コンテンツに移動
セキュリティ & アイデンティティ

組織をランサムウェアの脅威から守るためのベスト プラクティス

2021年6月8日
Google Cloud Japan Team

※この投稿は米国時間 2021 年 5 月 22 日に、Google Cloud blog に投稿されたものの抄訳です。

ランサムウェアは、ユーザーや組織の重要なファイルやデータを暗号化して判読不能にするマルウェアの一種であり、コンピュータ セキュリティの世界では目新しい脅威ではありません。この金銭を動機とした破壊的な攻撃は、データを復号して元の状態に戻すことと引き換えにサイバー犯罪者が身代金を要求することを特徴とし、長年にわたって調査研究が続けられています。今日の社会において、ランサムウェアによる攻撃はますます広がりを見せ、医療ガソリン供給などの生活に不可欠なサービスに影響を及ぼしています。このような脅威を排除しようという動きが盛んになっているにもかかわらず、ランサムウェアは依然としてあらゆる業界の組織を脅かしており、ビジネス プロセスや国の重要なインフラストラクチャ サービスをひどく混乱させています。そのため、多くの組織がより優れた自己防衛策を探し求めています。レガシー システムはパッチの適用やメンテナンスが定期的に行われていない場合があり、そのようなシステムに今も依存している組織はランサムウェアの脅威に対して特に無防備な状態にあります。

Google は 20 年以上にわたり、大規模な保護が可能なより防御力の高い環境を提供する最先端のテクノロジー スタックを使用して、クラウドを安全に運用してきました。私たちは、Google の革新的なセキュリティをお客様向けのプラットフォームやプロダクトでもご利用いただけるように努力しています。この努力は、業界で最も信頼できるクラウドになるという目標を掲げた Google の道のりを支えており、ランサムウェアの脅威が新しいものでなくなった今も、お客様を既存の脅威や新たに出現した脅威から守るという Google の責任が変わることはありません。この投稿では、ランサムウェアからの組織の回復力を高める方法についてのガイダンスを示し、Google Cloud のプロダクトやサービスがどのように役立つかを紹介します。

ランサムウェアから身を守る包括的で防御力の高いセキュリティ体制を構築する

ランサムウェア(やその他数多くの脅威)から確実に身を守るためには、複数の防御層が必要です。米国標準技術局(NIST)が公開しているサイバーセキュリティ フレームワークでは 5 つの主要な機能が定められており、それらの機能は公共または民間セクターの組織が包括的なサイバーセキュリティ プログラムを成功させるための基本的な柱となります。以下に、NIST による推奨と、Google Cloud のテクノロジーがランサムウェアの脅威にどのように対処できるかの具体例を示します。

柱 1 - 特定: 自社のアセット、システム、データ、人、能力の範囲内でどのようなサイバーセキュリティ リスクを管理しなければならないかを深く理解します。ランサムウェアの場合、これには、ランサムウェア攻撃の標的となる可能性が最も高いシステムまたはプロセスや、特定のシステムが動作不能になった場合に影響を受けるビジネスを明らかにすることが含まれます。これは、リスクを管理する取り組みに優先順位を付けて重点領域を絞るために効果的です。

Google が提供しているセキュリティの変革に関する CISO ガイド ホワイトペーパーでは、クラウドでのセキュリティに対してリスク回避アプローチではなくリスク インフォームド アプローチをとるよう推奨しています。リスク インフォームド アプローチは、すでに軽減方法がわかっているリスクではなく、最も重要なセキュリティ リスクに対処することに主眼を置いています。クラウド サービス プロバイダは、お客様がこのリスク インフォームド アプローチをより簡単かつ効率的に取り入れられるように、最新のセキュリティ脅威を軽減するために必要なコントロールやツールを数多く開発し、それらを維持管理しています。Cloud Asset Inventory のようなサービスは、IT 運用、セキュリティ分析、監査、ガバナンスなどのタスクのためにすべてのアセットの検出、モニタリング、分析を 1 か所で行うメカニズムを提供します。

柱 2 - 保護: サイバーセキュリティの潜在的なインシデントや攻撃の影響を抑制または封じ込めて重要なサービスやビジネス プロセスを確実に提供できるようにする安全保護対策を確立します。ランサムウェアの場合、これらの安全保護対策には、ユーザー アクセスやデバイス整合性の保護と強力な認証、環境のセグメント化、実行可能ファイルの認証、フィッシング リスクの低減、スパムやマルウェアのフィルタリング、エンドポイント保護の統合、一貫したパッチの適用、継続的なコントロールの保証を実現するゼロトラストのようなフレームワークを含めることができます。このステップに関与するプロダクトや戦略の例としては、以下のようなものが挙げられます。

  • クラウドネイティブで本質的に安全なメール プラットフォーム: メールは多くのランサムウェア攻撃の中心にあります。メールを悪用して不正なネットワーク アクセスのために認証情報をフィッシングしたり、ランサムウェア バイナリを直接送りつけたりすることができます。Gmail には高度なフィッシングとマルウェアへの対策が組み込まれており、メールの検疫、異常な種類の添付ファイルに対する防御、受信なりすましメールからの保護を管理することができます。セキュリティ サンドボックスは、添付ファイルに含まれる未知のマルウェアの存在を検出します。これにより、Gmail は 99.9% 以上のスパム、フィッシング メール、マルウェアの受信を防ぎます。頻繁に悪用される従来のオンプレミス メールシステムとは異なり、Gmail は継続的かつ自動的に更新されて最新のセキュリティ改善策や保護対策が適用されるため、組織のメールを安全に保つことができます。

  • アカウント乗っ取りに対する強力な保護: ランサムウェアのオペレーターは、不正に取得したアカウントを使用して標的組織内に足場を作り、偵察、データへの不正なアクセス、悪意のあるバイナリのインストールを行います。Google の高度な保護機能プログラムはアカウント乗っ取りを強力に防御し、このプログラムに登録しているユーザーがフィッシングを受けたことはまだ一度もありません。さらに、Google Cloud では多数のレイヤからなる機械学習システムを異常検出に使用しており、ブラウザ、デバイス、アプリケーションのログイン、その他の使用イベントでのユーザー アクティビティを安全なものとそうでないものに分類しています。 

  • 攻撃者のアクセスやラテラル ムーブメントを制限するゼロトラスト アクセス制御: BeyondCorp Enterprise は、企業の重要なビジネス アプリケーションやリソースへのゼロトラスト アクセスを実装するためのターンキー ソリューションを提供します。ゼロトラスト アクセス モデルでは、正規ユーザーに(企業ネットワーク全体ではなく)個々のアプリへのポイントインタイムのアクセス権が与えられ、アクセスが引き続き有効かどうかを判断するために権限が継続的に評価されます。これにより、ランサムウェア攻撃者が機密データの探索や感染拡散の拠り所にしているネットワーク内のラテラル ムーブメントを防ぐことができます。BeyondCorp による保護は、リソースへの RDP アクセスにも適用できます。RDP によるアクセスは、ランサムウェア攻撃者がセキュリティの低いレガシーの Windows Server 環境へのアクセスを取得して維持する最も一般的な方法の一つです。

  • Chrome のエンタープライズ脅威保護: Chrome は Google セーフ ブラウジング技術を利用して、1 週間に数百万件のマルウェアのダウンロードをユーザーに警告しています。Chrome を通じて提供される BeyondCorp Enterprise の脅威保護は、リアルタイムの URL チェックやファイルのディープ スキャンによってランサムウェアを含む未知のマルウェアの感染を防ぐことができます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/Malicious_download_warnings.max-1000x1000.jpg
悪意のあるダウンロードについてユーザーに警告する Chrome のアラート


  • セキュリティを重視して設計されたエンドポイント: Chromebook は、デバイス上の小さいフットプリント、バックグラウンドで継続的に更新される読み取り専用のオペレーティング システム、サンドボックス化、確認付きブート、セーフ ブラウジング、Titan C セキュリティ チップといった特長を備えており、フィッシングやランサムウェア攻撃を防御できる仕組みになっています。主にブラウザで仕事を行うユーザーには ChromeOS デバイスを与えるようにすれば、組織の攻撃対象領域が小さくなります。たとえば、レガシー Windows デバイスに依存しすぎると攻撃に対して脆弱になる場合が多いという報告があります。

柱 3 - 検出: 組織を継続的にモニタリングする方法を定め、潜在的なサイバーセキュリティ イベントやインシデントを特定します。ランサムウェアの場合、これには、侵入の試みの監視、組織からの機密データの引き出しを検出するデータ損失防止(DLP)ソリューションの導入、ランサムウェアの実行や伝播の初期兆候のスキャンを含めることができます。

ランサムウェアに関連する悪意のある活動をできる限り早期に特定して阻止することは、ビジネスの中断を防ぐための鍵となります。Chronicle は、ランサムウェアなどの脅威を比類ない速度と規模で特定する脅威検出ソリューションです。Google Cloud の Threat Intelligence for Chronicle は、インターネット ベースの脅威に対する Google の集合的な洞察と研究に基づいて、実行可能性の高い脅威を表面化させます。Threat Intel for Chronicle を導入すれば、社内環境に潜む現実の脅威に照準を合わせ、発見された脅威に直ちに対処できます。

DLP 技術も、ランサムウェア オペレーターの興味を引き付けるデータの検出に役立ちます。Cloud DLP のようなデータ検出機能を使用すると、一般公開すべきでないときに公開されている機密データや、外部から見えるコードに含まれるアクセス認証情報を検出できます。

柱 4 - 対応: 組織で定められた、セキュリティ イベント(この記事ではランサムウェア)の影響を封じ込めるインシデント対応プログラムを発動します。

ランサムウェア攻撃を受けているときやセキュリティ インシデントの発生時には、チームとの内部コミュニケーションとパートナーやお客様との外部コミュニケーションの両方のセキュリティを確保することがきわめて重要です。Google Workspace は高度に標準化されたセキュリティの高いオンライン コラボレーション スイートであり、セキュリティ インシデントが発生したときは新しいインスタンスをすばやく立ち上げてインシデント対応活動用の分離した安全な環境を用意できます。そのため、従来の Office 環境を利用していた多くの組織が Google Workspace に移行しています。

柱 #5 - 復元: サイバー回復プログラムやバックアップ戦略を構築し、セキュリティ インシデント(この記事ではランサムウェア)によって損なわれた中核システムやアセットを復元する方法を準備します。これは通常のビジネス運営に復帰するために不可欠な機能であり、計画どおりの復元をサポートしてサイバー イベントの影響を軽減する役割を果たします。

ランサムウェア攻撃を受けたときは、感染していないことがわかっている安全なポイントインタイム バックアップ イメージを直ちに特定する必要があります。Actifio GO は、スケーラブルで効率的な増分データ保護と、他に類を見ないほぼ即時のデータ復元機能を提供します。このほぼ即時の復元により、クリーンな復元ポイントの迅速な特定が容易になり、ビジネス機能を速やかに再開できます。Actifio GO はインフラストラクチャに依存せず、オンプレミスにあるアプリケーションとクラウド上のアプリケーションの両方を保護できます。

Google Workspace では、マルウェアに感染したパソコン上のファイルを Google ドライブに同期した場合、これらのファイルを復元できる場合があります。また、Google のリスク保護プログラムのような強力なリスク移転プログラムを用意することは、サイバーリスクを管理する包括的なアプローチにとって不可欠な要素です。

ビジネス リーダーや IT リーダー向けのランサムウェアの予防と軽減に関する重要な検討事項

ランサムウェアの脅威に対する包括的な防御体制を計画する際に考慮すべき重要な質問を以下に示します。

  • ランサムウェアに対する対応計画は定められていますか?それには何が必要ですか?リスク目標とセキュリティ目標の共通の理解に基づくクラウド プロバイダとの強力なパートナーシップが必要であることを忘れないでください。

  • 組織のデータ、システム、従業員をマルウェアからどのように守りますか?

  • 組織のシステムは最新状態にありますか?継続的にパッチは適用されていますか?

  • データの引き出しやその他の不正行為を監視していますか?

  • 自社にとっての包括的なゼロトラスト アプローチとはどのようなものですか(特に従業員が情報にアクセスする際の強力な認証に関して)?

  • 不変性が保証された場所に適切なバックアップをとり、それらのバックアップが正常に機能することをテストしていますか?これには、重要なアセットやデータの定期的な復元を行うテストが含まれます。

  • 組織のリスク管理やサイバー イベントまたはインシデントへの対応を実戦投入テストするためにどのような訓練を実施していますか?

ランサムウェア攻撃は進化し続ける

最近、ランサムウェア グループの手口は進化しており、データを暗号化する前に盗み出してそのデータを漏洩させると脅迫するようになっています。また、ランサムウェア オペレーターの中には、標的組織にさらに身代金を要求する試みとして分散型サービス拒否(DDoS)攻撃を仕掛ける者もいます。DDoS 攻撃は標的組織の注意を逸らす手段として利用される場合もあります。つまり、攻撃者がデータの引き出しやビジネスに不可欠なデータの暗号化といった別の目標を達成するまでの間、セキュリティ チームの時間を奪うために利用されます。大規模な DDoS 攻撃を吸収できる規模まで拡張可能な Google Cloud Armor を導入すれば、Google Cloud、その他のクラウド、またはオンプレミスにデプロイされたサービスを DDoS 攻撃から守ることができます。

ランサムウェアに対する防御はすべての組織にとって重要な問題であり、本稿で示した質問やベスト プラクティスは成熟した回復力の高いサイバーセキュリティ体制を構築するための出発点にすぎません。重要なのは、防御の一部だけに集中してはならないということです。脅威を特定、保護、検出し、脅威に対応して元の状態に復元できる包括的なサイバーセキュリティ プログラムを策定する必要があります。そのために何よりも必要となるのは、実戦投入テスト済みで回復力の高いクラウド プラットフォームに用意された、これらの要素全体にわたってお客様のビジネスと一体化した形で機能する一連のソリューションです。Google Cloud がランサムウェアなどの脅威から身を守る包括的なサイバーセキュリティ プログラムを実現するうえでどのように役立つかについては、Google Cloud セキュリティ ベスト プラクティス センターをご覧ください。

- Google Cloud バイス プレジデント兼 CISO、Phil Venables

- Google Cloud セキュリティ部門バイス プレジデント兼ゼネラル マネージャー、Sunil Potti

投稿先