パートナープログラム
お問い合わせ

ブログ

MSP_SMB向け災害準備、復旧、修復ガイド



災害に見舞われる前にバックアップとリカバリーの計画を立てておくことは必要不可欠です。計画を立てておかなければ、勿論、実行することは不可能です。

企業はランサムウェア攻撃に遭う前に事業継続および災害復旧(BC/DR)計画を作成し、迅速に業務を再開できるように準備しておかなくてはなりません。組織に対するサイバー脅威や攻撃に備えて対処するには、然るべき手順と方法に従う必要があります。

対処方法には、ウイルス対策に加えて、エンドユーザー向けにバックアップおよびリカバリーアプリケーションを導入するといった単純なものもあれば、セキュリティオペレーションセンター(SOC)ツールやマネージドレスポンスソリューションに、DNSやWebフィルタリング、ネットワークやエンドポイントのファイアウォール、VPN、バックアップおよびリカバリーなどのネットワークセキュリティのツールを組み合わせた、より複雑な方法もあります。

また、セキュリティ意識向上プログラムの一環として、エンドユーザーへのランサムウェアの脅威に対するトレーニングも欠かせません。重要なのは、防御ツールやトレーニングが機能せずに自社が危険にさらされた場合でも、企業の資産やリソースを迅速かつ安全に取り戻せるような防御計画を立てておくことです。

どのような準備が必要か?

計画を立てるに際しては、次の点を明確にする必要があります。何のために、何を、どのような方法で、そして最も重要な「誰が」行うかという点です。このためには、自社のリソースや人材、アプリケーションを把握しておく必要があります。被害を軽減するためには、緊急事態の対処法を明確にし、合理的な手順で早急にプロセスを実行しなければなりません。

準備に必要なのは、以下のような項目です。

重要な質問

  • DR計画を実行する場合、リカバリーやコミュニケーションの担当者は?

  • 自社が許容できるダウンタイムは?

  • 事業およびユーザーに対するサービスレベルアグリーメント(SLA)のレベルは?

  • 最初にリカバリ―すべきユーザーは?

  • 環境内のリスクとダウンタイムを軽減するためのツールは?

  • ユーザーネットワークと業務用ネットワークの分離方法は?

  • データ保護ツールを使用した場合、復旧と業務再開までに要する時間は?

  • エンドポイントデバイスが侵害された場合、ユーザーはデータを取り戻せるか?

  • ランサムウェアがネットワークやエンドポイントデバイスを最初に攻撃したのが、いつの時点かを特定できるか?

  • ランサムウェアやマルウェアのネットワーク全体への拡散を阻止できるか?

  • 特定の時点のデータを即座にリカバリー可能か?

  • 復旧前にユーザーがクラウドからデータにアクセス可能か?

アプリケーションの要件

以下のソリューションをBC/DR計画に組み込むことで、組織のリスクが軽減され、迅速な修復が可能になります。

  • いつ、どのようなイベントが発生したかを特定できるエンドポイントセキュリティソリューション

  • ネットワークレベルでセキュリティの脅威を阻止できるDNSセキュリティソリューション

  • 他のソリューションが侵害された場合でもデータを保護できるエンドポイントのバックアップおよびリカバリーソリューション

コミュニケーション方法

組織においてテクノロジーと同様に重要なのは、様々な事業単位をサポートするシステムを管理および保守する人材です。例えば、セキュリティチームとエンドポイントのサポートチームは、攻撃を受けた際に両チームがどのように連絡をとるかを定期的に確認し合う必要があります。また攻撃発生時に誰が責任を持ち、どのシステムに対して、どの時点でプロセスを実施するかを決めておきます。

システム対応の優先順位

対応評価システムを使用して、より高度な或いは迅速な対応を必要とするシステムや従業員を決定することができます。そのためには、自社のシステムやリソースの価値を見極め、保護、修復する優先順位を決定しなくてはなりません。通常、これはリソースの金銭的な価値によって決まります。例えば、あるシステムを失うことで収益が大幅に減る場合、そのシステムの優先順位は標準的なファイルサーバーよりも高くする必要があります。

人的リソースについても同様のことが言えます。多くの場合、経営陣や幹部はいち早く状況に対処する必要があるので、使用するラップトップやポータブル機器などのリソースは確実に保護し、侵害されないようにしなくてはなりません。これらはサーバーと同じくらい重要です。システム、ユーザー、顧客を事業の重要度に応じて分類し、その評価結果に基づいて優先順位を付ける必要があります。

誰が、何を、どのように対処すべきかが明らかになったところで、次は、1つのシステムから企業全体を復旧する方法を見ていきます。

復旧と修復

リカバリー計画はBC/DRの最も重要な部分で、組織がいつ何をすべきかを示すプレイブックとなります。しかし、単にデータをリカバリーするだけでは不十分です。管理者は組織内での更なるシステム感染やマルウェア拡散を防ぐために、修復プロセスを理解する必要があります。

シナリオ

ランサムウェアがユーザーのラップトップに侵入し、すべてのデータを暗号化します。ラップトップにはウイルス対策機能はありますが、DNS保護機能はありません。ネットワークセキュリティとして機能するのはファイアウォールとVPNで、ある程度のセグメンテーションも行われます。また、エンドユーザーサポートチームだけでなくセキュリティチームも参加します。侵入したランサムウェアはポリモーフィック型で、ランサムウェアの最初の複製が隔離されても検知されないように変化していきます。

対処方法

先ずエンドポイントセキュリティコンソールを調べて、マルウェアが最初に検知された時と場所を特定します。バックアップ実行中であれば、感染したデータがバックアップされないように、この時点でバックアップを一時停止します。これは、ダッシュボードまたは自動スクリプトを使って実行可能で、すべてのデバイスまたは侵害されたデバイスを一時停止できます。

ダッシュボードは、個々のシステムを容易に操作できるようにしておきます。スクリプトは一度に数千のデバイスに対して有効です。APIは、デバイスの一括サスペンドや一括リストアなどの自動処理に利用できます。マルウェア拡散防止のためにネットワークセグメンテーションが有効になっている場合は、感染領域からのトラフィックをブロックしておくのが賢明です。

次に保護プラットフォームをチェックし、ファイルが認識された日付、滞留時間、暗号化すなわちランサムウェアの実行開始時点を特定します。これらを特定できれば、企業が侵害を追跡可能となります。マルウェアがネットワークにどのように侵入したかを理解することが、今後の感染を防ぎます。この例では、デバイスがランサムウェアに感染しているため、信頼性の高いテスト済みのリカバリープロセスも必要です。

リカバリープロセスにおいては、イベントのタイムラインを理解することが重要です。まず、リストアプロセスの最初のステップを行うタイミングを見極め、リストア実施日時を設定する必要があります。管理者がリストア日時を決めた後は、影響を受けたデバイスをCSVファイルにコンパイルして、デバイスID番号を付与し、侵害の発見時に停止したバックアップを再開することができます。

データ、リストア元、リストア先デバイスのID、日時を一括リストアスクリプトに組み込んでおけば、一括リストアした内容を同じラップトップや新しいラップトップにプッシュすることができます。Webポータルを提供しているソリューションであれば、直ちに業務を再開できます。

まとめ

サイバーレジリエンスを確立するには、適切なツール、計画、重要度の優先順位付け、事業全体にわたるコミュニケーションチャネルが不可欠です。侵害を時系列に把握できた時点でこれらの要素を用いれば、感染前の状態に復元することが可能になります。その際に使用するプロセスは、予め計画しておくことが可能で、実際に実行することで、その有効性が証明され完成されたものとなります。

OpenText Cybersecurityポートフォリオについては、OpenText Cybersecurity Solutionsよりご覧ください。

 

 

著者: Kyle Fiehler

Carboniteのライター兼ブランド・ジャーナリスト。5年以上にわたり技術、産業、サービス分野のカスタムコンテンツを執筆、公開しています。現在は顧客、パートナー、社内の専門家とのコラボレーションを通じて、Carbonite のブランドストーリーを発信しています。

Jun 22, 2023

ブログ一覧ページへ戻る