　データの損失リスクを減らすためには、できるだけ高頻度でバックアップを取得しておくことが欠かせない。バックアップのデータに限らず、バックアップシステム自体が攻撃される恐れもあるので、バックアップの取得が万全のランサムウェア対策になるわけではないが、第一歩としてこれは重要な対策だ。ランサムウェア攻撃を想定し、いつ時点までのデータを復元できるのかを定期的にテストすることも忘れないようにしよう。

　バックアップの信頼性を高めるためには、複数のバックアップデータを保有しておくことが有効だ。バックアップデータのうち、少なくとも1つのバックアップデータは、本番システムから隔離することを検討しよう。本番システムとバックアップデータを隔絶する「エアギャップ」を作ることによって、ランサムウェア攻撃を受けた場合にバックアップデータがランサムウェアの影響を受けることを防ぎやすくなる。

2．ランサムウェア攻撃対処を手順化する

　ランサムウェア被害に限らず、セキュリティ事故が発生した際の行動を定める汎用（はにょう）的な「インシデント対応計画」（Incident Response Plan：IRP）を策定することが欠かせない。ランサムウェア攻撃に特化したIRPを作成することも有効だ。ランサムウェア攻撃に特化したIRPの手順は以下の通りだ。

攻撃がランサムウェアかどうかを確認する
事前に決めたインシデント対応チームのメンバーを集める
影響を受けた範囲など、インシデントの詳細を調べる
システム隔離など対策によってランサムウェアを封じ込める
ランサムウェア被害の緩和策を講じる
攻撃経路などさまざまな情報を収集・分析し、攻撃の詳細を文書化する

　ランサムウェア攻撃に特化したIRPは実施しないと分からないこともあるので、攻撃を受ける前にテストして自組織の現状に適しているかどうかを評価することが重要だ。その際、各関係者に計画内容を共有し、幅広い視点で改善点を洗い出す必要がある。

3．セキュリティツールを使って攻撃拡大を止める

　ランサムウェア攻撃を受けたら、できる限り、攻撃の拡大を抑止することが大切だ。そのために、以下の対処ができるセキュリティツールを利用しよう。

挙動不審なデバイスを自動的にネットワークから隔離する
ネットワークをセグメント化し、攻撃の影響を受けたセグメントを切り離す
ランサムウェアを遠隔操作するコマンド＆コントロール（C&C）サーバ接続をブロックする

4．影響を受けたシステムを復旧させる

　ランサムウェア攻撃に見舞われたら、影響を受けたシステムを迅速に復旧させ、ビジネス継続ができるようにすることが肝心だ。システム復旧の手順は以下の通り。

バックアップデータを用意する
感染したデバイスやシステムを隔離する
システムを再構築する
バックアップからデータを復元する
復元されたデータが感染していないかどうかをスキャンする

5．社内外の関係者に連絡する

　組織はシステムの復旧と並行し、社内外の関係者と密に連絡を取る必要がある。社内外の関係者とは、経営幹部や従業員の他、外部ベンダーや取引先、顧客などだ。スムーズに連絡ができるように、事前に連絡方法や連絡先を文書化しておくとよい。

　ランサムウェア攻撃を受けたら、組織は短時間でさまざまな難しい判断をしなければならない。「誰に何を確認すべきか」や「最終的な判断は誰がするのか」といったことを事前に決めておけば、焦らずに対処できる。

　外部との連絡には法執行当局への通報も含まれる。米国ではサイバーセキュリティインフラセキュリティ庁（CISA）や連邦捜査局（FBI）、インターネット犯罪苦情センター（IC3）などに通報すれば、攻撃対処のサポートを得られる。

6．経験を復旧計画の改善に生かす

　ランサムウェアによる被害があった場合、システムが復旧すれば終わりではない。レポートを作成し、再発防止のためのヒントを記録に残すことも大切だ。そのために、復旧プロセスを分析して「想定通りに機能したこと」や「改善の余地があること」を評価した上で、改善点を復旧計画に反映させる必要がある。その後、新しくなった復旧計画の訓練を迅速に実施することも重要だ。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。

TechTargetジャパントップセキュリティ