昨今のサイバーセキュリティにおいて最もホットな話題といえば、ランサムウェアに対する備えだろう。サイバー犯罪者がデータを“人質”にとり、企業に身代金を要求するランサムウェアの手口は年々巧妙・悪質化している。万が一、ランサムウェアの被害にあったらどう対応すればいいのだろうか。また、被害にあわないためにどのような事前対策を行えばいいのだろうか。
2024年10月30日に開催されたTECH+ウェビナー『もしもランサムウェアの被害にあったら ~ タマちゃん&体験者と学ぶ、備えと対応 ~』では、2024年の情報セキュリティ事故対応アワードで審査員長特別賞を受賞した菱機工業 小川弘幹氏が登壇。小川氏の体験談をベースにTECH+の人気連載 「情シスのタマちゃん2」に登場するキャラクターがランサムウェア被害時の対応や心境、検討事項などを4コママンガ形式でご紹介。インターネットイニシアティブ 根岸征史氏がモデレーターを務め、エム・シーシー食品 石川真法氏、デル・テクノロジーズ 西賴大樹氏とともにランサムウェア対策について議論を行った。
-
(左から順に)
株式会社インターネットイニシアティブ セキュリティ情報統括室 室長 根岸 征史 氏
菱機工業株式会社 システム企画課リーダー 小川 弘幹 氏
エム・シーシー食品株式会社 管理本部 業務管理部 情報システムチーム シニアプロフェッショナル 石川 真法 氏
デル・テクノロジーズ株式会社 インフラストラクチャー・ソリューションズ営業統括本部 DPS営業本部 事業推進担当部長 西賴 大樹 氏
菱機工業へのランサムウェア攻撃はどのように行われたのか
菱機工業がランサムウェアの被害にあったのは2022年11月17日のこと。「サーバのデスクトップ画面に見慣れないアイコンがある」、「ファイルサーバのファイルが開けない」、「各支店のコピー機から英文で書かれた脅迫文が大量に印刷される」などの異常事態が突如発生した。
小川氏はすぐさま調査を実施。その結果、社内に約200台ある仮想デスクトップPCのうち70台強がランサムウェアに攻撃されたことが判明した。
「バックアップデータについても悲惨な状況でした。特にファイルサーバやUSBハードディスクは影響が大きく、ファイルサーバについてはいまも20%ほどのデータが取り戻せていない状態です」(小川氏)
バックアップデータはランサムウェアに狙われやすいと話すのは、デル・テクノロジーズ の西賴氏だ。企業からもランサムウェア対策としてバックアップデータに関する問い合わせは増えているという。
「まだ被害にはあっていないものの、他社の被害を見て事前対策の必要性を感じているお客様は多いです。一方で実際に被害に遭われて緊急性が高い状態でお問い合わせをいただくケースもあります。また、当社がご提供するサーバの保守対応を行うなかでランサムウェア被害が発覚するというパターンもあります」(西賴氏)
インシデント対応において重要なのは、できるだけ早く被害に気づき、すばやい対策をとれるかどうかだ。デル・テクノロジーズのサポートを受けてランサムウェア対策に取り組んでいるというエム・シーシー食品の石川氏は、「当社では監視機能をもったセキュリティ製品ももちろん取り入れていますが、情報システム部門や現場部門がきちんと異常がないかを見て、何かあればすぐ連絡を取り合うなど、マンパワーで対応しています」と語る。
初動対応で最優先すべきは「会社の動きを止めないこと」
では、菱機工業における初動対応はどうだったのだろうか。
小川氏は「復旧作業についてはどちらかといえば災害を想定していたので、サイバー攻撃に対して優先順位をつけて対応するというシナリオは正直ありませんでした」と言う。
ここで課題となったのが経理処理だ。インシデントが発覚したのは木曜日。取引先への支払日にあたり、翌日の金曜日昼までに支払いデータを基幹システムから抽出しないと支払いができないため、猶予はほとんどなかった。そこで、初日は基幹システムに絞ってリストアを行い、支払いについては無事に間に合わせられたという。
実は菱機工業ではこうした初動対応について日頃から訓練を行っており、その効果が表れた形だ。訓練の重要性についてエム・シーシー食品の石川氏は同意を示す一方、「たとえば、私自身が病気になったり事故にあったりして対応できなくなる可能性もあります。その場合は並走いただいているパートナーさんにお任せできるような体制も整えています」と述べる。
エム・シーシー食品のパートナー企業のひとつがデル・テクノロジーズだ。エム・シーシー食品ではDell PowerProtect Data Domain(以降、Data Domain)をバックアップシステムに導入しており、データのバックアップに万全を期している。また、基幹系と情報系をひとつの基盤に集約する統合戦略を採用し、復旧時の煩雑さを削減しているという。
とはいえ「全サーバを1から100まで全部戻せるわけではない」(石川氏)のが現状だ。だからこそ、「会社が動くためにはここまで戻す必要があるという点を認識し、データやシステム、アプリまで含めて見るようにしている」と、石川氏は話す。
菱機工業とエム・シーシー食品のこうした取り組みについて、西賴氏は「先進的な考え方」であると称賛する。
「世界では現在、MVC(Minimum viable company)という考え方がトレンドです。これは、仮に自社が全損した際に、会社として最低限の機能を保つためには何を復旧すればいいのかを決めておくというもの。お二人ともこの考え方をお持ちになっているのがすばらしいです」(西賴氏)
パートナー企業との「並走」がスムーズな復旧の鍵
初動対応である程度復旧したら、次は本格復旧に取り掛かる。根岸氏によると「初動対応は被害拡大を防ぐために時間との戦いになりますが、本格復旧はどちらかといえば時間がかかる想定でじっくり取り組まなければならない」とのこと。菱機工業ではどう進めていったのか。
小川氏は「見通しは正直言ってわかりませんでした。聞いた話では復旧に数ヶ月かかるともいわれますし、頑張っても年末まではかかるだろうと覚悟はしていました」と当時の思いを語った。
実は、攻撃を受ける少し前にEDRの導入を決定していたという同社。翌日には駆除方法を決定し、EDRの導入をスムーズに進めることができた。
「大変だったのは、アプリケーションや各システムのベンダーの人手が足りておらず、即応はできなかったことです。ただ、われわれが知識不足だったネットワーク部分については、インフラ系のベンダーからベテランのエンジニアの方が応援に来てくださって大変助かりました」(小川氏)
外部のパートナー企業との連携については、先にも述べたようにエム・シーシー食品も重視している部分だ。石川氏は「自分たちだけで走るのではなく、かといってパートナー企業を頼りすぎるのでもない、並走することをかなり意識して体制づくりをしています」と言う。
実際、こうした「並走」のリクエストはユーザー企業からも多く寄せられているそうで、「たとえば当社のサイバー復旧の仕組みを導入いただいているある病院では、インシデント対応(被害後の復旧作業)についてベンダーも一緒に訓練したり事前に協力したりすることを最初からRFP(提案依頼書)の中に盛り込んでおきたいとおっしゃっています」と西賴氏は話す。
現場へのヒアリングと損失の試算が経営層への説明材料に
サイバー攻撃への事前対策を行うには、経営説明が欠かせない。その際に重要なのが、サイバー攻撃によりどれだけの損害が出るのかという試算だ。小川氏は経営層への説明時、「1日業務が止まれば人件費だけで1,000万円の損失。復旧までの期間を含めると億単位の損失がある」ことを伝えてサイバーセキュリティ予算を確保していた。そこからEDRの導入やバックアップシステムの発注などを行ったという。
「年間の予算では飛び抜けた金額だったので、説得材料として現場へのヒアリングも行いました。管理本部や財務会計部署に出向いて、『いざというとき、紙の業務に戻れますか?』と尋ねたんです」(小川氏)
こうした現場ヒアリングについては、デル・テクノロジーズの顧客のある病院でも行われたという。
「ある病院では『電子カルテから紙のカルテに戻れますか?』という机上訓練を行ったそうです。すると医師の方々のなかで、紙カルテを用いた診療手順は『院内の電子掲示版を見ればよいので大丈夫』とおっしゃる方々がいたそうなんです。つまり電子掲示板のデータに被害が及ぶと紙カルテ運用に戻れない可能性がある。そういういった現実の積み重ねで対策の必要性を経営層に理解いただき、弊社の製品を導入いただいています」(西賴氏)
ランサムウェア対策で重要なのは、しっかりとバックアップデータを守ること。たとえばデル・テクノロジーズのData Domainのように、格納したデータをさまざまなサイバー攻撃から保護する機能を有するシステムを導入しておくことで損失を最小限に抑えられるだろう。
ただ、対策にはコストが必要であり、経営層にどう説明すればいいかわからないということもあるだろう。そうしたIT部門の担当者にとって、本ウェビナーは非常に参考になる内容だったのではないだろうか。
デル・テクノロジーズが提供するサイバーレジリエンス基盤はこちら
[PR]提供:デル・テクノロジーズ
Windows Server 2025へ勝手にアップグレード、原因はサードパーティー製品か
