10月は、米国およびヨーロッパのサイバー・セキュリティ啓発月間(NCSAM)にあたります。ご存じの方もいらっしゃると思いますが、NCSAMとは、セキュリティ脅威に対する予防対策の実施を呼びかける、法人および個人を対象にした意識啓蒙キャンペーンです。もちろんチェック・ポイントでも、ネットワーク・セキュリティ・ベンダーの最大手として、セキュリティの啓発活動に積極的に取り組んでいます。そこで今月は、組織のセキュリティ脅威対策の強化に役立つ有用なヒントと情報を、何回かの記事に分けてご紹介していきたいと思います。今回の記事はシリーズの第1回です。第2回以降の記事は随時公開を予定しておりますので、どうぞご期待ください。

「予防なき治療は持続不能である」。元Microsoftのビル・ゲイツ氏は、かつてこのような警句を述べていました。これは病気についての発言ですが、多くの問題についても同じことが言えます。サイバー・セキュリティも例外ではありません。

ここ数年は、ランサムウェア攻撃についてのニュースを毎週のように目にするようになりました。ランサムウェア感染は世界的に蔓延しており、特に病院や官公庁など、公的な役割を担う組織での被害が目立ちます。しかし、ランサムウェアの標的となっているのは、このような組織だけではありません。規模や業種を問わず、あらゆる企業や組織がランサムウェア攻撃の犠牲となっています。皆さんの中にも、被害を受けた組織で勤務中の知人がいるという方がいらっしゃることでしょう。

ランサムウェア被害を防ぐ最善の対策は、感染自体を予防することです。では、そのためには何から始めればよいのでしょうか。以降では、ランサムウェアによる被害を防ぐための5つのベスト・プラクティスを紹介します。

1. データおよびファイルをバックアップする

最近では、ネットワーク上やクラウド上のストレージにファイルやデータを保存するようになり、バックアップの習慣がなくなったという方も多いと思います。しかし、バックアップがあれば、ランサムウェアに感染しても身代金を支払わずに済むかもしれません。少なくとも、バックアップからのリストアに要するコストと、身代金要求に応じるコストを比較検討するという選択肢が生まれます。

バックアップが欠かせない理由はもう1つあります。身代金を支払うということは、すなわちサイバー犯罪者を信頼するということを意味します。しかし、身代金を支払ったからといって、彼らが復号鍵を提供する保証はどこにもありません。復号鍵を渡されても、その鍵ではファイルを復元できないというケースも考えられます。例えば、ランサムウェアにバグがあったり、環境との相性が障害になるかもしれません。ランサムウェアは、厳格な品質管理テストを受けた商用ソフトウェアとは違うのです。

犯罪者が約束どおりに行動するとは限りません。この点を踏まえると、やはり、重要なファイルを定期的にバックアップ、できればネットワークに接続されていないストレージにバックアップする取り組みが欠かせません。個人の社用データについては、自動バックアップの仕組みを整えておくと、定期的なバックアップ作業を社員の意思に任せずに済みます。

2. セキュリティ脅威についてユーザ教育を行う

社員レベルでのマルウェア感染対策では、従来からユーザ教育が重要な役割を担ってきました。ランサムウェア対策についても同じことが言えます。ファイルの出所やそのようなファイルが自分の手元に届く理由、送信者を信頼できるかどうかを確認するという基本的な対策は、現在でも十分に有効です。ファイルや電子メールを開く前には、このような確認を怠らないよう社員に周知する必要があります。

ランサムウェア攻撃では、依然としてスパム・メールとフィッシング・メールが主な感染経路となっています。ユーザに十分な知識と自覚さえあれば、ランサムウェア被害の大半は未然に防止できます。手間を惜しまずにユーザ教育を実施し、何か気付いた点があればすぐにセキュリティ・チームに報告するよう周知してください。

3. 業務に無関係なリソースへのアクセスを制限する

ランサムウェア攻撃の影響を最小限に抑えるためには、業務に関係のない情報や各種リソースへのアクセスを制限する必要があります。この対策を徹底すると、ランサムウェア感染がネットワーク全体に拡大するリスクを大幅に軽減できます。ランサムウェア感染システムが1台程度であれば、「厄介」程度の手間で済むかもしれませんが、ネットワーク全体に感染が広がった場合には、計り知れない被害が生じるおそれがあります。

4. シグネチャ・ベースの対策を最新の状態に維持する

技術的な対策としては、アンチウイルスをはじめとするシグネチャ・ベースのセキュリティ対策を導入し、最新の状態に維持することが引き続き重要です。もちろん、シグネチャ・ベースの対策だけでは、従来型の対策をすり抜ける高度なランサムウェア攻撃に対抗できないのは事実です。しかし、包括的なセキュリティ対策を構成するには、シグネチャ・ベースの技術が欠かせません。アンチウイルスを最新の状態に維持すれば、すでに発見され、シグネチャが存在する既知のマルウェアを確実に検出できます。

5. 高度な脅威対策技術を含む多層防御のセキュリティ対策を構築する

多層防御のアプローチによるセキュリティ対策は、ランサムウェア攻撃とその被害の抑止に絶大な効果を発揮します。多層防御では、アンチウイルスやIPSなど、シグネチャを利用する従来型の対策に加えて、シグネチャが存在しない未知のマルウェアに対応できる追加のレイヤを導入します。このレイヤとして特に重要なのが、脅威の可能性を除去すること(ファイルの無害化)と脅威のエミュレーション(高度なサンドボックス)です。異なる役割を果たすこの2つの技術を併用すると、未知のマルウェア対する包括的なソリューションを実現できます。また、ネットワーク・レベルとエンドポイント・レベルの両方で高度なサンドボックス検査とファイルの無害化を実施することにより効果はさらに向上します。

ここまで紹介してきた5つの対策の有無は、ランサムウェアによる被害を未然に防止できるかどうかを大きく左右します。ランサムウェア感染に備えてデータを定期的にバックアップする。ユーザ教育を実施して、セキュリティ脅威に対する意識を高める。アクセス可能なシステムやファイルを業務に必要な範囲に制限する。アンチウイルスなど、シグネチャ・ベースの対策を最新の状態に維持して、既知の脅威に備える。以上に加え、高度な脅威対策を導入して多層防御のセキュリティを強化することにより、ランサムウェアなどの未知の攻撃にも対応可能となります。

To learn more about ransomware, download the Ransomware: Understand and Protect Against the Latest Threats and Tactics whitepaper and webinar.