特集記事

ivanti特集記事あなたの会社も狙われている?ランサムウェアから企業グループを守るセキュリティ対策のポイント

ランサムウェア対策シリーズ 第1回
あなたの会社も狙われている?
ランサムウェアから企業グループを守るセキュリティ対策のポイント

第2回 企業グループをランサムウェアから守る!EDRの導入とセキュリティ対策のポイント
第3回 企業グループ全体を守るログ統合管理|ランサムウェア対策に有効な仕組みづくり
※SCSK Splunkサイトへ移動します


「ランサムウェア対策を企業グループ全体に浸透させるにはどうすべきか?」をテーマに、3回に分けてお届けします。 第1回は、企業グループ全体へのセキュリティ対策の整備の重要性と、ランサムウェアの「予防」の基本的な考え方についてです。


ランサムウェア被害をニュースで観ることが多くなりました。身代金要求やシステム停止による業務影響などの経済損失のみならず、 社会インフラそのものが一部機能不全に陥るリスクまであることから、多くの企業で対策が急がれています。


そこで今回から「ランサムウェア対策を企業グループ全体に浸透させ守るために具体的にやるべき対策」をテーマに、3回に分けて紹介します。 第1回は、企業グループ全体へのセキュリティ対策の整備の重要性と、ランサムウェアの「予防」の基本的な考え方・効果的な対応について、ポイントごとに解説します。


ランサムウェアの組織への脅威

IPAより発表された最新の「情報セキュリティ10大脅威」では、「組織」部門において「ランサムウェアによる被害」が1位になっています。

(出典)IPA:情報セキュリティ10大脅威 2023


多くのサイバー攻撃の中でも「ランサムウェア」はターゲット型と呼ばれます。身代金を要求するという目的から、金銭を持っている企業・組織が狙われやすいのです。 そのため、狙う企業の「侵入しやすい入口(抜け穴)」を攻撃者は常に探っています。


ここで問題になるのが、ランサムウェア対策は、「特定部署だけ」もしくは「本社だけ」対応するといった局所的なものでは、効果的とは言えません。


多くのサイバー攻撃は、対策が十分とられていないグループ会社を狙うなど、侵入しやすい「入口」を探っています。グループ企業によっては、十分なIT投資ができないケースもあり、 そこから被害にあうケースが増えています。そのため弊社でも、「企業グループ内で対応にばらつきがある状況で、どのような視点で対策をすれば良いか」をご相談いただくケースが増えています。


企業が行うべきランサムウェア対策のポイント

ランサムウェア対策は、警察・JPCERT・IPA・日本サイバー犯罪対策センターなど、特設Webページを用意して注意を喚起しています。多くの対策サイトでは「被害に遭わないようにする対策」と 「被害に遭ってしまった際の対応」という2つの観点で情報が周知されています。予防は、「被害に遭わないようにする対策」です。「検知」は「被害に遭ってしまった際の対応」として まずしなければならないことです。企業の大小やIT投資の規模に関わらず、ランサムウェアの予防と検知ができる対策を講じておく必要があるということです。


ランサムウェアの「予防」の基本は「効率的に最新化をすすめる」こと

まず予防についてですが、端末でできる対策としては、「最新化しておく」ということにつきます。ランサムウェア被害は、OSやアプリケーションの脆弱性を利用して潜入してきますから、 少なくとも公開されている重大な脆弱性については、対応が必要です。この公開された脆弱性対策は、対策していなくて「しかたがない」という説明が難しいところです。確かに対応は大変ですが、 サイバーセキュリティ被害にあった後の原因調査で、なぜセキュリティパッチを定期的にあてていなかったのかという説明に窮するケースもあるとのことです。 いかに効率的に実施するかがこの予防の最も重要な課題です。


ランサムウェア対策を強化する具体的な4つのポイント

では具体的に脆弱性管理を効率化し、ランサムウェア対策を強化する4つのポイントをご紹介します。

ランサムウェア対策シリーズ 第1回あなたの会社も狙われている?ランサムウェアから企業グループを守るセキュリティ対策のポイント

【ポイント1】サードベンダーアプリケーション(Adobeやブラウザなど)への対応を行う

WSUSなどで対応できる脆弱性対応はOSなどのマイクロソフト製品が中心となります。ただ、攻撃者が狙うアプリケーションは近年サードベンダーアプリケーションにシフトしてきていることが 指摘されています。これらの脆弱性情報をリアルタイムに把握して、パッチをダウンロードし対象端末を抽出して配るといった運用の負荷は相当高いと言えます。


そこで汎用的なアプリケーションについては、専門のパッチ管理製品を利用することをお勧めします。「定義ファイル」として脆弱性に対応したパッチを配布するためのコンテンツが提供されるので、 どのアプリケーションのどの重要な脆弱性に対応するかを設定しておくと、自動的に端末で判別して、適用が必要な端末には自動適用する仕組みがあります。 この仕組みを使ってサードベンダーパッチの適用を効率化してみてください。

【ポイント1】サードベンダーアプリケーション(Adobeやブラウザなど)への対応を行う

【ポイント2】在宅端末の脆弱性管理を行う

社内のネットワークで守っていた端末もコロナ禍を経て、リモートワークで直接インターネットに接続されるようになりました。サイバーセキュリティの観点からは、リスクが格段に高くなったと言えます。 脆弱性を放置したまま、社外のネットワークに接続されるようなことがあれば、攻撃者にとってターゲットとなりえる状況と言えます。


ランサムウェア被害は徐々に社内の深部へ侵入するため、入りやすいところを探しています。まずは、社内よりも在宅端末などの社外端末への対応を優先するべきと言えるでしょう。 社外端末の管理にはDMZ等に中継サーバを設置し、インターネット上に情報が集まってくるように、また未適用PCには強制的に配信できるようにすることで、効率的な管理ができます。


セキュリティパッチは社内からVPNでパッチをダウンロードさせる構成を採用している企業もありますが、メーカサイトから直接取得する仕組みが断然おすすめです。 VPN回線の逼迫を避けるため、展開計画が長期化したり、ネットワークがボトルネックで展開が遅くなったりするケースも想定して、最適なシステム構成を検討してください。

【ポイント2】在宅端末の脆弱性管理を行う

【ポイント3】従業員とのセキュリティパッチに関するコミュニケーションを心がける

この業務で一番大変なのは、未適用PCの利用者に対するフォローです。
多くの企業が未適用PC一覧を事業組織ごとに送付し、責任者が叱咤激励しながらユーザにパッチ適用を促す運用を 採用しているかと思います。その際にあてたのに未適用PC一覧作成のタイミングでリストに載ってしまったり、自分があたっているかどうかの確認が面倒なため、未適用PCが増えるようなことも 運用負荷を高める要素となっています。


今回提案させていただきたいのは、以下の2点です。


  • ・未適用リストで確認しなければならないのは長期にネットワーク接続がない端末などに絞る
  • ・それ以外は自分で気づいて自分でできる仕組みを作る

例えば、未適用PCにはポップアップでパッチ適用や再起動を促し、画面上にそうしたメッセージが出てくることへの煩わしさがパッチ適用を促すという対策などが挙げられます。 こうした仕組みを使えば、短い期間で展開が完了し、運用負荷を大きく削減することができるでしょう。

【ポイント3】従業員とのセキュリティパッチに関するコミュニケーションを心がける

【ポイント4】インベントリ情報の統合による一元管理の仕組みを構築する

最後に、企業グループ全体でランサムウェアを予防するポイントとしては、インベントリ情報の統合による一元管理です。どこのグループ会社で適用状況がどうなっているかを すぐに把握できる仕組みを是非とも構築してください。異なるエンドポイント管理製品を使っていてもIT資産管理台帳で統合することもでき、業務効率化が図れます。

まとめ

以上、パッチ適用における脆弱性対応の効率化の4つのポイントを紹介させて頂きました。各社IT管理運用者の方々は、ぜひ参考にしてください。


第2回 企業グループをランサムウェアから守る!EDRの導入とセキュリティ対策のポイント
第3回 企業グループ全体を守るログ統合管理|ランサムウェア対策に有効な仕組みづくり
※SCSK Splunkサイトへ移動します



過去記事一覧はこちら
/services/ivanti/column/index.html