CHECK
01
内部拡散防止(ラテラルムーブメント対策)の徹底
攻撃者は一度ネットワークに侵入すると、内部で権限を奪取しながら感染を横展開(ラテラルムーブメント)させ、より重要なサーバーへと侵攻します。今回の被害が複数のサーバーに及んだことから、内部での拡散を許してしまった可能性が示唆されます。対策として、ネットワークセグメンテーション(ネットワークの分割)が極めて有効です。特に、個人情報などの重要データを扱うサーバー群と、他の業務システムとの間の通信を厳しく制限することで、万が一侵入を許した場合でも被害を限定的な範囲に封じ込めることができます。サーバー間のアクセス制御を見直し、必要最小限の通信のみを許可するゼロトラストの思想を取り入れるべきです。
CHECK
02
データ保護とバックアップ戦略の見直し
ランサムウェア攻撃の最終目的はデータの暗号化と窃取です。事業継続とデータ復旧の観点から、バックアップ戦略は生命線となります。重要なのは、バックアップデータが攻撃者によって暗号化されたり削除されたりしないように保護することです。具体的には、ネットワークから物理的または論理的に隔離された場所にバックアップを保管する「オフラインバックアップ」や、一度書き込んだら変更・削除が不可能な「イミュータブル(不変)バックアップ」の導入が推奨されます。また、定期的にバックアップからの復旧テストを実施し、有事の際に迅速かつ確実にデータを復元できる体制を確立しておくことが不可欠です。
CHECK
03
退職者・関係者情報のライフサイクル管理
今回のインシデントでは、退職者や従業員の家族といった、現在の業務とは直接関連が薄い可能性のある個人情報も流出対象となっています。 これは、不要になった情報が適切に削除されず、システム内に残り続けていた可能性を示唆します。企業は保有するすべての個人情報について、利用目的を明確にし、その目的を達成した後は速やかに廃棄する情報ライフサイクル管理のプロセスを徹底する必要があります。「最小権限の原則」に基づきアクセス権を管理すると同時に、「データミニマイゼーション(必要最小限のデータ保持)」の原則に則り、保有する情報資産そのものをスリム化することが、漏洩時の被害を最小化する上で重要な対策となります。
