見出し画像

情報セキュリティ白書2022 220828 1.2 情報セキュリティインシデント別の手口と対策 ~ランサムウェア攻撃~(5)ランサムウェア攻撃への対策 重要3

情報セキュリティ白書2022 220828
1.2 情報セキュリティインシデント別の手口と対策
~ランサムウェア攻撃~

(5)ランサムウェア攻撃への対策 重要3
 
(f)ネットワーク内の侵害範囲拡大への対策
「侵入型ランサムウェア攻撃」を受けた場合、企業・
26
組織のネットワーク内における不審な活動を検知し、攻
撃の早期発見と対応につなげる。統合ログ管理、内部ネッ
トワーク監視、エンドポイント監視といった仕組み(製品等)
を活用し、ネットワークのスキャン、通常発生しない不正
な通信や認証の試行、無許可のユーザアカウント作成
等の操作、無許可のプログラム設置・実行、イベントロ
グの削除、シャドウコピーの削除等の攻撃者の活動を検
知する。
被害者は、データの暗号化やシステム停止を受けて
初めて、攻撃を受けていることを認識する場合があるが、
データの暗号化等がされてからの対策・対応は困難で
あるため、より早期の検知を可能にすることが望ましい。
(g)バックアップからの復旧
「侵入型ランサムウェア攻撃」への対策として重要なこ
とは、データの保護のみならず、「システムの再構築を
含めた復旧計画」を事前に策定し、バックアップからの復
旧を可能にしておくことである。「1.2.2(2)ランサムウェア
攻撃の被害事例」にもあるように、企業・組織のパソコン
やサーバ等がバックアップも含めて一斉に暗号化される
可能性がある。こうした状況に備え、事業継続に重要
なデータやシステムのバックアップデータをオフラインで管
理するほか、必要に応じて業務継続やシステムの再構
築に必要なリソース等を考慮した復旧計画を策定してお
くことが大切である。
(h)データの窃取と公開への対策
「侵入型ランサムウェア攻撃」によりデータが窃取され、
意 図 せ ず 公 開される脅 威 への対 策として、IRM
(Information Rights Management)※ 55 等の活用や、
ネットワーク分離が挙げられる。IRMを活用し、データ
が窃取されても被害を限定的な範囲に留める。また、ネッ
トワーク分離では、例えば、メールの送受信や Web 閲
覧等で使用する一般的な業務用のネットワークと機密情
報等を取り扱うネットワークを分離する。こうすることで、
攻撃者に業務用のネットワークに侵入されたとしても、機
密情報等を取り扱うネットワークには到達されないようにす
る。ただし、ネットワーク分離は運用コストや利便性に著
しい影響があるため、機密情報等の重要性やリスクを踏
まえて実施を検討する必要がある。
(i)インシデント対応
ランサムウェア攻撃の被害を受けてしまった際のインシ
デント対応はケースバイケースとなるが、「侵入型ランサ
ムウェア攻撃」は、侵入の手口が標的型攻撃と同様のた
め、対応も全体的に標的型攻撃と同様となる(「1.2.1(5)
(b)組織としての対応体制の強化」参照)。インシデント
対応の一般的な進め方について、JPCERT/CC がマ
ニュアル※ 56を公開しているため、参照いただきたい。ま
た、データ暗号化と身代金要求への対応については
JPCERT/CC が侵入型ランサムウェア攻撃を受けた際
の FAQ ※ 57 についても公開しているため、こちらも参照
いただきたい。
ランサムウェア攻撃のインシデント対応において、留意
すべき点として、「ステークホルダーとのコミュニケーショ
ンができる体制作り」がある。ランサムウェア攻撃では、
一般のインシデントと異なり、業務停止や顧客・取引先
の情報漏えいが発生し、自組織内に閉じたインシデント
で終わらない傾向がある。ステークホルダーとの適切で
素早い連絡・調整を含む、経営層を含めた体制作りが
必要である。

所感
中小の企業には、コスト、人材など大きな問題がある。この課題に対して、いつまでに?どのようにして?などが全くなく、企業の自己責任感が強い。重要な事を見て見ぬふりする体質が問題である。パット見ても、今からはじめて効果がいつでるのか?納期が見えない。

この記事が気に入ったらサポートをしてみませんか?