ランサムウェア対策に重要なサイバーレジリエンス
基本的にデータ消失リスクという観点では、ファイルを暗号化されてもそれを元に戻せればよいため、ファイルサーバやNASにデータをバックアップして対策としている企業は多い。しかしその場合でも必ず全てのデータを復旧できるとは限らない。外部の専門のデータ復旧事業者に依頼したものの一部を元に戻せずトラブルに発展するケースも出ている。
前述の警視庁のレポートによれば、22年にランサムウェアの攻撃を受けてバックアップから復旧を試みた組織のうち、以前の水準まで戻せたケースは20%弱だった。また、もしバックアップから復元できた場合でも、バックアップ取得のタイミングによっては社員が業務の中で更新したファイルまで望まない時点のバージョンまで戻ってしまう可能性もある。
企業にとって重要なのは、事業継続性の視点である。万が一ランサムウェアの被害に遭っても、速やかにデータを復旧しビジネスへの影響を最小限に食い止める「サイバーレジリエンス」の考え方が欠かせない。
では、どのような施策が効果的なのか。実際にランサムウェアの被害に遭い、そして迅速なデータ復旧を成功させたある日本企業、A社の事例を基に、どのような技術やサービスを活用すればランサムウェアに対抗できるのか、具体的なソリューションを紹介しよう。
1万3000ファイルが被害も、プロの支援でわずか“25分”で復旧
A社は日本に本社を持ち、グローバルに事業を展開している製造業を営む企業だ。23年春に、海外拠点の従業員1人がランサムウェアに感染した。被害はその従業員のアクセス・書き込み権限があるファイル全般に及び、仮想ドライブからアクセス可能なクラウドストレージに格納していた1万3000超のファイルとローカルPC上のファイルが不正に暗号化された。
そのとき同社が使っていたクラウドストレージが、ファイルフォースが提供する「Fileforce」だ。組織・個人単位で柔軟なアクセス権限の設定ができるため日本企業ならではの運用にフィットしやすく、ファイルサーバと変わらないUIでクラウド上のファイルを操作できるアプリケーション「Fileforce Drive」を備えているため直感的に操作できるなどの特長から、日本企業で導入が広がっている。
管理者はインシデントに気づいてから、まずはログ調査などの情報収集に努めた。当初は自社のIT部門のみで対応していたが、被害拡大を阻止するためのより高度なアドバイスを得ようとベンダーであるファイルフォースへ問い合わせた。
連絡を受けたファイルフォースの動きは速かった。サポートに当たったファイルフォース カスタマーサクセスチームの松尾竜児氏はこう振り返る。
「連絡をいただいてからすぐに開発部門と連携してタスクフォースチームを結成し、把握しているもの以外に感染したユーザーやファイルが存在しないか、感染した正確なファイル数、影響時間などの調査をしました。影響範囲を特定した後はそのリストをお客さまに共有し、Web会議で会話しながら、Fileforceの『ランサムウェア対策機能』を利用して復旧しました。復旧処理を開始してからわずか25分程度で、感染したファイルを被害直前のバージョンに復旧できました」(松尾氏)
「被害なし」を実現する、新しいランサムウェア対策機能
松尾氏が話すFileforceのランサムウェア対策機能とは、23年4月にリリースされた新機能である。ランサムウェアに対して予防・検知・復旧という3段階の防御壁を設けることで、「被害なし」を可能にする。
具体的には、独自の仮想ファイルシステムで前述のFileforce Driveへの不正アクセスを“予防”し、もしランサムウェアの疑いがあるプロセスがクラウド上のファイルを操作した場合には自動で“検知”する。万が一予防と検知の壁をすり抜けた場合でも、「インシデント管理画面」から被害を受けたファイルの“復旧”がワンクリックでできる。
検知された異常なプロセスは管理者用の「インシデント管理画面」に自動的に表示され、この画面から被害に遭ったファイルを特定し、そのファイルだけをピンポイントで直前のバージョンに復旧できる。
「今回のケースでは新機能がリリースしたばかりだったこともあり、被害に遭った時点ではお客さまの環境ではFileforceのランサムウェア対策機能が有効になっていなかったため、残念ながら予防・検知のシステムは機能していませんでした。今回、復旧する際には当社がサポートしながら新機能の仕組みを利用し、お客さまの方からインシデント管理画面にログインしていただき、インシデントの起票とファイルの復旧処理を行いましたが、今後は予防・検知という早いタイミングから本機能が役に立つはずです」と松尾氏は説明する。
この機能を有効化していれば、感染した時点ですぐに管理者へ通知が送られ、被害に遭ったファイルの特定から、該当ファイルだけを直前のバージョンに復旧するところまで全てユーザー側で完結することも可能だという。
「ランサムウェア対策機能のメリットは、影響のあったファイルのみをピンポイントで特定し、ボタン一つで復旧できることです。一般的に、膨大な時間やリソースを割く復旧作業が、短時間で手間なく完了します。業務システム全体を停止する必要もありません。今回のお客さまの場合、被害を受けていないユーザーとファイルはすぐに利用を再開できました。復旧の際もバックアップでなくバージョンファイルを利用して該当ファイルだけを書き換えられる直前のバージョンに戻すため、『バックアップデータが古くて全てのファイルが1週間前に戻ってしまった』という問題も起きません」(松尾氏)
また、被害を受けたファイルのリストは、復旧状況も含めて管理画面からCSVで出力できるため、経営者や警察など関係各所へのインシデント報告にも活用できる。
こうした機能の実用性はもちろんだが、サポート体制の手厚さもFileforceを利用するメリットの1つと言える。
「今回のお客さまはFileforceを長年利用していただいていたこともあり、当社を信頼して連絡をくださいました。お客さまと密に連携して素早い対応ができたことも当社ならではの強みです。Fileforceは国産クラウドストレージとして、よりよい機能はもちろんサポートにも注力しています。今回のようにいざというときに各部門のスタッフが素早く対策チームを結成するなど、手厚いサポートをする文化が根付いています。何かお困りごとがあれば、ユーザーの皆さまにはぜひお気軽に相談していただきたいです」(松尾氏)
手厚いサポートで安心・安全のクラウドストレージ
冒頭に述べた通り、日本企業におけるランサムウェアの被害は、ますます拡大していく傾向にある。サイバー攻撃の技術は急速に進化しており、従来型の検知・防御技術だけでは侵入を完全に防ぐことが難しくなっている。既知の脅威への対策をしっかりと固めたうえで、万が一被害に遭った場合でも迅速かつ手間なく復旧できる体制を整えることが必要である。
そして、適切な復旧の仕組みを整備するには、データの保管方法を最適化することが先決だ。組織内のさまざまなところにデータが格納されており、その存在自体を把握することが困難な状況では、被害の影響範囲を調査するだけでも長時間かかる。また、アクセス権の設定が不十分であれば、被害が急速に拡大する。例えば今回紹介したA社では、本社と海外拠点とでアクセス権を適切に分離していたため、国内への被害拡大を阻止できたという面もあり、Fileforceの柔軟なアクセス権限機能を活用した厳格な管理が功を奏したと言える。
「全社のファイルを安全な領域、つまりFileforceに保管しておけば、ランサムウェア対策機能で“被害なし”の状態にできます。万が一ファイルを改ざんされても、影響範囲をすぐに特定してボタン一つで復旧でき、業務が停止することはありません。非常に強力なレジリエンスを実現できるのです」(松尾氏)
ファイルフォースは、国内に開発体制とサポート体制を整えており、日本企業のさまざまなニーズへ素早く応えていく意向だ。今後も積極的にサービスや機能を開発し、利便性や安全性の強化に努めていく。またカスタマーサクセスやテクニカルサポートにもいっそう注力し、ユーザー企業を強力に支援していく計画だ。
サイバーレジリエンスを実現でき、かつ日本企業と機能・サポート面で相性のよいクラウドストレージを検討している企業は、ぜひファイルフォースに相談してみてはいかがだろうか。
転載元:https://www.itmedia.co.jp/business/articles/2308/21/news016.html