法人向けのランサムウェア対策として、下記のようなポイントを考慮して進めていきましょう

<<ランサムウェア対策としては、バックアップが圧倒的に重要です>>

1. 重要ファイルの選別

社内の電子ファイル(または電子データ)がすべて使えなくなったと仮定し、会社が生き残る上で、どのファイルが重要なのかについて考えましょう。無くなってもかまわないファイルと、重要なファイルを選別します。

2. バックアップ手順を策定して実施

その上でバックアップの手順、方法を決めておきましょう。手順においては、外付けのUSBドライブ、または、NAS(またはファイルサーバー)を立ててバックアップを行います。また、バックアップ作業を完了した際は、物理的な通信ケーブル(USBケーブル、イーサネットケーブル)を外して、そのストレージへの物理的な通信路を完全に切断しておきます。

  • 頻度についてですが、最低でも2~3か月に1回は実施したほうが良いかと思います。
  • RAID1の場合、2本に同時に同じ情報を書き込みますので、バックアップ終了後に、その2本をばらして、別々の場所に保管する方法もあります。
  • バックアップに使うストレージを2セット(理想的には3セット)用意して、8月、10月、12月という形で、回していけると安全性がより高くなります。

3. BCP(事業継続性についての計画)を考慮する

バックアップを取ったストレージは、できれば、50km以上離れた安全な場所に保管することが望ましいですが、それが難しい場合は、同じビル内でも構いません。

ただし、火災時のスプリンクラーや消防による放水、爆発などの不慮の事故を考えると、同じ部屋よりも別なフロアの安全な場所がよいでしょう。

超大手企業がバックアップ用のデータセンター(DRサイト)を構築する際は、西日本と東日本といった形で、プライマリ・データセンターから300km以上離れ、かつ、異なる電力会社エリア内に設置します。

4. エンドポイントへのセキュリティ製品の導入

エンドポイント(PC、タブレットなど)には、アンチウィルス・ソフト(インターネット・セキュリティソフト)を導入します。シマンテック、カスペルスキー、トレンドマイクロなどの信頼性の高いものを選びましょう。

5. UTMの導入および運用

エンドポイントに、セキュリティソフトを導入することは大前提ですが、さらに、社内LANとWANの境界点(ゲートウェイ)にUTMを導入することをお勧めします。

もちろん、ファイアウォール、アンチウィルス、IPSなどを個別に導入しても構わないのですが、個別機器の運用は非常に大変です。(その理由はこちらをクリック)

通常はFortiGateなどのUTMを導入して、ファイアウォール、IPS、アンチウィルス、アンチスパム、Webフィルタリング、アプリケーション制御機能を有効にして、一括して様々な機能を利用することをお勧めします。

6. C&Cサーバーとの通信の切断

上記のUTMの導入により可能となりますが、特に、Webフィルタリングを利用して、社内LAN上のPCからC&Cサーバー(ハッカーがマルウェアをコントロールするために利用しているサーバー)への接続を遮断することが重要です。

マルウェアの種類によっては、C&Cサーバーとの通信を前提としているものがあり、そういったタイプのものは、作業が先に進まないので、一時活動中止といった形になります。

機密情報を持ち出そうとするAPT(高度かつ持続的脅威)攻撃タイプのマルウエアは、C&Cサーバーとの通信を前提とするものが多く、その対策にも有効です。ただし、C&Cサーバーとの通信を前提としないマルウェアも存在しますので、これによってすべて解決することはありません。

7. インシデント・レスポンス手順の策定

もし、社内の誰かがPCで怪しげな添付ファイルを開いてしまったとします。PCがマルウェアに感染してしまったことが疑われる場合、即座にそのPCをネットワークから切り離すことが最重要ですが、同時に、社内で非常に重要性の高い電子ファイル(またはデータ)を格納しているサーバーをどうするのかについても予め決めておきましょう。

考え方としては、普段業務を行っている環境として、その感染が疑われるPCから、サーバーへの到達性があるのかどうかが問題となります。

例えば、社内に特定部門用のファイアウォール(サーバーが所属するネットワーク・ゾーンを守るためのファイアウォール)を設置するなどして、一般の社員が使うPCからサーバーへの到達性がないのであれば、すぐにサーバーをネットワークから切り離さなくてもよいでしょう。