「サイバーレジリエンス戦略」を基本から作るための“5つのステップ”：ランサムウェアがまん延する時代の対処法【後編】

ランサムウェアの脅威が続く中、組織が事業を継続する上で欠かせなくなっているのが「サイバーレジリエンス」です。それを効果的に高めるための5つのステップを紹介します。

[中島 シハブ・ドゥグラ，ネットアップ]

　近年、ランサムウェア（身代金要求型マルウェア）は企業が事業を継続する上での大きな脅威になっています。脅威からデータを守り、事業を停止させないために求められているのが、「サイバーレジリエンス」（サイバー攻撃を受けた際の回復力）を高めることです。

　サイバーレジリエンスを強化する上での基本になる考え方や、ランサムウェアによる被害の状況を前編で紹介しました。後編はより具体的に、企業が「サイバーレジリエンス戦略」を策定するための5つのステップを解説します。

「サイバーレジリエンス戦略」を策定するための5つのステップ

1．可視化

併せて読みたいお薦め記事

連載：ランサムウェアがまん延する時代の対処法

• データ中心でランサムウェアに対処する「サイバーレジリエンス」とは何か？

データ保護の基礎をおさらい

• 「バックアップ」と「スナップショット」を混同しないための基礎知識
• RTOでもRPOでもない「WRT」とは何か？　復旧の順序は？
• 真っ先にやるべき「ランサムウェア対策」はこれだ

　ITシステム全体を把握し、現状のデータ保護とセキュリティのプロセスを評価します。具体的には、以下の事項があります。

• 全てのデータセット（データの集合体）をビジネスの価値に基づいてさまざまなカテゴリーに分類する
• データセットの保存場所と保存方法を（その価値に応じて）決定する
• データへのアクセス権限の設定内容を確認する

　こうした作業には、各データの種類や状態を可視化するためのツールが必要です。適切なツールがなければ、これらは時間のかかる作業になりかねません。これらを適切に可視化して評価できなければ、保護と復旧のプロセスで混乱を引き起こす可能性があります。

　上記の評価作業を実施することで、組織は機密データとトランザクション（一連の処理）のフローを特定してそれぞれの関連性を視覚化し、ユーザーやITリソース、アプリケーション、サービス、ワークロード（システムの作業負荷）間の相互作用のベースライン（基準値）を作成できます。これは、ゼロトラストセキュリティのアーキテクチャを構築する上での基本となるものです。

2．保護

　データの保護に必要な事項は、以下の通りです。

• データの暗号化
• 定期的なバックアップの実施
• 適切なインフラ管理とアクセス制御
• 境界防御の実装
• OSとアプリケーションの脆弱（ぜいじゃく）性の更新
• サイバーセキュリティのベストプラクティスに関するユーザーのトレーニング

　このうちトレーニングは、基本的には可視化の段階で分類したデータセットの目標復旧時間（RTO）と目標復旧時点（RPO）を定義することから始まります。RTOは復旧までに要する時間、RPOは復旧するデータの古さが対象になります。

　ゼロトラストセキュリティを実践する上では、重要なデジタル要素ごとに、独自のマイクロペリメーター（細分化したネットワーク境界）制御とフィルタリングの機能を使い、個別に保護する必要があります。

　これらの対策により、悪意のあるユーザーをブロックし、マルウェアの感染を阻止し、不正なデータ削除を防止できるようになります。

3．検出

　悪意のあるユーザーやその他の脅威の一歩先を行くには、データの侵害につながる脅威の検出が不可欠です。脅威が顕在化する前に、疑わしい活動を特定する必要があります。脅威を特定するプロセスは以下の通りです。

• アクセスパターンの基準値の確立
• ユーザーの行動の継続的な監視
• ストレージまたはファイルシステムの動作の異常の検出

　ゼロトラストセキュリティのアーキテクチャを採用する組織は、監視と管理の一元化を検討する必要があります。データの状態を一元的に把握し、継続的に監視することで、ユーザー行動の異常の特定と対処を容易にすることができます。組織が脅威よりも優位に立つには、脅威データベースを自動的かつタイムリーに更新するツールを選択する必要があります。

4．対処

　優れた災害復旧（DR）および事業継続計画（BCP）を実現するには、検出した脅威に対する、機能による自動対処と、人による運用面での対処の両方を定期的にテストする必要があります。脅威の変化や、攻撃から得た教訓に応じて、計画を常に更新しなくてはなりません。更新内容は社内外の関係者に共有し、攻撃が発生した場合に協調して対処できるようにすることが重要です。

5．リカバリー（復旧）

　全てのデータを一斉に復旧することは、必ずしも得策とは言えません。暗号化の被害を受けていない最新のデータを保持しているファイルまでも過去のデータで上書きしてしまうことで、業務復旧が遅れてしまうリスクがあるからです。フォレンジック（インシデント発生時の痕跡調査や被害解明の取り組み）を並行して実施することで、脅威の原因特定と最初に復元すべきデータを絞り込むことが可能です。このアプローチにより、データとシステムの復旧時間を短縮しつつ、業務復旧を混乱なくスムーズに進めることができます。このように、復旧においてはデータやシステムを迅速に復旧する方法ばかりに着目するのではなく、フォレンジックを含めた手法を採用することが重要なのです。

---

　サイバーレジリエンスはデータセントリック（データ中心）な手法です。サイバーレジリエンスを強化することで、オンプレミスのインフラや遠隔の端末、クラウドサービスなどさまざまな場所にあるデータを安全に回復することが可能になり、常に利用可能な状態を維持しやすくなります。適切な方法を取ることで、攻撃の発生を防いでダウンタイムを回避するだけではなく、攻撃を受けてもデータを迅速に復旧し、ビジネスを継続させることができるのです。

　こうした対策は、将来のクラウドサービス利用やデジタルトランスフォーメーション（DX）の取り組みを支える、セキュリティの強固な土台になります。デジタルエコノミー（デジタル技術で成り立つ経済）において競争優位性を確保するには、本稿で紹介した考え方を基にサイバーレジリエンスを強化し、ステークホルダー（事業の利害関係者）の間でデジタルに対する信頼を高めることが欠かせません。

執筆者紹介

中島 シハブ・ドゥグラ　ネットアップ　代表執行役員社長

イラクのバグダッドに生まれ、ヨルダンやイギリスを経て来日。ITの設計、エンジニアリング、サービス、セールス、ビジネス開発などの分野で活躍。横河電機に入社後はオイル＆ガス、化学、電力などの分野の設計、エンジニアリング関連のプロジェクトをリードした経験を有する。シスコシステムズにおいて約19年間、グローバルアカウント、コーポレート事業、サービス事業における要職を歴任。2019年にネットアップに代表執行役員社長として入社。海外と日本のスタンダードを理解し、国内だけにとらわれない広い視点を有する。