ランサムウェア・インシデント対応計画のテンプレート
ランサムウェア・インシデント対応計画は、チームによって異なります。リスクにさらされているデータの種類、チームが導入しているバックアップ・ツールやプロセス、ランサムウェア攻撃に対応するために利用可能なリソースなどを反映させる必要があります。
しかし、一般的なランサムウェア対応計画は、以下のようなものになっています。
●攻撃の範囲を明確にする
ほぼすべてのランサムウェア攻撃に対応するための最初のステップは、どれだけのデータが影響を受けたか、どれだけのシステムが侵害されたかを判断することです。例えば、攻撃は1台のサーバーや1つのS3バケットに限られていたのか、それともデータセンターやクラウド環境内のすべてのデータに影響があったのかということになります。
●影響を受けたシステムの無効化
影響を受けたシステムを特定した後の次のステップは、攻撃がさらに広がるのを防ぐために、それらのシステムを無効にすることです。
システムを無効にするには、システムをシャットダウンするか、単にネットワークから切り離すかのいずれかです。ただし、いずれの方法をとるにしても、パニックに陥ることなく、統制のとれた方法で行動することが大切です。どのシステムを最初に無効にするのか、どのように無効にするのか、システムがオフラインになってもデータが損なわれないようにするために無効化中にどのような手順を踏むのかを計画に明記します。
●被害状況の確認
攻撃がすでに活動しておらず、拡散していないことを確認したら、被害の程度を評価します。どれだけのデータが身代金として要求されたか、バックアップが利用可能かどうか、そして必要であれば、それらのバックアップがどれだけ新しいかを判断します。
ランサムウェア対応計画には、手元にあるバックアップデータの復旧計画があるかどうかの評価も含める必要があります。理想的には、データを復旧させるために迅速に実行できる具体的なデータ復旧計画がすでに用意されていることです。
攻撃の 開示
コンプライアンス規制により、攻撃の開示を求められることもあります。例えば、GDPRが機密であると定義しているデータに影響を与えるランサムウェア攻撃では、影響を受けたデータの量にかかわらず、攻撃の開示が義務付けられています。一方で、個人情報や機密情報とみなされないデータは、一般的に侵害の開示を必要としません。
開示が必要な場合は、関連する規制の枠組みで指定されている手順に従って攻撃を開示します。一般的に、情報開示には、政府当局への通知や、個人データが侵害された消費者への通知が含まれます。
復旧計画の作成
次に、データを復旧させるための計画を立てます。
被害を受けたすべてのデータが最近バックアップされており、それらのバックアップに対する復旧計画がすでにある場合は、ランサムウェアの復旧プロセスは従来の復旧計画を実行するだけで済みます。
しかし、あまり準備ができていなかった場合は、攻撃を受けた後に復旧計画を策定する必要があります。計画の策定には時間がかかりますが、実際の復旧作業を開始する前に、完全な計画を構築することが重要です。そうしないと、復旧作業中にミスをしたり、重要な内容を見落としたりするリスクが高くなります。
また、最近のデータのバックアップがない場合、どのようにしてデータを復元するかを検討する必要があります。場合によっては、それが不可能なこともあります。しかし、少なくとも一部のデータは復旧できる可能性があります。例えば、侵入されていない本番システムに、影響を受けるデータの一部のコピーがある場合があります。また、古いバックアップから復元することもできますが、何もしないよりはいいでしょう。
復旧計画を立てる際には、ビジネス関係者に相談することも重要です。関係者には、いつ復旧が完了するのか、どれくらいのデータが元の状態に復元されるのか、想定することを伝えておきましょう。また、どのデータを最初に復旧することが最も重要であるかについても、関係者の意見を聞くことも重要です。
データの復旧
復旧計画ができたら、データのバックアップ方法に応じて、それを実行してデータを復旧させます。
セキュリティ監査の実施
データが復旧し、業務が回復したら、システムがどのように侵害されたかを確認します。ランサムウェアが侵入した経路は、フィッシング、マルウェア、悪意のあるインサイダーなど、さまざまなものが考えられます。侵入の原因を特定することで、再発を防ぐことができます。
インシデント・レポートの作成
多くのランサムウェア対応計画の最終ステップは、攻撃の概要、影響を受けたデータとシステム、対応策を詳細に記したインシデント・レポートを作成することです。その報告書には、今後同様の攻撃が起こらないようにするために実施する、または実施した手順が記載されることも重要です。
対応計画のライフサイクル
ランサムウェアに対する計画は、単にランサムウェアのインシデント対応計画のテンプレートを作成するだけでは終わりません。計画が実際に必要な機能を果たすように、追加のステップを踏む必要があります。その手順は以下の通りです。
・対応チームを決定:ランサムウェア攻撃後の対応計画を実行する責任者を決定する。
・計画をテスト:計画を事前に実行して、ギャップや予期せぬ問題を特定する。
・プランの再テスト:プランを定期的に再テストするためのスケジュールを作成します。システムは変更されるため、ランサムウェア対応計画がそれに対応しているかどうかを確認する必要があるため、これは重要です。
・プランを更新:プランをテストしてから、そのプランが自社のシステムに合わなくなっていることに気づくのを待つ必要はありません。また、新しいテクノロジー(新しいタイプのクラウドサービスや新しいサーバなど)や新しいポリシー(従業員の在宅勤務の許可など)を導入した場合には、計画を更新する必要があります。
結論
ランサムウェアは、あらゆる業界のあらゆる企業に影響を与えます。どんなに綿密なサイバーセキュリティ戦略であっても、ランサムウェアによるデータへの影響を受けないという保証はありません。
自社のビジネスを守るためには、ランサムウェア対応計画を策定し、それをテストし、定期的に更新することが不可欠です。この計画があれば、ランサムウェアに襲われたときに、迅速かつ効果的に対応することが可能になります。
関連トピックス:
- ランサムウェアの攻撃中に起こることと、そして復旧が重要な理由
- バックアップ・ストレージへのランサムウェア攻撃を防止するための7つの実践的なヒント [ネットワーク強靭化対策]
- ランサムウェアとの戦いでイミュータブル(Immutable:不変)のバックアップだけで十分なのか?
- 知っておくべき5つのタイプのサイバー攻撃
- 急成長する RaaS ビジネスモデル
- 広範なサイバー攻撃に直面するデータの保護: 隔離された復旧環境とイミュータブル(不変)のサイバーデータ保管庫の重要性
- リスクアセスメント: 効果的なビジネスインパクト分析(Business Impact Analysis)のための3つの重要な出発点
- クラウドセキュリティ戦略の見直しの必要性
RSSフィードを取得する
クライムが提供するランサムウェア(Ransonmware)ソリューション集:
https://www.climb.co.jp/blog_veeam/tag/ransomware