データ保護
ランサムウェアに感染したらどうすべき?初動対応から復旧後までにやるべきこと
ランサムウェアに感染したらどうすべき?初動対応から復旧後までにやるべきこと
近年、ランサムウェアによる企業や組織への攻撃が急増しています。独立行政法人情報処理推進機構(IPA)が2025年1月に公開した「情報セキュリティ10大脅威 2025」によると、ランサムウェア攻撃による被害は5年連続で1位に位置付けられました。
ランサムウェアがもたらす被害は壊滅的です。業務システムの停止による事業継続の危機、身代金の要求による直接的な金銭的損失、そして顧客データの漏洩による信用失墜と風評被害などは、いずれも企業にとって死活問題となりかねません。
この記事では、万が一ランサムウェアに感染した際の具体的な対応手順と、被害を未然に防ぐための効果的な予防策、特にバックアップ戦略について解説していきます。
ランサムウェアとは?
ランサムウェアは「身代金(ransom)」と「ソフトウェア(software)」を組み合わせた言葉で、被害者のデータやシステムを人質に取り、その解放と引き換えに金銭を要求する悪意あるプログラムです。企業活動に深刻な打撃を与える、最も危険なサイバー脅威の一つとされています。
ランサムウェアの基本的な仕組み
ランサムウェアは、感染するとユーザーのファイルに対して強力な暗号化を実行します。暗号化されたファイルは、正しい復号キーがなければ開くことができません。攻撃者はこの復号キーと引き換えに、通常は暗号資産(ビットコインなど)での身代金支払いを要求します。
ランサムウェアにはLockBitやRyuk、BlackCatなどさまざまな種類があり、それぞれ独自の暗号化方式や攻撃手法を持っています。最近ではAI技術を活用した標的型攻撃も確認されているなど、攻撃は年々高度化する一方です。
主な感染経路と手口
ランサムウェアの主な感染経路は多岐にわたります。最も一般的なのは、悪意のあるリンクや添付ファイルを含むフィッシングメールです。また、リモートデスクトッププロトコル(RDP)の脆弱性を突いた侵入や、ソフトウェアの未パッチの脆弱性を悪用した攻撃も増加しています。近年では、サプライチェーン攻撃(取引先や委託先を経由した感染)も深刻な脅威となっています。
最新の傾向として注目すべきは「二重恐喝(Double Extortion)」戦略です。これは、データを暗号化する前に機密情報を窃取し「身代金を支払わなければデータを公開する」と脅す手法です。この二重恐喝により、企業はバックアップを持っているにもかかわらず、身代金の支払いを検討せざるを得ない状況に追い込まれることがあります。
ランサムウェアに感染したらすぐに取るべき行動
ランサムウェア感染を発見した場合は、冷静かつ迅速な対応が必要です。最初の数時間の行動が、その後の被害規模と復旧の難易度を大きく左右することも少なくありません。ここでは、感染直後に取るべき対応について解説します。
被害の拡大を防ぐための初動対応
感染の兆候(ファイルが開けない、不審な暗号化、身代金要求画面の表示など)を確認したら、まず最優先で感染機器をネットワークから切断します。有線LANケーブルを物理的に抜き、Wi-Fiやブルートゥースなどの無線接続も無効化してください。この迅速な隔離が、ランサムウェアの組織内拡散を防ぐ最も効果的な方法です。
次に、証拠保全のため、表示されている画面のスクリーンショットを撮影し、可能であればメモリダンプを取得します。これらは後の調査や法的手続きに重要な証拠となります。
また、他の端末でも感染の兆候がないか確認し、疑わしい場合は同様に隔離してください。感染拡大の防止と証拠保全を最優先にして、可能な限り現状を保存した状態で次のステップに進みましょう。
社内外への連絡と報告
感染を確認したら、直ちに上長とIT部門またはCSIRT(Computer Security Incident Response Team)へ報告します。組織のセキュリティインシデント対応手順に従い、事実関係を正確に伝えましょう。特に感染経路の心当たりや、影響を受けているシステムの範囲についての情報は重要です。
外部への連絡も検討します。まずは保存した通信ログなどを持参して、警察のサイバー犯罪相談窓口に相談しましょう。顧客データなどの個人情報漏洩が疑われる場合は、個人情報保護委員会への報告や本人への通知も必要です。
参照:漏えい等報告・本人への通知の義務化について|個人情報保護委員会
身代金の支払いは避けるべき
最も重要なのは、あせって身代金を支払わないことです。身代金を支払っても、データが完全に復元される保証はありません。また、支払いによって「支払ってくれる組織」としてマークされ、再攻撃のリスクが高まる可能性もあります。テロ組織への資金提供となる場合もあり、法的・倫理的問題も生じます。
自力での復旧を急ぐあまり、感染マシンの電源を強制的に切ったり、暗号化されたファイルを削除したりすることも避けるべきです。これらの行動が証拠を破壊し、専門家による後の調査や復旧を困難にする可能性があります。また、自分で復号ツールを探してインストールすることも、二次感染のリスクがあるため控えましょう。まずは専門家の指示を仰ぎ、計画的な対応を心がけてください。
感染後の復旧作業とリスク評価
初動対応が完了したら、次は復旧フェーズに移行します。この段階ではバックアップデータを用いた復元作業と、組織全体のセキュリティリスク評価が重要となります。復旧は単なる元の状態への復元ではなく、再発防止も含めた総合的なプロセスであることを理解しましょう。
バックアップからの復旧
ランサムウェア被害からの復旧において重要なのは、信頼できるクリーンなバックアップの存在です。復旧作業を始める前に、まずバックアップデータ自体が感染していないことを確認しましょう。特に、ランサムウェアが長期間潜伏していた場合、定期バックアップにも感染が及んでいる可能性があるため注意が必要です。
復旧の優先順位はビジネスインパクト分析(BIA)に基づいて決定します。通常は、(1)基幹業務システム、(2)顧客対応システム、(3)内部業務システムの順に復旧を進めます。クリーンな環境で復元作業を行い、復元後のシステムは必ずセキュリティスキャンを実施してから本番環境に接続しましょう。
感染範囲の特定と再感染防止
完全な復旧のためには、感染範囲の正確な特定が不可欠です。セキュリティログの詳細な分析を行い、侵入経路や攻撃者の活動痕跡を調査します。ファイアウォールログ、Active Directoryログ、エンドポイント保護ソフトのログなど、複数のソースからデータを収集し分析してください。
この分析から得られたIOC(侵害指標)を基に、他の端末やシステムへの影響も確認します。不審なネットワーク通信パターン、異常なアカウント活動、不審なプロセスなどを検出するために、専用のスキャンツールの利用も検討しましょう。
感染範囲が特定できたら、再発防止のためのセキュリティ対策を再構築します。これには、脆弱性のパッチ適用、アクセス権限の見直し、ネットワークセグメンテーションの強化などが含まれます。特に注意すべきは、攻撃者がバックドアを残している可能性です。すべての認証情報(パスワード)を変更し、不要なアカウントを削除するとともに、多要素認証の導入なども検討しましょう。
再発防止策の導入後も継続的なモニタリングを行い、不審な活動がないか監視を続けることが重要です。
ランサムウェア被害を防ぐには
現代のサイバーセキュリティにおいては「ランサムウェア感染は起こりうるもの」という性悪説に基づいた対策が不可欠です。完璧な防御は存在せず、いつか必ず攻撃は成功するという前提で、多層的な防御策を講じる必要があります。被害の予防と、被害を受けた際の影響を最小化する両面からの対策が重要となります。
技術的な対策
ランサムウェア対策の技術的な基盤として、まずシステムやソフトウェアの定期的なアップデートの徹底が挙げられます。多くのランサムウェア攻撃は既知の脆弱性を悪用するため、速やかなセキュリティパッチの適用が効果的です。特にOS、ブラウザ、メールクライアント、PDFリーダーなどの頻繁に使用されるソフトウェアは優先的に更新しましょう。
次世代ファイアウォールやEDR(Endpoint Detection and Response)などの先進的なセキュリティツールの導入も重要です。これらは不審な通信や挙動を検知し、ランサムウェアの活動を早期に阻止できます。また、特権アクセス管理(PAM)や多要素認証(MFA)の実装により、攻撃者が重要なシステムにアクセスする経路を遮断することが可能です。
ネットワークセグメンテーション(分離)も効果的な対策です。重要なシステムとデータを分離することで、一部が感染しても被害の拡大を防ぐことができます。「最小権限の原則」に基づき、ユーザーには必要最低限の権限のみを付与する方針も重要です。
組織的な対策と教育
技術だけでは完全な防御はできません。組織全体でのセキュリティ意識向上と体制構築が不可欠です。まず、明確なセキュリティポリシーを策定し、全従業員に周知徹底します。このポリシーには、パスワード管理、外部メディアの取り扱い、不審なメールへの対応など、基本的なルールを含めるべきです。
最も効果的な対策の一つは、定期的な従業員教育です。特にフィッシング訓練は、実際のフィッシングメールを模した訓練メールを送信し、社員のセキュリティ意識を高める効果があります。また、ランサムウェアの最新動向や対策についての定期的な研修も重要です。
「インシデントは必ず発生する」という前提で、インシデント対応計画(IRP)を策定し、定期的な訓練を実施しましょう。計画の策定時には、感染時の初動対応手順、連絡体制、役割分担などを明確に定義し、全員が自分の役割を理解しておく必要があります。
ランサムウェア対策は技術と人、両方の面からのアプローチが必要です。「完璧な防御は不可能」という認識のもと、「被害の最小化」と「迅速な復旧」を目指した総合的な対策を講じることが、現代のサイバーセキュリティの要と言えるでしょう。
クラウドストレージを使った多層防御戦略
ランサムウェア対策において、効果的なバックアップ戦略は最後の砦です。特に近年は、重要なデータを少なくとも3つのコピーで保持し、2種類以上の異なるストレージメディアを使用し、そのうち1つは物理的に離れた場所(オフサイト)に保管する「3-2-1バックアップ」が注目されています。ここでは3-2-1バックアップに適したクラウドストレージの要件を紹介します。
イミュータブルストレージ
ランサムウェアに対して強靭なクラウドストレージ環境には、いくつかの重要な条件があります。最も重要なのは「イミュータブル(不変)ストレージ」の機能です。これは、一度書き込まれたデータが一定期間変更や削除ができない状態で保存される仕組みで、たとえ管理者権限を奪取された場合でも、ランサムウェアがバックアップデータを暗号化できないようにします。
厳格なアクセス制御
次に重要なのは、厳格なアクセス制御です。多要素認証(MFA)の実装や、最小権限の原則に基づいたアクセス権限の設定により、バックアップデータへの不正アクセスを防止します。また、バージョニング機能を活用することで、データの変更履歴を保持し、ランサムウェア攻撃前の正常な状態に復元することが可能になります。
リカバリテスト
効果的なクラウドバックアップ戦略には、定期的なリカバリテストも欠かせません。バックアップが実際に復元可能かを確認することで安心感を得られるうえ、いざという時にスムーズなデータ復元が可能です。
まとめ
ランサムウェアへの対策には「感染後の迅速な対応」と「事前の備え」の両面が重要です。感染が疑われる際は端末の即時隔離と証拠保全を行い、適切な報告体制のもとで専門家の支援を受けながら対応しましょう。
しかし最も効果的なのは、「感染は必ず起こる」という前提での事前対策です。技術的・組織的な多層防御と強固なバックアップ戦略が被害を最小限に抑える鍵となります。
Wasabiのクラウドストレージはオブジェクトロック機能による不変性設定や、多要素認証によるセキュリティ強化、追加料金なしのデータ呼び出しなど、3-2-1バックアップ戦略に求められる機能を備えています。ランサムウェアに対する多層防御戦略の一環として、利用をご検討ください。
私は毎年、年末の時期に、新しい年がテクノロジー分野にとってどのような年になるかを考えます。トレンドの要素を考察すると、データストレージがすべてにおいて重要であるという当然の結論にたどり着きます。しかし、今年は異なるアプローチを採用しました。私たちは、さまざまな業界のパートナーやお客様に連絡を取り、2025年に何が起こるかについて彼らの視点に基づく意見を求めました。彼らには、持続可能性、AI、メディアに関するさまざまな専門知識があります。そのため、2025年に各分野で起こりうる変化やデータ需要について、ユニークな洞察を得ることができました。データセンターにおける再生可能エネルギーIT購入の意思決定において、持続可能性は引き続き大きなポイントとなっています。2023年の調査では、44%の回答者がクラウドストレージサービスを選択する際、パフォーマンスや拡張性よりも持続可能性を最も重要視すると答えました。データセンター業界において、問題となるのは土地や建物ではなく、電力です。持続可能性グループZerocircleの創設者Hemanth Setty氏は、この問題に真っ向から取り組んでいます。Setty氏は、AIの進歩(詳細は後述)は、データセンターのリソース消費を悪化させると考えています。電力と冷却を利用した再生可能ソリューションも存在しますが、これには地理的な制約が伴います。Setty氏は、データセンターの電力問題を解決する効率性は2つのアプローチによって生まれると述べています。それが、持続可能なデータセンターとエネルギー効率の高い計算です。計算負荷の高いワークロードの消費電力を減らすことができれば、再生可能エネルギーや冷却を利用した作業がより容易になります。現在、ストレージはコンピューティングほど大きなエネルギーを必要としません。CPU、特にGPUは大量の電力を消費しますが、HDDはそれほどではありません。実際、ディスクドライブの容量が増加すると、モーターは同じ量の電力を消費するため、ビットあたりの消費電力は改善されます。次世代のソリッドステートストレージが登場すれば(すでに存在するものの、回転ディスクに比べればまだ高価です)、同量のデータ保存に必要な電力量は、ほぼ10分の1に削減されると思われます。AIの進歩市場におけるAIの役割は、インターネットが初めて登場したときと少し似ています。インターネットが進化するにつれて、創造性と新しいアイデアが爆発的に増加し、これまで誰も見たことも、可能だとも思っていなかったことが実行できるようになりました。うまくいくもの、いかないものがあり、やがてすべてが落ち着きましたが、最終的には明らかに世界が変化しました。私は、AIも同じ道を進むことになると予測しています。IBM Cloud PlatformのゼネラルマネージャーであるUtpal Mangla氏は、AIはまだ始まったばかりだとしたうえで、AI普及とともに、以下の3つが大きく求められるようになると予測しています。1)オープン性多くの企業は、オープンなアーキテクチャやフレームワークを求めています。また、それらを深く理解し、ソースが何であるか、どこから来ているか、モデルはどのように構築されているかを把握する機能も必要です。2)ガバナンス顧客は、AIプラットフォームが信頼できるものであることを知る必要があります。その信頼を築くために、チェックとバランスの整備が求められます。3)データデータはAIの成功の基礎となります。データの品質と出所は、あらゆるAIモデルの構成要素となります。データセットのソースと信頼性は、テクノロジーとしてAIを普及させるうえで不可欠な要素です。Wasabiにとっては、3番目のポイントを特に重視しています。AIで行うことはすべて大量のデータを伴うため、この点における私たちの立場は非常にシンプルです。どの鉄道にもシャベルが必要なのと同じで、トレーニング用のデータが増えるほど、より良いモデルが作られます。メディアの需要メディアは長い間、ストレージの技術と実務を支えてきました。フォーマットの容量要件を考慮すると、ビデオストレージの需要は高くなる可能性があります。TDガーデンおよびボストン・ブルーインズの技術担当副社長、Josh Carley氏には、100年に渡るフランチャイズの歴史を守る責任があります。しかし、データが埃をかぶったゴミ箱の中に眠っていることは想像に難くありません。チームが閲覧、アクセス、維持することができなければ、データは無用の長物です。Carley氏は、大規模なアーカイブを維持する唯一の手段として、クラウドストレージを選択しました。拡張性の高いクラウドストレージがあることで、復帰した選手がアリーナを訪れる際や、ブルーインズのOBに敬意を表する際、必要なときに必要なデータを見つけることができます。実際、LTOテープからクラウドストレージへのメディア移行に対する関心が高まっています。映画、テレビ番組、スポーツイベント、ポッドキャスト、ニュース番組、インタビュー、ホームビデオなど、膨大なビデオアーカイブがテープの形で保管されています。これらのアーカイブを無視するのではなく、即座にアクセスして活用できるクラウドに保存したいと考える組織は少なくありません。放送局ITVのインフラおよびネットワークチームリーダーであるJordyde Muijnk氏も、メディアの将来におけるクラウドの役割について、Carley氏と同様の見解を示しています。確実に言えるのは、2025年には2024年よりも多くのデータが生成され、ストレージがあらゆる業界の企業や新興テクノロジーにとって不可欠な商品であり続けるということです。Wasabiは引き続き、データを手頃な価格で効率的に保存することを使命として掲げています。...
近年「BCP(事業継続計画)」という言葉を耳にする機会が増えました。BCP策定の取り組みは大企業を中心に進んでいますが、中小企業ではいまだ十分に浸透しているとは言えません。しかし経営資源に限りのある中小企業にこそ、BCPは必須の取り組みです。この記事では中小企業がBCPに取り組むべき理由、具体的なメリット・デメリット、そして国や東京都が提供する支援策について詳しく解説します。BCPは決して難しいものではありません。まずは自社が抱えるリスクを知り、できることから対策を始めていきましょう。「BCP」とは?BCPとはBusiness Continuity Planの略で、日本語では「事業継続計画」と訳されます。企業が自然災害などの予期せぬ緊急事態に遭遇した際に、事業資産の損害を最小限にとどめつつ、中核となる事業の継続や早期復旧を可能とするために、事前に策定しておく計画のことです。BCPの目的は、事業の継続を通じて顧客や取引先からの信頼を維持し、従業員の雇用を守り、企業価値を保全することにあります。よく混同されがちな「防災対策」は、主に人命保護や建物・設備の被害軽減を目的としていますが、BCPは、事業の継続・早期復旧に焦点を当てている点が大きく異なります。防災対策が「守り」の対策であるのに対し、BCPは「攻め」の経営戦略とも言えるでしょう。中小企業におけるBCPの必要性緊急事態はいつ起こるかわかりません。とくに経営基盤が脆弱な中小企業にとって、事業継続を脅かすリスクへの備えは、企業の生死を分ける重要な経営課題です。ここでは中小企業が直面するリスクとBCPの必要性を具体的に見ていきましょう。災害リスクと中小企業の脆弱性近年、日本各地で地震、台風、ゲリラ豪雨、大雪などの自然災害が頻発しています。加えて、新型感染症のパンデミック、テロ、サイバー攻撃などの脅威にも注意が必要です。中小企業は大企業に比べて経営資源(ヒト・モノ・カネ・情報)が限られるため、ひとたび災害や緊急事態が発生すると、事業継続が困難になるリスクが非常に高くなります。BCPがない場合のリスクBCPを策定していない場合、緊急事態が発生した際に企業は以下のような深刻なリスクに直面する可能性があります。事業停止・縮小による経済的損失:事業活動が長期間停止することで売上が大幅に減少する顧客や取引先の信頼失墜:納期遅延や提供停止などにより顧客や取引先からの信頼を失い、取引が打ち切られる可能性がある従業員の離職、採用難:事業の先行きが見えない状況下で従業員の士気が低下し、離職につながる可能性がある。企業の評判も悪化し、新たな人材の確保が困難になる廃業・倒産のリスク:資金繰りが悪化して事業の再建が困難になり、廃業・倒産に追い込まれる可能性がある社会的信用の失墜:事業を止めることで地域社会での責任を果たせなくなり、社会からの信用を失ってしまうこれらのリスクは企業の存続を脅かすだけでなく、地域経済全体にも大きな影響を与えかねません。中小企業がBCPを策定するメリットBCPは緊急事態発生時のリスクを軽減するだけでなく、平時における経営改善や企業価値向上にもつながる非常に有効なツールです。ここではBCP策定によって得られる具体的なメリットを見ていきましょう。事業継続性の向上BCPを策定する最大のメリットは、緊急事態発生時においても、事業の継続、または早期復旧の可能性を高められる点です。BCPには、以下のような具体的な効果があります。事業継続・早期復旧:事前に対応策を定めておくことで冷静かつ迅速に行動でき、事業の中断期間を最小限に抑えられる顧客・取引先の信頼維持・向上:事業を継続することで顧客や取引先からの信頼を維持できる。納期遅延やサービス停止による損害賠償リスクも軽減できる従業員の安心・安全確保:安否確認や避難誘導など安全確保に関する対策により、従業員とその家族の安全を守れる経営改善・企業価値向上CP策定は、緊急時への備えだけでなく、平時の経営改善や企業価値向上にも貢献します。業務効率化・無駄の削減:BCP策定の過程で自社の業務プロセスを詳細に見直すことで、ボトルネックとなっている業務や無駄な作業が明らかになり、改善のきっかけとなるリスク管理体制の強化:さまざまなリスクを想定し対応策を検討することで、組織全体のリスク管理意識が高まり、経営の安定化につながる社会的責任(CSR)の遂行:BCPを策定・運用することで社会からの信頼が高まり、企業イメージの向上にもつながる金融機関・投資家からの評価向上:近年ではBCPの策定状況を評価項目に加える金融機関や投資家が増えており、資金調達や企業評価の面でも有利に働く可能性があるBCP策定の課題BCPの重要性は理解していても、実際に策定するとなるといくつかの課題を感じる中小企業も少なくありません。主な課題としては、以下のような点が挙げられます。時間と手間:BCP策定には、現状分析、リスク評価、対策の検討、計画書の作成など多くの時間と手間がかかるため、日常業務に追われる中でBCP策定に十分な時間を割くのが難しい専門知識:BCP策定には、防災、リスクマネジメント、事業継続に関する専門知識が必要なため、自社内に専門知識を持つ人材がいない場合、どのように進めればよいかわからない費用:BCP策定にコンサルタントを活用したり、システムを導入したりする場合、費用の発生が課題となるこうした課題は、以下で紹介する国や自治体の支援策を活用することで補うことができます。まずは簡易的なBCPからスタートして、徐々に内容を充実させていけば企業の負担を減らすこともできるでしょう。国や自治体の中小企業向けBCP策定支援国や自治体では、中小企業のBCP策定を後押しするためのさまざまな支援策を用意しています。これらの支援策を積極的に活用することでBCP策定のハードルを下げることができるでしょう。国の支援策国はBCP策定のためのガイドラインやBCPの運営方法など、さまざまな情報発信を行っています。また経済産業大臣が認定する「事業継続力強化計画認定制度」を活用すれば、税制措置や金融支援、補助金の加点などの支援策を受けることも可能です。参照:事業継続ガイドライン|内閣府、中小企業BCP策定運用指針|中小企業庁、事業継続力強化計画|中小企業庁東京都の支援策BCPの策定支援は自治体レベルでも行われています。たとえば東京都中小企業振興公社では、セミナーや講座の開催、コンサルティングの実施による「BCP策定支援」や、必要な経費の一部を助成する「BCP実践促進助成金」などの制度を実施しています。参照:BCP策定支援|経営支援|東京都産業労働局まとめと今後の展望自然災害や感染症、さらにはサイバー攻撃といった多様なリスクが企業を取り巻く現代において、BCPは中小企業の存続と成長に欠かせない戦略です。BCPの策定は、緊急時の迅速な事業継続・早期復旧のみならず、平時の業務効率化やリスク管理体制の強化、ひいては企業価値の向上にも直結します。国や自治体が提供する支援策を賢く活用して、今こそ具体的なBCP策定に踏み出しましょう。Wasabiのクラウドストレージは高度なセキュリティ機能と迅速なデータ復旧を実現し、BCPの重要な基盤となります。企業のリスク対策を一層強化する理想的なパートナーとして、ぜひWasabiのサービスを検討してください。...
サイバー脅威が深刻化・頻発化する中、米国議会は、重要インフラを悪意のある行為から保護するためのさまざまな立法措置を検討してきました。ウクライナ戦争によってサイバー脅威への懸念がさらに高まったことで、上院は米国サイバーセキュリティ強化法(SACA)を可決しました。この法案には、2022年3月15日に大統領による署名のもと発効された法律「米国重要インフラ向けサイバーインシデント報告法(CIRCIA)2022」が含まれています。この法律はサイバー攻撃に関するものですが、特にランサムウェアがもたらすリスクに対処するために制定されたという見方もできます。本ブログでは、ランサムウェアの軽減が企業のSACA遵守に与える影響についてご説明します。サイバーセキュリティインシデントに関するSACAの報告要件この法律では、エネルギーの電力網・ダム・廃水処理施設などを含む16種類の重要なインフラを運営するいわゆる「対象事業体」に対し、サイバーインシデントの発生後72時間以内に米国サイバーセキュリティ・社会基盤安全保障庁(CISA)に報告することが義務付けられています。この規則が定められた根拠は明白で、インシデントの存在を認知しなければCISAが対応できないためです。また、直面している脅威について業界内の組織同士で理解する必要もあります。情報開示が迅速に行われることで効果的な対応につながります。SACAは内容に関する議論期間が設けられていますが、最終的な方針が固まるのはおそらく2年ほど先になるでしょう。現時点では、72時間前までに報告することが義務付けられており、今後もこのルールが維持される可能性が高いと思われます。しかし、72時間では長すぎます。脆弱性は公開から数時間でハッカーやボットネットによって悪用されるため、最終的な方針が設定される前に報告義務の時間が短縮されることを願います。SACAに基づく報告基準SACAでは主に2つの報告トリガーが指定されています。対象となる事業体は、規則制定プロセスの詳細に従って、以下の内容を報告する必要があります。「(i)当該情報システムまたはネットワークの機密性・完全性・可用性の損失につながる、または運用システムおよびプロセスの安全性と回復力に重大な影響を及ぼすサイバーインシデント」または、「(ii)サービス拒否攻撃、ランサムウェア攻撃、または情報システムや運用技術システムに対するゼロデイ脆弱性の悪用などによる、事業運営の中断」法律事務所BakerHostetlerのレポートによると、この法律では対象となる事業体に対し、「クラウドサービスプロバイダー、マネージドサービスプロバイダー、その他のサードパーティデータホスティングプロバイダーの侵害、またはサプライチェーンの侵害によって促進された、またはそれによって引き起こされたサービス損失による不正アクセスまたは事業運営の中断」を報告することも義務付けられています。特にランサムウェアを意識して作られた法律SACAは、システムの機密性・完全性・可用性の損失につながるあらゆる脅威を対象としています。実際のところ、深刻化・蔓延化ているサイバー脅威であるランサムウェアのほとんどすべてがこの法律の対象となっています。ランサムウェア攻撃は事業運営を混乱させる可能性もあります。これらの事実を認識したうえで、この法律の起草者はランサムウェアについて言及し、対象となる事業は身代金を支払ったか、もしくは支払う予定があるかを、インシデント対応の詳細とともに開示しなければならないと規定しています。さらに、ランサムウェアの問題は攻撃の潜在的な深さにも関係しています。マルウェアはデータを暗号化して身代金を要求しますが、ランサムウェア攻撃はそれよりもさらに破壊的かつ陰湿です。まず、多くの場合においてデータの流出が伴います。さらに、ほとんどの場合、ステルスマルウェアがインフラの奥深くに埋め込まれ、しばらく経ってから有効化されます。これにより、対象事業が重大なリスクにさらされる恐れがあるため、この新法で攻撃の報告を義務付けることは非常に理にかなっていると言えます。この現状を踏まえたうえで私が問題視しているのは、ランサムウェア攻撃の標的となる企業がこの法律をどのように解釈するかということです。SACAでは、インシデントによって企業の情報システム、ネットワーク、運用システム、プロセスに「重大な影響」が与えられた場合に報告義務を課しています。しかし、一体誰が、何をもって「重大な影響」であるかどうかを判断するのでしょう。たとえば、ある企業がイミュータブルバックアップを使用してハッカーからのアクセスを防ぎ、ランサムウェア攻撃による潜在的な損害を軽減した場合でも、CISAに攻撃を通知する必要があるのでしょうか。この法律は、損害やサービスの中断がない場合において不明瞭な点があります。しかし、SACAが重視しているのは透明性であることは明らかです。ランサムウェアやサイバー攻撃を受けた結果がどうなるかに関わらず、インシデントの報告はすべての人に役立ちます。ランサムウェア攻撃の影響を軽減する方法ここまで、ランサムウェア攻撃から正常に復旧するための手順について詳しくご説明してきました。堅牢な3-2-1バックアップ戦略によってバックアップコピーの少なくとも1部をイミュータブルストレージに保存することで、システムの消去やソフトウェアの再インストール、身代金の支払いなどを避け、操作の中断を最小限に抑えながら安全なデータをアップロードすることができます。もちろん、実際はそんなに単純ではないため、組織ごとに適したバックアップ戦略を考える必要があります。その戦略には、完全バックアップや増分バックアップを実行する頻度、定期的にバックアップをテストおよび検証するための計画なども含まれます。これまでの一般的な頻度は少なくとも年に1度といったところでしたが、サイバーセキュリティ攻撃を受けるリスクを考慮し、現在では多くの組織が四半期に1度または月に1度バックアップをテストしています。最後に、すべてのクラウドストレージサービスが同じように作成されているわけではないことにご注意ください。多くのクラウドストレージ層の場合、テラバイトあたりのコストが比較的低くても、バックアップデータが急速に増加する可能性があります。データの増加だけでなく、APIリクエスト料金(バックアップをテストする場合など)や下り転送料(サイバー攻撃が発生した場合にデータを復元する場合など)といった隠れたコストが発生し、ストレージ予算が思いがけず急激に跳ね上がる恐れがあります。そのため、データの保存先を選ぶ際は、下り転送料やAPIリクエスト料が請求されないかどうかを確認しましょう。ランサムウェア対策を真剣に考える新法の最終的かつ恒久的な規則が決まるまでには、まだしばらく時間がかかると思われます。しかし、この法律の方向性は非常に明確であり、重要なインフラに影響を及ぼすインシデントを迅速に報告することが政府から期待されています。この期待は、すべての企業に拡大する可能性があります。そのため、ランサムウェア対策に真剣に取り組むべき時期が来たことを示すシグナルとしてこの法律を捉えるべきです。...