ランサムウェア攻撃から企業を守る実効性のあるBCPとセキュリティ対策

前回の記事ですべての企業・組織にランサムウェア攻撃のリスク評価が急務だと述べましたが、今回はリスク評価を行った後に実施すべき事項について述べます。
それは、「BCP（事業継続計画）の整備」と「実効性のあるBCPの策定を可能とするセキュリティ対策」の検討です。この両者は密接に関係しています。それは、ランサムウェア攻撃による想定被害と復旧期間を整理すると、これでは復旧期間が長すぎたり被害を受けるシステムが多すぎたりするため、とても実効性のあるBCPにならないとなるケースが出てくると思われるからです。例えば、下記の整理例だと、「Bシステムが1ヶ月も使えないなんて耐えられない、さらに過去データが回復できないと復旧後も業務に支障が出る」といったことです。


＜ランサムウェア攻撃による想定被害と復旧期間の整理例＞　　　

目次

実効性のあるBCPの策定を可能とするセキュリティ対策

実効性のあるBCPの策定を可能とするセキュリティ対策においてポイントとなるのは、バックアップとネットワークです。
まずはバックアップについてですが、上記の整理例において実効性のあるBCPを策定するには以下の項目が必要であるとします。

１．Aシステムについては3日から5日での復旧が必要、バックアップデータの鮮度は数時間レベルが必要

２．Bシステムについては1週間程度での復旧が必要、バックアップデータの鮮度は最低でも前日時点が必要

このように整理することで、各システムにおけるバックアップ要件が明確になります。あとは、バックアップの方法やソリューションは色々とありますので、要件にあうものを検討していくことになります。

次にネットワークです。ネットワークと聞いて疑問に思う方もいるかもしれません。被害が発生するネットワークによるのですが、上記整理例だと、被害が発生したネットワークには様々なシステムが繋がっています。ランサムウェア攻撃を受けると、攻撃の封じ込めと影響調査のため、長期間のネットワーク停止を余儀なくされることが想定されます。そのため、早期に外部（インターネット、他組織のシステム）との接続が必要なシステムは封じ込めの状況下で外部との接続を行えるようなネットワーク構成とする必要があります。
加えて、A、B両システムのオペレーションは被害を受けたネットワーク配下の端末から行っていますので、この通信経路も確保する必要があります。システム自体は問題なくとも、ネットワークの安全性が確保されるまでは動かすことはできませんし、ネットワーク全体の安全性が確保されるには相応の期間が必要です。そのため、重要なシステムについては全体の影響を受けない通信経路が必要となるのです。

被害が想定されるネットワークにOA系が所属している場合、OA端末やファイルサーバ等に被害が発生したり、封じ込めによるネットワーク停止によってメールが使えなくなったりするなど、全社的に混乱が生じるだけでなく、インシデント対応自体にも大きな支障が生じます。そのため、OA系が使えなくなった場合の代替手段を確保しておくことが望ましいです。最近ではメールや情報共有等でクラウドサービスを導入している企業・組織が少なくないと思いますが、そのような企業・組織では、一時的に設定を変更し、インターネットからクラウドサービスへアクセスできるようにする等の対策が考えられます。

これらを整理することで、実効性のあるBCPを整備することができるようになると考えます。

＜ランサムウェア攻撃による想定被害と復旧期間の整理例（対策後）＞

【必要な対策】
・システムAの保全バックアップの頻度向上（4時間毎）
・システムBについて保全バックアップの導入（バックアップは日次）
・システムAについて専用のインターネット接続口を設置
・システムA,Bについて、サーバと業務端末との専用通信経路を設置
・メール、情報共有のクラウドサービス導入（現在、別施策で推進中）

ランサムウェア攻撃を受けた場合の被害を小さくする対策

ランサムウェア攻撃を考える際はネットワーク単位で考える必要があります。特に大規模なネットワークの場合、様々なシステムが接続していますが、日本の企業・組織ではシステムの重要度に応じてネットワークをセグメント化する対策があまり行われていないようです。これは現実の世界ではちょっと考えられません。例えば、お城の門を抜けたら、中は平地で、天守まで何の障壁もない城なんてありませんよね。重要なシステムについては、ネットワーク構成やアクセス制御によって、それ以外のシステムから必要不可欠な通信を除き、原則、通信できない仕組みとすることで、ランサムウェア攻撃を受けた場合でも重要なシステムには被害が及ばない可能性が高まります。重要なシステムが外部のシステムと通信を行っている場合、専用線接続であっても、同様に、必要不可欠な通信のみに制限することが望ましいです。このアクセス制御と前述の専用の通信経路確保によって、重要なシステムをアイランド化することができます。アイランド化にはそれなりのコストがかかりますが、重要なシステムが侵害された場合の事業への影響を考えると、多少のコストをかけるのは当然のことではないでしょうか。
近年、仮想環境を導入している企業・組織も多いと思いますが、その場合も、重要なシステムについてはハイパーバイザーを独立させることが望ましいです。それができない場合は、ハイパーバイザーや管理機能へのアクセスを必要最小限に制限したり、定期的にパッチを適用したりする等の対策を行うことが望ましいです。

加えて、以下の基本的な対策の徹底も重要です。
１．管理アカウントについて初期設定のアカウント（「administrator」,「root」等）は失効させ、パスワードを複雑なものとし、使い回ししない

２．OSやミドルウェアに対して定期的にパッチの適用を実施（特に、仮想環境のハイパーバイザーや管理サーバやドメインコントローラ）

これらの対策を全システム徹底することは、現実的にはなかなか難しく、コストも時間もかかると思いますが、これもシステムの重要度に応じて順次進めていくことが重要だと思います。