目次

• 1．デジタル時代の脅威、ランサムウェアに立ち向かう
• 2．ランサムウェア攻撃に備える：NISTフレームワークで見るサイバーリカバリ
• 3．サイバーリカバリの要、確実なバックアップは取れていますか？
• 4．サイバーリカバリ対策における確認事項
• 5．まとめ

1．デジタル時代の脅威、ランサムウェアに立ち向かう

企業を標的としたランサムウェア攻撃への対策は、ビジネス課題として取り組むべき重要課題です。ランサムウェアとは、ファイルを暗号化し利用不可能な状態にした上で、ファイルを元に戻すことと引き換えに金銭を要求するマルウェアを指します。日本経済新聞（※1）によれば、富裕な企業を狙った執拗な攻撃が急増しており、2021年のランサムウェア攻撃による損失は約200億ドル（約3兆円）、さらにこの数字が2026年までに3倍に増加すると予測されています。またSplunk社の調査によると、過去1年間に大規模なサイバー攻撃を1回以上受けたことがあると回答したCISOは90％に上り、83％がランサムウェア攻撃による身代金を支払っていると報告しています（※2）。

インシデントの発生によって重要データの損失や対応にかかる金銭的なコストだけでなく、事業が一定期間継続できないことによる機会損失、顧客からの信頼も失いかねません。被害を最小限に抑えるには、攻撃をより早く検知し、封じ込め、事業を再開できる状態にすばやく復旧できる必要があります。

2．ランサムウェア攻撃に備える：NISTフレームワークで見るサイバーリカバリ

NIST（※3）が提供するサイバーセキュリティフレームワーク（以下、CSF）は、組織がサイバーセキュリティリスクを理解し、管理するためのガイドラインです。2024年1月現在アップデートが行われており、CSF2.0版の草案が公開されています（図1参照）。

図：米国 NIST CSF 2.0案（※4）

サイバーリカバリは、攻撃やデータ損失が発生した際に、システムやデータを元の状態に戻すプロセスやソリューションを指します。これは単なるバックアップだけでなく、迅速で効果的な復旧計画を含みます。復旧が適切に行われずデータやシステムの回復ができないと、業務継続ができず、信頼性の低下や法的な問題が発生する可能性があります。

3．サイバーリカバリの要、確実なバックアップは取れていますか？

ランサムウェア被害にあった時の頼み綱がバックアップです。きちんと攻撃を受ける直前のバックアップがきちんと取得できていれば、感染を受ける前のデータを使って、事業が再開できる状態まで戻すことができます。
しかしバックアップを取得できていてもリストアできない場合があります。ランサムウェア攻撃被害にあった企業・団体等を対象に行ったバックアップの取得・活用状況に関する調査（※5）では、被害を受けた企業の83％がバックアップを取得していたものの、復元を試みた8割以上が被害直前の水準まで復旧できなかったという実態が浮き彫りになりました。

きちんとバックアップを取得しているのにも関わらず、なぜいざという時にリストアができない事態に陥ってしまうのでしょうか。その理由として、システム障害や災害からの復旧を目的としたバックアップ運用におけるデータ管理とランサムウェア攻撃対策としてのデータ管理の違いを抑えることが重要です。ランサムウェア攻撃を受けた際に考えられるリスク例として、以下の例が挙げられます。

• （ア）バックアップが暗号化されてしまった、削除されてしまった。
  本体のデータだけでなく、バックアップも暗号化してしまうのは、ランサムウェア攻撃の常套手段です。ランサムウェア攻撃を想定していないバックアップ運用におけるデータ管理では、自然災害対策として地理的な物理隔離がされていたとしても、ネットワーク上の論理隔離がされていない場合が多く、攻撃者は容易にデータにアクセスできてしまいます。
• （イ）感染前のクリーンなバックアップをリストアできない。
  システム障害における復旧では障害直前のバックアップが取得できていればよいため、古いバックアップを長期間保持しておく必要はありません。一方、ランサムウェア被害を受けて復旧を行う場合には、被害を受ける前のバックアップからリストアできなければなりません。企業や組織を対象とした標的型攻撃では、攻撃者は侵入を開始すると、まずは内部活動を行い、確実に攻撃を成功させるための準備を行います。そのため通常のシステム障害時の復旧を想定し、バックアップの保持期間を短く設定していると、すでにクリーンなバックアップが破棄されている可能性があります。
  またどの時点の、どのファイルを戻すべきかという判断も容易ではありません。フォレンジック調査（※6）を実施し、攻撃開始時点や影響範囲を特定する必要があります。もしウイルスを除去しきれていないままバックアップをリストアしてしまうと、感染済みの環境を復元してしまう恐れもあるため注意が必要です。

4．サイバーリカバリ対策における確認事項

復旧の観点からサイバー攻撃対策を実施するにはどうしたらよいのでしょうか。
一つ目は、バックアップデータの保護です。表1は、バックアップデータを取得・保持するにあたり、満たすべき要件を示しています。バックアップデータを適切に保管し、ランサムウェア攻撃からデータを確実に守る必要があります。

表：バックアップデータ保護における要件

二つ目は、復旧計画の作成と手順化です。具体的で明確な手順を文書化し、関係者が理解しやすく整備することで、ランサムウェア攻撃やデータ損失時に迅速な復旧を実現します。さらに手順を自動化することにより、高速かつ信頼性の高いデータリストアを行うことが可能となります。また、作成した復旧手順の試験も忘れずに行いましょう。復旧試験では、隔離された環境でサンドボックス（※9）を利用し、プロセスのテストを実施します。本番環境への影響を回避しつつ正確性を確認し、復旧時間を測定します。必要に応じてプロセスを最適化し、万が一の際には、迅速かつ確実に業務を再開できるよう備えましょう。

5．まとめ

インシデントが発生しても、迅速に事業を再開できる高いレジリエンスを持つ企業になるためには、サイバーリカバリ対策を講じることが不可欠です。ただしランサムウェア攻撃はファイルの暗号化だけでなく、データの持ち出しも行われ、取得した個人情報や機密情報の公開停止を条件にして金銭を要求するケースもあります。サイバーリカバリ対策だけでは情報漏洩を防ぐことはできないため、他のセキュリティ対策と組み合わせて包括的なセキュリティ対策を講じることが重要です。NTT DATAでは、サイバーリカバリ対策をはじめ、インシデントの未然防止から発生時の被害を最小限に抑えるためのサービスを提供しています（※10）。お困りの際はぜひご相談ください。