メニュー

進化するサイバー脅威に対抗するデータ保護とセキュリティのあり方とは 【NetApp Security Dayイベントレポート】

目次

このページを共有

庄司 知代 (Tomoyo Shoji)
庄司 知代

企業がサイバー攻撃に遭い事業停止を余儀なくされるという事例が見られる昨今、サイバーセキュリティ対策は経営課題として必須の取り組みと言っても過言ではありません。特に近年ではランサムウェア攻撃などの脅威に対抗するために、いかにデータを守り、ビジネス全体でレジリエンスを高めるかが重要です。こうした背景の中、2024年9月18日に開催されたイベント「NetApp Security Day」では、セキュリティの専門家やユーザー企業が集い、データを保護してセキュリティを最大限に強化するための考え方やアプローチが紹介されました。その様子をお伝えします。 

サイバーレジリエンスを意識し、5つのポイントを踏まえて実践することが重要

冒頭の特別講演ではアイティメディア 編集記者 田渕聖人氏ランサムウェアの最新事情と被害企業の生の声を紹介しました。 

田渕氏はまず、警察庁の資料などからランサムウェアの最新動向を解説。そのうえで「ランサムウェア攻撃は今後も継続し、あらゆる組織が攻撃の対象になると推測されます。サイバーセキュリティに対する考え方について、自社の中で共通の合意形成をしておくことが重要です」と指摘します。 

実際、アイティメディアが行った読者調査では、ランサムウェア攻撃は非常に身近に存在していることが分かったといいます。「サイバー攻撃を受けたと回答した方にランサムウェア攻撃による被害を聞いたところ、約半数が経験ありと回答しました。つまりサイバー攻撃の半数がランサムウェアというのが近年の状況です。一方で、被害状況を可視化できていない企業も20%に達しています」と田渕氏は語ります。 

実際の被害事例として、ランサムウェア攻撃で甚大な影響を受けた徳島県半田病院の事例と、KADOKAWAグループのドワンゴの事例を紹介しました。 

「これら事例を見ると、かねてから問題になっていたVPNの脆弱性が狙われたり、サーバーを再起動して攻撃を続けたりと攻撃者は高いモチベーションで執拗に攻撃をしかけてきます。ランサムウェアはビジネスです。身代金を支払っても直接的な解決にはつながらず、データが必ず復旧するという保証もまったくありません。さらにインシデント対応にも多額の費用がかかります。このようにサイバー脅威は非常に深刻な経営リスクだということを改めて認識しておくべきです」(田渕氏) 

そうした中で対策として重要になるのがバックアップです。アイティメディアの読者調査でも、解決のための手段として「バックアップからの復旧」を挙げたケースが約3分の1であり最多でした。その上で田渕氏はこう訴えました。 

「防御のための事前対策に加え、バックアップを中心とした事後対策が重要です。これを実現するためのキーワードがサイバーレジリエンスです。サイバーレジリエンスは「1.重要な資産に焦点を当てる」「2.柔軟性と俊敏性を考慮して設計する」「3.攻撃対象領域を最小化する」「4.侵害を想定する」「5.敵の進化を想定する」という5つのポイントを踏まえて実践することが重要です」(田渕氏)

ランサムウェア被害を教訓にNetAppランサムウェア機能を活用する芝浦工業大学

続く事例講演では、芝浦工業大学 情報イノベーション部 情報イノベーション課 佐藤剛氏が、NetAppが提供するランサムウェア機能の活用事例を紹介しました。 

芝浦工業大学は、豊洲と大宮にキャンパスを構え、4学部17学科・1研究科11専攻を開講する理系私立大学です。学生数は9612人、教職員は560人(いずれも2024年度)で、ファイルサーバーのストレージ基盤としてNetApp FASシリーズを長らく運用してきました。佐藤氏は、情報イノベーション部に所属し、学内ファイルサーバーや学内メールシステム、クラウドサービスの設定・構築・運用などに携わってきました。NetApp製品歴は20年に及びます。 

「ユーザーの誤動作をリカバリーするために、スナップショット機能を長く活用してきました。2016年にランサムウェア『Locky』の被害に遭い、ファイルサーバーに保存していたオフィスデータがリアルタイムに書き変わっていく経験をしましたが、当時はスナップショットを活用することで2時間前のデータに復旧させることができました。その後、スナップショットのスケジュールを1時間間隔にしたり、保持期間を見直したりして対策を行ってきました」(佐藤氏) 

当時はランサムウェア対策ソリューションがありませんでしたが、ONTAPのバージョン9.10.1からランサムウェア機能が実装されました。そこで、同大学では2022年夏のリプレースのタイミングで、NetApp製品のオールフラッシュ化(NetApp AFF A400導入)と合わせてランサムウェア機能を導入しました。 

「ランサムウェア機能は、Autonomous Ransomware Protection(ARP)と呼ばれ、ストレージ内の挙動を一定期間AIに学習させ、不審な振る舞いを検知することができます。また、クラウドサービスのCloud InsightsのAIサービスであるStorage Workload Securityを使うことで、ハイブリッドクラウド環境のストレージを保護することもできます。実際に本学でも、導入後に学部生や大学院生が利用するデータに不審な挙動を検知できました」(佐藤氏) 

今後同大学では、データセンターやDRサイトのストレージのリプレースに合わせて、さらなる利用拡大を図っていくとしています。 

攻撃者の手口と思想を知ることが重要 バックアップの徹底と復旧訓練もポイントに

後半の特別講演では、日本ハッカー協会 代表理事 杉浦隆幸氏が登壇しました。まず、杉浦氏は「日本企業でランサムウェア攻撃による被害が増え始めています。これはランサムウェアの攻撃グループが日本をターゲットにし始めていることが背景にあります」と指摘。その上で、ランサムウェア攻撃から実際にどのように復旧するのか、攻撃者の考え方や手口など最新の実態を解説しました。 

杉浦氏によると被害に結びつくランサムウェア攻撃には大きく3つのパターンがあります。 

  • 1つめ VPN装置の脆弱性を突いて侵入してパターン 
  • 2つめ リモートデスクトップ接続の入り口から侵入するパターン 
  • 3つめ 標的型攻撃メールなどのフィッシングメールから侵入してくるパターン 

「この3つに対して対策を徹底していればほとんどのランサムウェア攻撃を防ぐことができます。VPN装置から侵入されてしまうケースは、多くの場合脆弱性に対するアップデートプログラムを正しく適用していないことが原因です。まずは最新の状態にすることが重要です。2つめのリモートデスクトップ接続は、簡単な管理者パスワードを設定していることが原因です。同じパスワードを使い回していると、漏えいしたIDとパスワードが悪用されてしまいます。3つめのメール経由での攻撃は、攻撃者はより高度な技術と侵入までの手間が必要になります。より手間をかけさせることで攻撃の成功率は下がります」(杉浦氏)。 

杉浦氏は、ランサムウェア攻撃に対抗するには、攻撃グループの思想やバックグラウンドを知ることも重要だと指摘しました。グループによっては医療機関など特定の組織を攻撃しなかったり、特定の国は攻撃しなかったりするなどの違いがあるからです。 

さらに、身代金を支払った場合の対応や、盗んだ情報の公開の仕方などにも違いがあるため、どの攻撃グループが攻撃しているかによって対応の仕方も変わってくると説明しました。その上でランサムウェア対策としてバックアップの重要性を訴えました。 

「バックアップがビジネスの成否を分けます。適切にバックアップを取得していれば、その分復旧も素早く行うことができます。実際に、バックアップを徹底し、さらに復旧訓練などを行っている企業がランサムウェア攻撃後から数時間で復旧できた事例もあります」(杉浦氏) 

NIST CSFが示す「5つのポイント」を押さえたデータ保護機能を標準搭載

NetAppの講演では、ソリューション技術本部ソリューションアーキテクト部シニアソリューションアーキテクト 小原誠が、ランサムウェア攻撃に対する「最後の砦」となるストレージにおける対策について解説しました。 

小原は「近年のサイバー攻撃に対しては、攻撃を防ぐ『防災』的なアプローチに加え、万一被害を受けた場合も影響を極小化し、柔軟かつ素早い復旧を目指す『減災』的なアプローチが重要になっています」と指摘します。 

この背景には、パッチを適用していても侵入されたケースやウイルス対策ソフトで検知できないケースが増えていることもあります。また、バックアップを取得していても、ランサムウェアによってはバックアップごと暗号化されてしまうケースもあります。 

「そこで重要になるのがサイバーセキュリティに加え、サイバーレジリエンスの観点を取り入れることです。サイバーレジリエンスは、NIST(米国立標準技術研究所)のサイバーセキュリティフレームワーク(CSF)にも取り入れられています。この観点に基づけば、ランサムウェア対策には『備える』『影響を小さくする』『早く回復する』の3段階あります。また、ランサムウェア攻撃からのデータ保護では5つのポイントを押さえることが重要です」(小原氏) 

5つのポイントとは「管理者アカウントの保護」「各種ログの取得」「保護された複数世代のバックアップ」「攻撃の早期検知」「素早く柔軟に実行できるリストア」です。そのうえで、NetAppでは、これら3つの考え方と5つのポイントに沿って、網羅的なデータ保護機能を提供できると解説しました。 

例えば「管理者アカウントの保護」では、ロールベースアクセス制御(RBAC)、多要素認証(MFA)、複数管理者検証(Multi-Admin Verification)機能を標準搭載します。また「攻撃の早期検知」では、振る舞い検知や自動バックアップ(スナップショット)、管理者への通報、監査ログ収集、セッション自動遮断などが可能です。さらに復旧においても、ボリューム丸ごとのリストア、ファイルごとのリストア、ボリュームのクローンなどの素早く柔軟に実行できるリストアが可能であることを強調しました。 

「ランサムウェア対策は総合格闘技」一丸となって課題を乗り越えていくことが重要

本イベントの最後は、アイティメディア 田渕氏、芝浦工業大学 佐藤氏、日本ハッカー協会杉浦氏、NetApp小原によるパネルディスカッションが実施されました。モデレータはNetApp専務執行役員 ソリューション技術本部 本部長 平松貢が務めました。 

まず、佐藤氏が2016年に経験したLocky被害について、ランサムウェアの知識がない中かで「どう原因を特定したのか」「インシデントレスポンスとして何を行ったのか」がテーマになりました。佐藤氏は「スナップショットの履歴やエンドポイントにインストールしていたソフトウェアの状況などを調査しながら、感染端末を特定していきました。拡張子が次々と書き変わっていくので、情報収集もしやすかった面があります。当時はCSIRTのような部門がなく、とにかく業務に支障がでているので復旧が最優先でした」と振り返りました。 

また、企業の被害事例を紹介したアイティメディア田渕氏や日本ハッカー協会杉浦氏に対しては「経営とITのギャップ」「米国と日本との違い」などをテーマに議論が行われました。 

田渕氏は「ユーザー企業を取材していて感じるのは、直接的な被害に遭わないと自分事化できないケースが多いということです。経営と現場のセキュリティ意識にもギャップがあり、忙しい経営層にとってはセキュリティをきちんと理解することが難しく、現場も経営にどうセキュリティを訴えていいかわからない状況です」と語り、ランサムウェア攻撃が身近になっても危機意識が少なく、全社一丸となった取り組みに至っていないことも多い現状を指摘しました。 

また、杉浦氏は「ランサムウェアの被害件数を見ると米国が群を抜いて多い状況です。数で言えば日本は相対的に少ないです。米国では中小規模の企業が自分たちでIT構築に取り組むため、抜け穴ができやすい面があります。一方、日本はITベンダーがセキュリティを担保してくれていることが多く、セキュリティの平均レベルは比較的高い。ただ、地方など、ITベンダーの支援を受けにくいところや、サプライチェーン攻撃などのように取引先のセキュリティが担保できないケースでは被害が増えています」と解説しました。 

小原氏は「ベンダーとしてストレージを提供していますが、最近はIT担当だけでなく、セキュリティ担当者とお話しさせていただく機会も増えてきました。そこでよく議論になるのはどの部門がどう予算を持ち、どう取り組みを進めるかです。ランサムウェア対策は総合格闘技のようなものです。経営から現場まで、組織の壁を乗り越えながら、さまざまな取り組みをしていくことが重要です」と述べた。 

まとめ

最後に、会場からの質問を募ると多くの質問が挙がり、会場の参加者を交えながらパネリストらが活発に議論するなど多いに盛り上がりました。セキュリティに対して多くの企業が高い関心を示しているという現状が、本イベントを通じて伺えました。 

日頃の対策が肝心です。NetAppでは実体験ができるワークショップなどをお客様、パートナー様向けに実施しています。本Blogを読まれ興味を持たれた方は、担当営業もしくはhttps://www.netapp.com/ja/forms/sales-contact/ よりお問い合わせください。 

庄司 知代 (Tomoyo Shoji)

庄司 知代

2019年4月よりNetAppに入社。IT業界でのマーケティング業務にて長年に渡り培ってきた経験を活かし、ABM、イベント企画・運営、コンテンツマーケティング、広告など幅広くフィールドマーケティング業務に従事しています。

庄司 知代の投稿をすべて見る

次のステップ

Drift chat loading