頼性 — 「バックアップ プロセスは大概成功するけど、ログを見たら、ときどきはエラーになってるみたい…」では、敵の思うつぼです。普段からバックアップとリストアのプロセスは定期的にテストすることが欠かせません。
2. 変更不可のバックアップ — 敵がバックアップに手出しできないようにするには、バックアップを変更できないようにすべきです。オブジェクト ストレージやWORM（write once, read many）ストレージなど、データの改ざんや破壊を防止できるストレージに保管しましょう。
3. オフサイトのバックアップ — バックアップは3-2-1ルール（2種類のメディアと1つのオフサイトに保存）に則って保存するのが一般的ですが、ことランサムアに関しては、単なる「オフサイト」では不十分です。データをRAWデバイスから削除されないためにも、オフサイトへの保存は「別アカウント」で行いましょう。

昔からよく「すべてのセキュリティはバックアップに通ず」と言われる（？）ように、バックアップの強化はあらゆるセキュリティ対策に欠かせません。ランサムウェア対策も例外ではなく、というか、むしろランサムウェア対策には特に、盤石なバックアップが基本となります。

2. データのリカバリを確実にする

今日、ディザスタ リカバリ（災害復旧）プランを施行している企業は多いですが、ランサムウェア リカバリ プランを施行している企業は決して多くはありません。大半の企業は、標準的なディザスタ リカバリが、ランサムウェア リカバリもカバーすると考えています。しかし、ランサムウェアの被害には、他の災害とは大きく異なる特徴があります。それは、発生したら、自分で止めないとならない点です。バックアップが次々と感染していくのを防ぐには、早期発見が重要です。常にデータをモニタリングして、異常なパターンがあれば警告が発せられるようにしておくべきです。モニタリングの中央管理ソリューションを導入することも推奨されます。

被害の拡大を食い止めたら、正しいバージョンのデータをリストアできなければなりません。何時間もかけてリカバリを行ったら、まだ一部のデータが暗号化されたままだった、なんてことは絶対に避ける必要があります。そのためにも、バックアップ履歴から無傷のポイントインタイムを見極められるシステムを確立しておくべきです。リカバリ プロセスによって自動的に正しいバージョンが選定できるのが理想的ですが、それができない場合は、手動で選定作業を確実に行わなければなりません。面倒でも背に腹は代えられないので、ここは確実性を最優先してください。

また、システムを本番環境にリストアする際にはマルウェアの除去も不可欠です。マルウェアは何か月も息をひそめて潜伏している場合があるので、古いバックアップも安全とは限りません。リカバリ プロセスによって自動的にマルウェアを除去できるのが理想的ですが、それができない場合は、リストア直後のスキャニングを忘れないでください。

３. リカバリ後のアフターケア

リカバリが無事に完了したら、これでランサムウェアへの対応はすべて完了、ではありません！

システムの被害やデータの損失については、法務部門による検証も必要でしょうし、今後のランサムウェア対策を修正・強化するためのフォレンジックも欠かせないプロセスです。実際に何が起こり、それに対処するために何が行われたのかを、企業の管理部門がすべて把握、検証し、今後に生かすプロセスが欠かせないことは言うまでもありません。これら一連の作業を円滑に行うには、企業全体にまたがるメタデータの履歴、ログ、各バージョンに関係各所が適正にアクセスできるようにしておく必要があります。

ランサムウェアも常に進化し続けています。最近では、データを暗号化する前に抽出し、暗号化を解く鍵を身代金の代償にするだけでなく、機密データの公開を恐喝のネタにするランサムウェアも増えています。新しいタイプのランサムウェア攻撃にも対処するためには、企業はまず自分のデータをしっかり把握しなければなりません。「敵を知り、己を知れば百戦危うからず」と、故事にもあるとおりです（こんどは本当の格言です）。

ハイブリッド環境が普及した今日、データはクラウド、SaaSアプリケーション、エッジロケーション、データセンター、エンドポイント（在宅ワークの社員のパソコンなど）に拡散しています。バックアップはそのすべてを網羅しなければならないので、環境全体を可視化できる一元化された保護システムの重要性が増しています。

ここで欠かせないのがデータ管理ポリシーの徹底です。外部からの脅威は必ず内部のどこか（たとえば、在宅ワークの社員のパソコン）から侵入してきます。重要データのアクセスには厳密な権限を割り当て、エンドポイントから隔離することも検討すべきです。普段からまめにポリシーを見直して、その施行を徹底し、一人ひとりのスタッフに周知徹底することも、セキュリティ プロセスの重要なステップです。

リテンション ポリシーも決しておろそかにはできません。仮にストレージ スペースに余裕があったとしても、データが多ければ多いほど攻撃対象が増えることになります。古いデータをむやみに保存するのは、スペースの無駄遣いとなるばかりか、サイバー攻撃を誘発しかねないので、リテンション期間は適正に設定することを心掛けてください。

ここまで、1に保護、2に復旧、3にアフターケアという3段階のシンプルでわかりやすいベストプラクティスを解説してきましたが、ベストプラクティスは実践（プラクティス）してはじめてベストです。実践されなかったらベストでも意味がありません。そんなことわざありましたよね？猫に小判…少し違うような？馬の耳に念仏、豚に真珠、烏の行水、狐の嫁入り、どんどん遠ざかりますが、いずれにせよ、実践に向けたロードマップも重要です。

ランサムウェアの脅威は近年さんざん叫ばれてきたので、1番目の「データ保護の強化」はすでに実践済みであることが期待されます。今年（2021年）は、2番目の「リカバリの確実化」に取り組むべきです。すでに施行済みの災害復旧プランを見直し、ランサムウェア向けのリカバリ プランを策定することをおすすめします。そして、2022年には、リカバリ後のアフターケアのプロセスを整備し、ランサムウェア対策を完璧なものにしましょう。

【ランサムウェア対策ベストプラクティス施行のロードマップ】

• 2020年 ― ランサムウェア攻撃に備えたデータ保護の強化
• 2021年 — ランサムウェア リカバリ プランの施行
• 2022年 — リカバリ後のプロセスを整備

このような、ランサムウェア対策のベストプラクティスでは、Druvaなど、専用ツールの有効活用が決め手になります。詳細はクライムにご相談ください。

関連トピックス

• Blocky for Veeam : シンプルで即利用可能なVeeamのためのランサムウェア保護
• Immutable(書き換え不能)レポジトリーバックアップによるランサムウェア対策
• ランサムウェアの検知もVeeamで対応!! Veeam ONE新アラート「Possible ransomware activity」
• データ損失を抑えたランサムウェア攻撃からの復旧【Druva】
• CloudBerry Backup リリース 5.8の新機能紹介
• Veeamでできる4つのランサムウェア対策（堅牢化バックアップ）
• VeeamON 2022 セッション情報速報⑧
• ランサムウェアに対抗するためのZertoの7つの主要機能
• 【ランサムウェア対策】堅牢化(Hardened)リポジトリ：セキュアなLinux構築の手間をISOパッケージで大幅削減[Veeam Backup & Replication]
• なぜリアルタイム暗号化検知が重要なのか!