CHECK
01
エンドポイントにおける検知・対応能力(EDR/XDR)の強化
今回のマルウェアは「様々な偽装を行って検知されにくくするなど高度な手法」が用いられており、従来のパターンマッチング型のアンチウイルスソフトでは検知が困難であったと考えられます。このような攻撃には、PCやサーバ(エンドポイント)上での不審な挙動を検知し、迅速に対応するEDR(Endpoint Detection and Response)の導入・活用が不可欠です。さらに、ネットワーク機器やクラウドなど、エンドポイント以外のログも相関的に分析して攻撃の全体像を可視化するXDR(Extended Detection and Response)へと進化させることで、より高度な脅威にも対抗できる体制を構築することが重要です。
CHECK
02
ゼロトラストに基づいた内部ネットワークの対策
一台のパソコンへの感染を起点に、他のパソコンへ影響が拡大(横展開、ラテラルムーブメント)した事実は、内部ネットワークにおける対策の重要性を示唆しています。「社内は安全」という従来の境界型防御の考え方ではなく、「すべての通信を信頼しない」ゼロトラストの概念に基づいた対策が求められます。具体的には、ネットワークを細かく分割して管理する「マイクロセグメンテーション」の導入や、必要最小限のアクセス権限のみを付与する厳格なID管理を行うことで、万が一侵入を許した場合でも被害を極小化し、横展開を阻止する効果が期待できます。
CHECK
03
情報資産の保護とインシデント発生後の迅速な影響範囲特定
本件では、一部ファイルが「不正に持ち出されたおそれがある」として対応が進められています。これは、情報が外部に転送されたことを示す明確なログが確認できなかった、あるいは追跡が困難であった可能性を示します。平時から、どこに・どのような重要情報が保管されているかを把握し、分類・管理しておくことが極めて重要です。また、機微な情報の不正な持ち出しを監視・ブロックするDLP(Data Loss Prevention)ソリューションの導入や、通信ログ、操作ログを統合的に監視・分析する体制を構築することで、インシデント発生時に影響範囲を迅速かつ正確に特定し、顧客への説明責任を果たすことが可能になります。
