ランサムウェア対策に必要なのは「意思決定のスピード」S&Jに聞く、効果的で持続可能なセキュリティ運用の核心

ランサムウェア対応は一刻を争う平時の準備が被害拡大を防ぐ

企業を取り巻くサイバーセキュリティの状況は、日々厳しさを増している。例えば、企業内に侵入し、業務データを暗号化したり、窃取して復旧と引き換えに身代金を要求したりする「ランサムウェア」が猛威を振るっている。企業も対策を取ってはいるものの、被害は年々増加しているのが現状だ。

理由として、石川氏は、企業がこれまで実施してきたセキュリティ対策が、攻撃者に付け入る隙を与えてきたからだと指摘する。

「多くの企業では、セキュリティ対策を自社のルールにのっとって運用しています。ISMS(情報セキュリティマネジメントシステム)を自社のルールとした場合は、自社の情報資産やセキュリティ体制を管理するために重要かつ基本的な枠組みですが、これだけを守ればセキュリティは万全ということではありません。例えばIT部門の人手不足を理由に、使っているOSやソフトウェア等の脆弱性対策を1年に1度にすると計画してしまうと、最悪の場合、1年間攻撃から無防備になります。本来、そんなことがあってはいけません。また、ランサムウェア被害の多くではVPN装置への脆弱性管理を行っていないためパッチの適用も行っておらず、脆弱性から侵入されています」

従来のように、一度計画したセキュリティ運用のPDCAサイクルを回すことに注力するだけでなく、セキュリティインシデントが発生してしまうことを前提として「OODA」(観察、状況判断、意思決定、実行)の考え方を加えて、困難で不確実な状況への対応能力を高める必要があると、石川氏は説明する。

図:サイバーセキュリティ対策で求められる組織能力。 従来のセキュリティ対策の考え方 PDCA 計画作成→実践 + 今必要なセキュリティ対策の考え方 OODA レジリエンス、困難・不確実性への対応能力

攻撃者は、企業の一般的なセキュリティ対策の裏をかこうとしている。自社が守るべき情報資産を定義して、それが自社のネットワークで発生してしまうリスクシナリオを整理して、セキュリティガバナンスを実現するための中期的な対応策を取ることが重要だ

「サイバー攻撃を受けたとき(有事)は、攻撃の状況を正確に把握しつつ、被害拡大しないために何を止めて、復旧させないといけない業務の優先順位を経営判断しなければいけません。まず、この有事対応ができる体制を整える必要があります」

では、攻撃を受ける前の「平時」に、何をしておくべきか。石川氏は、「基本的に、攻撃をすべて防ぐことはできないと考えなければいけません。その前提で、有事に自社がすべき対応の内容と優先順位を事前に考えておきます。重要なデータが盗まれた際に復旧できるようにバックアップを作り、有事にはそれがどれぐらいの時間で復旧できるかなども、把握しておくべきです」と話す。

その上で、これらの平時、有事の対応を、経営層と現場のIT/セキュリティ部門が緊密なコミュニケーションを取ることができる態勢を整えておくことが重要だ。「ランサムウェア攻撃によって自社の重要情報が奪われたり、破壊されたりする兆候があったとき、そうなる前にネットワークを止める、あるいは工場の稼働を止める。そういう経営判断を下すということを、経営層と現場がしっかり事前に確認しておくことが必要です」

企業内ネットワークの不正な動きを早期発見・対処する

昨今の高度で複雑化したランサムウェア攻撃に対抗するには、どうすれば良いのか。意外にも石川氏は、基本的な攻撃のスタイルは長年大きく変わっていないと話す。

「テレワークの浸透など、アタックサーフェスの拡大はありますが、基本的に企業のシステムに侵入して内部で重要情報にアクセスし、破壊や窃取を行うという攻撃者の行動は変わっていません。問題は、攻撃の正確さとスピードです」

例えば、PCなどの端末の不正な活動を検知するEDR(Endpoint Detection and Response)といった高度なセキュリティも、検知したアラートをチェックする体制がなければ機能しない。「同業他社にならって、横並びで高価なセキュリティを導入しても、それだけでは効果を出すことはできません」。

石川氏は、弁護士や警備員を社員として採用する企業が少ないのと同様、専門性が高いセキュリティの領域は、S&Jのような専門企業との連携をもっと強化すべきだと話す。

ただし注意すべきは、セキュリティツールの運用サービスを提供するベンダーのほとんどが、検知した情報を企業に提供するだけにとどまっていることだ。単に通知を出してもらっても、企業は文字通り受け身(リアクティブ)の対応になり、素早い経営判断は難しい。

それに対してS&Jが提供するサービスは、顧客の社内情報が危険にさらされている状況をいち早く検知して対処できるようにするための現状把握から、やりすぎず不足しないセキュリティ対策の実装、運用が実現できる提案をしている。「お客様にとって最適な対策を先回り(プロアクティブ)に提供できる支援を行っています」。

さらに同社は、顧客企業の社内ネットワーク全体の動きを確認する目的で、独自に開発した「Active Directory監視サービス」を提供。これは、企業で一般的に使われている認証基盤であるActive Directoryの膨大な情報を24時間モニターし、その中から異常を検知して対処するサービスだ。

「Active Directoryは企業のシステムの根幹に関わるもので、通常は手を加えたくないものです。しかし当社は、ランサムウェア攻撃の全貌を把握するため、あえてそこに常駐するツールの開発に着手しました。これによって、EDRなどでは検知できない不審なアカウントの動きを発見し、必要に応じて無効化することができます。実際導入していただいた多くのお客様でランサムウェアの攻撃を早期発見でき、情報漏洩や業務停止になる前に対処を行えた実績が増えています」

図:S&Jが提供するサービス。 [攻撃者]侵入試行、管理者権限奪取その他悪意のある挙動等 →脅威の検知 AD Agent モニタリング、脅威内容、ステータス情報送信 →アラート[アナリスト]検知内容を解析、攻撃者アカウントを無効化するスクリプトをアップロード、[企業担当者]へ検知した脅威の報告(エスカレーション)アカウント無効化の連絡(オプション)

攻撃者はアカウント情報を盗み出して社員になりすまし、社内ネットワークに侵入する。S&Jのサービスは不正なアクセスを検知し、管理者に通報すると同時に、必要に応じてアカウントを無効化する

このようにしてS&Jは、企業に対して実効性の高いセキュリティサービスを提供しつつ、支援を行っている。石川氏は最後に、セキュリティ対策に悩む企業経営層に対してこう語った。

「サイバー攻撃は目に見えない脅威のように考える方が多いのですが、しょせんは人の行為です。原理原則目線で整理していけば、被害に遭いにくくする方法はあります。最初から100点満点のセキュリティを実現している企業はありません。初めは50点でも、3年後に70点を目指すイメージで、当社はお客様を長期的にリードしてセキュリティ向上を支援してまいります」

写真:石川剛氏
ロゴ:S&J

S&J株式会社
https://www.sandj.co.jp/