WannaCryに泣かされないために:ランサムウェアから企業や組織を守るためにすべてのCISOが検討すべき5つの対策

過去数日間にわたり、悪意のあるマルウェアWannaCryの亜種が世界中で企業や組織に被害を与えています。今回のサイバー攻撃は、開発元企業が2か月以上前に重要なセキュリティ更新プログラムを公開済のソフトウェア製品の脆弱性を悪用することで拡散しました。

使用中のシステムをアップデートするリスクなど、脆弱性のあるシステムにパッチを適用するまでにはある程度の時間が必要となる理由は確かに存在しますが、2か月という時間は、企業や組織がIT環境を保護するために適切な手段を講じるには十分だといえます。

FortiGuard

今回のマルウェアによる被害が記憶に新しい今こそ、企業や組織のCISOやサイバーセキュリティ部門がセキュリティの戦略や運用上の対策を見直す良い機会になります。以下に挙げるのは、すべての企業や組織が確立すべき5つの重要なセキュリティ対策のリストです。

基本的な質問を自分自身に問い掛ける:「セキュリティ侵害を受けるとわかっていたら、自分の対応はどのように変わるだろうか?」 この考え方に基づき、まず取り組むべきことを2つ挙げます。

  1. インシデント対応チームを組織する。
    活発な脅威への対応策に関して組織内部に混乱がある場合、適切な対応の遅れがあまりにも頻繁に生じます。このため、インシデント対応チームを組織して、メンバーに対して明確に定義された役割と責任を与えることが極めて重要です。同時に、指揮命令系統および意思決定ツリーと連動するコミュニケーション経路も確立する必要があります。効果的に機能するためには、チームがビジネス、コミュニケーションプロセスとプライオリティ、どのシステムを安全にシャットダウン可能か、そして活動中の脅威が組織内のインフラストラクチャに被害を及ぼすかどうか判断する方法をすべて熟知していることが不可欠です。さらに、脅威のシナリオを幅広く検証するとともに、可能であれば、迅速かつ効果的な対応を担保するために手順とツールとのギャップを特定することを目的とした、教練の実施も重要です。また、インシデント対応チーム用として、組織内のITの可用性や整合性に依存しないコミュニケーション手段を確保しなければなりません。
  2. 結果を重視したエンジニアリング手法を活用し、悪い結果になることを抑制する。
    効果的なセキュリティ戦略では、インフラストラクチャにセキュリティテクノロジーを導入配備する以上の対策が要求されます。セキュリティ計画を立案する際には、まず攻撃や情報漏えいが発生した場合に起こる可能性のある悪い結果を見据えた目で、アーキテクチャを分析しなければなりません。ランサムウェアへの対抗策の例としては、重要な情報資産はバックアップされ、オフラインに保存されていることの担保などが挙げられます。より一般的な点として、結果を重視したエンジニアリング手法では、重要な資産が何か理解すること、リモートアクセス妨害、アプリケーションやデータの破壊、主要なITや経営資産の利用妨害など、自社組織がどの種類の脅威に対してもっとも脆弱か判断すること、そしてリスクを計画的に排除するためのエンジニアリングがすべて密接に関連し、脅威が現実のものとなった場合に悪い結果になる可能性を回避、または最小化します。

続く3つは、より運用本位の対策です。単独ではどれも不充分ですが、連携することで「綿密な防御」を実現します。

  1. 適切なウイルス予防策を実践することで侵害を防止する。
    正式なパッチ適用と更新の手順を確立し、継続実施します。手順の実施は自動化され、評価を伴うことが理想的です。さらに、パッチを適用できないシステムを特定し、交換するかオフライン化するプロセスが実装されている必要があります。過去15年間、フォーティネットのFortiGuard脅威研究/対策チームは、世界規模で脅威の監視、記録、そして対応を続けてきました。フォーティネットはその経験上、企業や組織が脆弱性のあるシステムを更新または交換するだけで、セキュリティ侵害の大多数を回避することができただろうと認識しています。さらに、定期的に重要な資産の正常なコピーを作成してマルウェアが存在しないかスキャンすること、そしてランサムウェアや機能障害を引き起こす類似のサイバー攻撃が実際に発生した場合に備えて、バックアップデータをオフライン環境に保存することが重要です。
  2. シグネチャの作成と活用によってネットワークを保護する。
    未知の攻撃は実際にリスクとなりますが、セキュリティ侵害の大半は、登場以来数週間、数か月、場合によっては数年以上も経過している攻撃手法によって実際に引き起されています。シグネチャベースの検知ツールにより、侵入の試みを迅速に見つけ出し、ブロックすることができます。
  3. ビヘイビアベースの分析を使用して未知の脅威を検知し、対応する。
    すべての脅威に識別可能なシグネチャが存在する訳ではありません。ビヘイビアベースのセキュリティツールを使用することで、隠されたC&Cシステムの発見、不適切または予期しないトラフィックやデバイスの振る舞いの特定、攻撃の封じ込め/サンドボックス処理によるゼロデイ亜種などの無効化、そしてデータの集約が可能となり、高度な脅威の特定と対応が実現します。

また差し迫っているのは、リスクの予測、検知後対応するまでの時間短縮、自社独自のプロファイルに適した新しいアプローチの実装と統合を可能にする、モデリングと自動化の必要性です。

例えば、今回目の当たりにしたようなワーム/ランサムウェアの組み合わせによる攻撃に対抗する「自動回復機能」には、ハイスピードなサイバースペースにおける脅威の自動検知、重要な資産の自動隔離、ローカルあるいはクラウドにおける元の状態のネットワーク容量やインフラストラクチャの自動作成、安全なストレージから重要なツールや資産を自動再配備する機能などが含まれ、企業や組織をできるだけ早く通常状態に復旧させます。

フォーティネット セキュリティ ファブリックは、高度な脅威インテリジェンスの共有機能とオープンアーキテクチャを活用するセキュリティフレームワークを提供するために設計されています。これにより、セキュリティおよびネットワーキングコンポーネントを単一の自動化されたプロアクティブな防御/対応システムへと統合することができます。また、新たなテクノロジーが開発されるに伴ってシームレスにそのテクノロジーを統合できるため、最新のセキュリティ戦略やソリューションを短期間でネットワークに実装可能です。さらに、恐らく最も有望な点は、「将来性」を考慮した戦略を具現化していることです。例えば、既存のエンタープライズシステムを廃棄することなく、先進のテクニックやテクノロジーをその登場に伴ってシームレスに追加できることが挙げられます。

ランサムウェアが引き起こすサービスの機能不全は些細なものではなく、WannaCryは実際に深刻な被害をもたらします。完全な信頼性を備えたソリューションは存在しませんが、先に述べた対策は将来的な被害を最小限に抑えるために大変役立ちます。