CHECK
01
境界防御の強化と脆弱性管理の徹底
ランサムウェア攻撃の多くは、VPN機器やリモートデスクトップなど、外部との接続点の脆弱性を突いて侵入します。今回の事例も同様の経路が推測されます。対策として、ファイアウォールやWAF(Web Application Firewall)といった境界防御システムを適切に構成し、外部に公開するサーバや機器を最小限に限定することが重要です。さらに、使用している機器やソフトウェアの脆弱性情報を常に収集し、セキュリティパッチが公開された際は迅速に適用する運用体制(パッチマネジメント)を確立することが、侵入リスクを低減させるための基本かつ最も重要な対策となります。
CHECK
02
多層防御と権限の最小化による内部対策
万が一、境界防御を突破された場合に備え、内部での被害拡大を防ぐ「多層防御」の考え方が不可欠です。具体的には、サーバへのアクセスは多要素認証(MFA)を必須とし、管理者権限を持つアカウントは厳格に管理・監視します。また、各サーバや従業員のアカウントには、業務上必要な最低限のアクセス権限のみを付与する「最小権限の原則」を徹底します。これにより、仮に一つのアカウントが侵害されても、被害がシステム全体に及ぶのを防ぐことができます。
CHECK
03
インシデント検知と対応(EDR/NDR)能力の向上
攻撃者は侵入後、すぐには活動を開始せず、内部の情報を探索(内部偵察)することが一般的です。この段階で攻撃の兆候をいかに早く検知できるかが被害を最小化する鍵となります。サーバやPCなどのエンドポイントにおける不審な挙動を検知・対処するEDR(Endpoint Detection and Response)や、ネットワーク上の不審な通信を監視するNDR(Network Detection and Response)といったソリューションの導入が有効です。これらのツールと、インシデント発生時に迅速に行動できるCSIRT(Computer Security Incident Response Team)のような専門チームの設置を組み合わせることで、実効性のある対応が可能になります。
CHECK
04
事業継続を意識したバックアップと復旧計画
ランサムウェアの最終目的はデータの暗号化と業務停止です。そのため、重要なデータは必ずバックアップを取得し、そのバックアップデータはネットワークから隔離された場所(オフライン)や、書き換え不可能なストレージ(イミュータブルストレージ)に保管することが極めて重要です。また、実際にインシデントが発生した際に、どのシステムから、どのくらいの時間で復旧させるかを定めた事業継続計画(BCP)および復旧手順を事前に策定し、定期的に訓練を行うことで、有事の際の迅速な事業復旧が可能となります。
