ガートナージャパンは3月3日、ランサムウェア攻撃への対策として国内企業が取るべき4つのアクションを発表した。その概要は以下のとおり。
■ランサムウェアへの感染リスクを減らす
エンドポイントの検知/対応(EDR)は重要な対策の一つだが、ランサムウェア攻撃においては認証情報の悪用やクラウド環境への横展開などエンドポイントから離れたところで発生する事象も多く存在する。そのため、EDRのような「感染後の対応」に重きが置かれているソリューションに依存しすぎると予防的な対策が不足し、ランサムウェアへの感染の可能性がこれまで以上に増大することになる。
ランサムウェア対策には、継続的な脅威エクスポージャ管理(CTEM)による継続的な確認・対処や、アタック・サーフェス・マネジメント(ASM)や脅威インテリジェンスによる脅威エクスポージャの可視化が必要になる。また、特に重要なシステムに対しては特権アクセス管理が適用されていることを今一度確認することも重要。
■インシデントを早期に検知する
EDRが発するアラートは、ほとんどの場合、重要度「高」「中」「低」が自動的に付与される。多くの企業では、多様かつ大量のアラートのすべてに対処する余裕がないため、重要度「高」のアラートにしか対処できていない。
一方で、重要度「高」のアラートは、攻撃の「予兆」ではなく、すでに攻撃を受けている場合もあるため、こうした企業では、予兆の検知がないままインシデントの発生に至っているケースも多く、実際には重要なインシデントを検知できないなど運用面での課題を抱えている。
■緊急時にも冷静に行動できるようになる
ランサムウェアに感染した場合、企業は短時間のうちに事業停止に関わるいくつもの重大な意思決定を連続で行う必要がある。そのため企業は、ランサムウェア感染に対する緊急時対応計画策定にあたり、まずこれを従来のIT-BCPの取り組みからBCPへと格上げし、事業リスクへの対処を中心とした緊急時対応/復旧戦略に変更する必要がある。特に対外コミュニケーションにおいては、経営陣が、誰に対し、どのチャネルと媒体を使って、経営責任を明示するかが重要になる。
■被害を受けた後、素早く正しく復旧させる
2025年9月に警察庁が発表したレポートによると、ランサムウェア被害に遭った企業のうち、90%以上がバックアップを取得していた一方で、バックアップからデータを復元できなかったケースは85.4%に上った。素早く復旧できなかった理由としては、バックアップ・データそのものが暗号化されている、「正しい」バックアップが取られていない、あるいは、「正しい」復旧プロセスが確立できていない、などが挙げられる。
データはテクノロジーで保護できるが、復旧にはシステム間のデータ同士の相関性による整合が必要なため、一貫性を維持するために同じタイミングでバックアップを取る必要がある。ランサムウェア被害からの復旧のためには、バックアップ・データの保護が不可欠。対策として、バックアップ・イメージを複数取得し、その一部をランサムウェアから隔離する必要がある。
関連リンク