UTMは、ネットワークセキュリティ対策を総合的に行える製品です。では、近年脅威となっているランサムウェアへの対策も万全でしょうか?本稿では、UTMではランサムウェア対策がどこまで有効かについて解説します。さらに、UTMと組み合わせるとさらにセキュリティを高められる対策についても紹介します。
UTMで可能なランサムウェア対策
UTMはセキュリティ対策を多層的に行うことによって、ランサムウェアの予防や情報漏洩の阻止など、被害の拡大を抑える効果を発揮します。UTMに搭載されている機能の中で、ランサムウェア対策に有効なものは主に以下の通りです。
- ネットワークの入口・出口でブロック
- アンチウイルス
- アンチスパム
- Webフィルタリング
UTMに搭載されているセキュリティ機能は、個々でどのようにしてランサムウェアを防御するのでしょうか。以下で詳しく解説します。
1 ネットワークの入口・出口でブロック
ランサムウェアの中には不正アクセスによって情報漏洩を引き起こすものもあります。このとき、内部ネットワークからの送信データをチェックできる機能が役立ちます。
UTMは、ネットワークの入口・出口両方で不正なアクセスを検出してブロックします。ファイアウォールの場合は、外部ネットワークから内部ネットワークへ入ってくるときのみチェックが入ります。一方、UTMは、内部ネットワークから外部ネットワークにデータを送信する際もチェックができる点が大きな特徴です。
2 アンチウイルス
UTMのアンチウイルスは、メールの添付ファイル(圧縮にも対応)を確認し、混入しているウイルスを監視・対策する機能です。
一般的な企業では、エンドポイント(クライアント端末)にもアンチウイルスソフトをインストールしています。そのうえで、さらに内部ネットワークの入口でUTMでも監視することで、より高いセキュリティを保てます。
3 アンチスパム
アンチスパムとは、ウイルスを送り付けてくるメールの送信元情報・差出人・タイトル・本文の内容を確認して、迷惑メール判定・振り分けを行う機能です。メールソフトでも迷惑メールの振り分けは行っていますが、メールサーバーに届く前に、UTMのアンチスパム機能で多数のスパムメールを処理できます。
ランサムウェアはメールを介して侵入するケースもあるため、アンチスパムは有効な防御策です。
4 Webフィルタリング
危険なサイトをリスト化して閲覧できないようにすることで、セキュリティを強化する機能です。危険なサイトだけでなく、業務に関係のないサイトをフィルタリングすることができます。
ランサムウェアは、怪しいサイトにアクセスすることで感染する場合もあるため、サイトアクセス経由でのランサムウェア感染防御に役立ちます。
UTMではランサムウェアを防御できない3つのケース
UTMには多くのセキュリティ機能が搭載されていますが、それでも万全ではありません。UTMではランサムウェアを防げないケースを3例紹介します。
1 UTM導入前に感染
ランサムウェアの中には、パソコンなどに侵入した後、一定期間潜伏してから動き出すものもあります。UTMは外部ネットワークと内部ネットワークの間に位置して、出入口で各種チェックを行う仕組みです。そのため、内部ネットワークからの情報流出は防げますが、侵入したランサムウェアの駆除はできません。
また、USBなどの記録媒体を内部ネットワークに持ち込むようなケースも、UTMを通さない例となります。UTMでは、記録媒体からのランサムウェア感染を防止できません。
2 未知のランサムウェア
UTMは、過去の攻撃パターンを定義しているファイルを利用して、ランサムウェアを検知します。そのため、未知のランサムウェアは攻撃パターンを登録するまでは検知できません。未知のランサムウェアは増えてきているため、定義ファイルを更新して対策する従来型だけでなく、新しい対策が重要になってきています。
3 社員教育が不十分
UTMでいくら防御していても、情報セキュリティに対して社員の意識が低い場合、ランサムウェアを社内に持ち込む可能性があります。USBメモリのような記録媒体を持ち運ぶ、怪しいメールのリンクをクリックしてしまうなど、社員教育が不十分でセキュリティインシデントが発生することは十分にあり得ます。
UTMと組み合わせたいランサムウェア防御策
上述したように、UTMでも完全にはランサムウェアを防ぎきれません。UTMを導入する際は、ランサムウェアの防御策をUTMと組み合わせて、よりセキュリティを高めるよう検討しましょう。
1 ランサムウェア専用のセキュリティ製品導入
ランサムウェア対策として、未知のランサムウェアにも対応した専用のセキュリティ製品の導入を検討しましょう。UTMと組み合わせることで、多層的なセキュリティ対策をさらに強化できます。
ランサムウェア対策製品には、正常な振る舞いだけを通す方式や、AIなどの機能により振る舞いを予測して防御するといった最新の機能が備わっています。
2 自動バックアップ対策
ランサムウェアに感染してしまうとデータは暗号化されてしまい、基本的には犯人の秘密鍵がないと復号できません。一部、公開されているランサムウェアファイル復号ツールをつかうことで復号に成功する場合もありますが、必ず成功するとは限らないと考えてください。
ランサムウェア感染の事後対策としては、バックアップからのデータ復旧を行うしかないケースがほとんどです。定期的にデータのバックアップを取って、ランサムウェア感染に備えましょう。
データのバックアップを定期的に行い、かつデータのバックアップ作業の実行時以外は、ネットワークから遮断して感染を防ぐなどの仕組みが必要です。各マシンやデータベースの自動バックアップ対策は、BCP(事業継続計画)対策にもなります。セキュリティ対策の一環として組み入れましょう。
3 定期的な社員へのセキュリティ教育
UTMなどシステム面でのセキュリティ対策だけでなく、定期的な社員へのセキュリティ教育を行い、社員一人ひとりのセキュリティ意識を高めましょう。
怪しいメールを開いてはいけないことや、USBメモリの使用禁止、ファイルの権限などの基本事項や時事ニュースなど、タイムリーな話題も織り交ぜることも重要です。
研修は定期的に行い、内部監査も行って会社が管理していない機器がないか、ルールは守られているかを確認します。
ランサムウェア感染後にできる対策3つ
どんなに注意していても、ランサムウェアを完全に防げるとは限りません。万が一ランサムウェアに感染してしまった場合、事後対策として知っておきたいことを紹介します。
1 感染に気がついたらすぐにPCをネットワークから切断
感染したPCをネットワークに接続したままだと、被害が拡大する可能性があります。挙動がおかしいと感じたPCはすぐにネットワークケーブルを抜くか、ワイヤレススイッチをオフにして、ネットワークから切断してください。
2 セキュリティ管理者に通報
専門知識がないとランサムウェアの対策はできません。自分で対処しようとせず、ネットワークから該当PCを切断したらすぐにセキュリティ管理者に連絡しましょう。セキュリティ管理者は、ランサムウェアに感染した場合の対策を行うか、セキュリティ専門処理チームに処理を任せます。
3 処理はセキュリティ専門チームに任せる
ランサムウェアに感染したPCの処理は、セキュリティ専門チームに任せましょう。自分で対処しようとしても何もできず、時間をかけている間に感染が拡大する危険性があります。
UTMはランサムウェア対策の核になるソフトウェア
UTMは、ランサムウェア対策の核になる機能を持つ製品です。アンチスパムやWebフィルタリングなど、ランサムウェアの侵入を抑える機能や、内部ネットワークの出入口で不審なデータ送受信をブロックして被害を抑える機能は特に役立ちます。
これらのセキュリティ対策を多重に行うことで、感染の予防や感染時の被害をより少なく抑えられるため、UTMはぜひ導入を検討したい製品です。ただUTMですべてカバーできるわけではありません。UTMの弱点になる部分を補強する製品を組み合わせ、社員教育を定期的に行うことも重要です。
