ランサムウエアやEmotet(エモテット)といったマルウエアによる被害が深刻化しています。ランサムウエアの攻撃を受けた医療機関や自動車関連工場などが一時的な事業停止に追い込まれ、2022年3月には、Emotetに感染しメール送信に悪用される可能性のある「.jp」メールアドレス数が2020年の感染ピーク時の約5倍以上に急増しているとJPCERT/CC*1が発表しました。それぞれのリスクの高まりに対して多くの国の政府や民間の専門機関が警鐘を鳴らしています。
では、どのような対策を実施すればよいでしょうか。ランサムウエアやEmotetの感染対策の基本的な考え方は共通しています。マルウエアの侵入を防止することと、侵入時の被害を最小限に抑えるために、早期に異常を検知し対処することです。それぞれにおいて検討すべき主な内容は以下の通りです。
<マルウエアの侵入の防止>
・不正なメールを受信させない。
・不正なWebサイトへの接続をブロックする。
・侵入防止のため、外部からのアクセスを制御する。
・OSおよびソフトウエアを常に最新に保つ
<侵入時の被害を最小限に抑えるための早期の異常検知と対処>
・統合ログ管理、ネットワーク管理、エンドポイント管理などによる攻撃の可視化、監視、異常検知
・堅牢なプラットフォーム上でのデータの保管
ランサムウエアの脅威とその対策の必要性
ランサムウエアに感染すると、感染PCと通信できるPC・サーバーのデータが軒並み意図せず暗号化され読み取れなくなり、攻撃者からは復元のための金銭の要求や外部へのデータ公開の脅しなど、幾重にも重なる脅迫が発生します。ひとたび感染してしまうと、システムの停止や破壊などの影響は避けられず、事業継続の観点からも事前の対策が重要となります。
図1.ランサムウエアによる攻撃
図 1はランサムウエアによる攻撃の様子を示したものです。攻撃者は、VPNなどの脆弱性を利用して社内に不正侵入し、ランサムウエアに感染させデータを改ざんし、情報を窃取します。さらに、重要資産を狙い、侵害を拡大します。昨今では、社内だけではなく社外にも重要なデータが置かれる可能性があり、テレワーク用の端末などについてもデータ改ざんの危険があります。
ランサムウエアを防ぐには、適切なセキュリティー対策が必要ですが、クラウドサービスの利用拡大やテレワークなど働き方の多様化によって、考慮すべき事項が増え、セキュリティー対策は複雑さを増しています。
図2. システム管理者の持つ複雑化するセキュリティー対策に関する悩み
では、どのようにセキュリティー対策を実装していけばよいのかランサムウエア攻撃に対する具体的な対策をご紹介します。
ユニアデックスが提供する「ランサムウエア対策に効果的なソリューション」
こちらがランサムウエア対策に効果が期待できるセキュリティー製品のカテゴリーです。
図3.ランサムウエア対策に効果が期待できるセキュリティー製品カテゴリー
これらの機能をどのように実装すればよいか、当社がご提供しているセキュリティー製品やサービスを用いた、ランサムウエア対策ソリューションを例にご説明します。
図4.セキュリティー製品導入によるシステム堅牢化
「マルウエアの侵入の防止」という観点では、まず、NGFW(Next Generation Firewall)の使用により、アプリケーションレベルの通信検査やサンドボックス機能などで、不審な通信を自動解析し、攻撃者やマルウエアの侵入を防御します。さらに、昨今のテレワーク環境の普及で、ゼロトラストで防御する必要性もでてきていますが、SWG(Secure Web Gateway)により、トラフィックの検査やセキュリティーポリシーの実施をクラウド上で実施し、社内だけでなく社外の端末を介したフィッシングサイトとの通信の制限やマルウエアの侵入を防御します。
「侵入時の被害を最小限に抑えるための早期の異常検知と対処」という観点では、まず、万が一、マルウエアが上述の侵入防止の技術を回避し、端末が感染したとしても、EDR(Endpoint Detection and Response)が不審な動きを常時監視しランサムウエアなどのマルウエアの動きを検知します。端末の感染が疑われる場合、リモートでのプロセス強制終了などによって対処します。さらに、SDP(Software Defined Perimeter)により、通信可能なシステムやアプリケーションをユーザーごとに制限し、ランサムウエア感染時の他の端末への感染拡大を抑制します。そして、SIEM(Security Information and Event Management)により、さまざまな機器やソフトウエアのログを一元的に蓄積・管理し、ログを相関的に分析することで、脅威の可視化が可能となり、ランサムウエアなどのマルウエアの感染経路や影響範囲の特定に役立ちます。このような分析の自動化は、管理者の負荷軽減に繋がり、インシデント対応の時間を短縮します。
ゼロトラストでの防御という切り口では、「認証基盤」「検知・防御」「利用状態の可視化」「ログ分析」機能を複数のセキュリティーサービス製品を最適な組み合わせで提供する、Uniadex CloudPas®により、ゼロトラストベースでシステムを堅牢化することが可能です。
また、上述の各カテゴリーに関し、弊社では以下のセキュリティー製品をご用意しています。
・NGFW
Palo Alto PAシリーズ、FortiGate、Cisco Firepower
・SWG
Zscaler Internet Access、Cisco Umbrella
・EDR
Cybereason EDR、Cisco Secure Endpoint
・認証基盤
Okta、Cisco Identity Services Engine
・Data Platform
Box
・SIEM
Sumo Logic
ユニアデックスの役割
ランサムウエアに効果的な製品やサービスを多数取りそろえ、お客さまの環境やご要望に合わせたセキュリティー対策を提案します。
ネットワーク製品をマルチベンダー・ワンストップで提供
複雑になりがちなマルチベンダー環境システムでも製品の提案から、調達、設計、導入、運用、保守までワンストップで提供し、トラブル発生時も一元的に対応可能です。
クラウドセキュリティーサービス「Uniadex CloudPas」
「Uniadex CloudPas」は、各種クラウドセキュリティーサービスを統合して提供することにより、クラウドファースト時代のセキュリティー課題を包括的に解決します。複数のクラウドサービスの連携により、お客さまのお悩み解決の最適な提案が可能です。加えて、マネージドセキュリティーサービス「Uniadex CloudPas MSS」で統合的な運用も可能です。
*1 JPCERT/CC:「一般社団法人JPCERTコーディネーションセンター」の略称
https://www.jpcert.or.jp/