CHECK
01
侵入後の内部活動(ラテラルムーブメント)を前提とした防御策の構築
社内のPCやサーバーが広範囲に感染したという事実は、攻撃者が最初の侵入口を確保した後、ネットワーク内部を自由に移動し、管理者権限などを奪取しながら被害を拡大させていった(ラテラルムーブメント)ことを強く示唆しています。入り口対策だけでは、一度侵入を許すと被害が甚大になるリスクがあります。
対策の方向性:
「侵入されること」を前提としたゼロトラストの考え方に基づき、内部対策を強化すべきです。具体的には、ネットワークを機能や部署ごとに細かく分割(マイクロセグメンテーション)し、サーバー間の不要な通信を厳しく制限します。これにより、万が一あるサーバーが乗っ取られても、他の重要なサーバーへの感染拡大を食い止めることができます。また、Active Directoryなどの認証基盤を要塞化し、特権IDの利用を厳格に監視・管理することで、攻撃者による権限昇格を防ぐことが極めて重要です。
CHECK
02
情報窃取を阻止するためのデータ中心のセキュリティ
「見積書、図面」といった企業の競争力の源泉となる機密情報が流出したことは、事業継続において致命的なダメージとなり得ます。ランサムウェア対策は、データの暗号化を防ぐだけでなく、「データそのものをいかに守り、外部への持ち出しを防ぐか」という視点が不可欠です。
対策の方向性:
サーバーやファイルへのアクセス権限を「必要最小限の原則」に基づき見直し、誰が、いつ、どの重要データにアクセスしたかを常時監視する仕組みを導入すべきです。さらに、機密情報がメール添付やUSBメモリ、クラウドストレージなどを通じて不正に外部へ送信されることを検知・ブロックする**DLP(Data Loss Prevention)**ソリューションの導入を検討します。これにより、攻撃者がデータを盗み出そうとする最終段階での防御が可能となり、情報漏洩のリスクを大幅に低減できます。
CHECK
03
インシデント対応能力と事業継続性の抜本的強化
「流出した情報の詳細は把握出来ていない」という状況は、インシデント発生後の調査(フォレンジック)能力に課題があった可能性を示唆しており、顧客や取引先への説明責任を果たす上で大きな障害となります。また、迅速な復旧のためには、安全なバックアップが不可欠です。
対策の方向性:
インシデント対応のプロセスを再整備し、PCやサーバーのログを適切に収集・保管する体制を構築する必要があります。これにより、有事の際に迅速な原因究明と影響範囲の特定が可能になります。さらに、ランサムウェア攻撃がバックアップデータも標的にすることを考慮し、バックアップはネットワークから完全に隔離されたオフライン環境に保管するルールを徹底します。その上で、定期的に復旧テストを実施し、定められた時間内に事業を再開できることを確認する、実効性のある**事業継続計画(BCP)**を確立することが、将来の被害を最小限に抑える上で最も重要です。
