サイバー脅威が深刻化・頻発化する中、米国議会は、重要インフラを悪意のある行為から保護するためのさまざまな立法措置を検討してきました。ウクライナ戦争によってサイバー脅威への懸念がさらに高まったことで、上院は米国サイバーセキュリティ強化法（SACA）を可決しました。この法案には、2022年3月15日に大統領による署名のもと発効された法律「米国重要インフラ向けサイバーインシデント報告法（CIRCIA）2022」が含まれています。この法律はサイバー攻撃に関するものですが、特にランサムウェアがもたらすリスクに対処するために制定されたという見方もできます。本ブログでは、ランサムウェアの軽減が企業のSACA遵守に与える影響についてご説明します。サイバーセキュリティインシデントに関するSACAの報告要件この法律では、エネルギーの電力網・ダム・廃水処理施設などを含む16種類の重要なインフラを運営するいわゆる「対象事業体」に対し、サイバーインシデントの発生後72時間以内に米国サイバーセキュリティ・社会基盤安全保障庁（CISA）に報告することが義務付けられています。この規則が定められた根拠は明白で、インシデントの存在を認知しなければCISAが対応できないためです。また、直面している脅威について業界内の組織同士で理解する必要もあります。情報開示が迅速に行われることで効果的な対応につながります。SACAは内容に関する議論期間が設けられていますが、最終的な方針が固まるのはおそらく2年ほど先になるでしょう。現時点では、72時間前までに報告することが義務付けられており、今後もこのルールが維持される可能性が高いと思われます。しかし、72時間では長すぎます。脆弱性は公開から数時間でハッカーやボットネットによって悪用されるため、最終的な方針が設定される前に報告義務の時間が短縮されることを願います。SACAに基づく報告基準SACAでは主に2つの報告トリガーが指定されています。対象となる事業体は、規則制定プロセスの詳細に従って、以下の内容を報告する必要があります。「（i）当該情報システムまたはネットワークの機密性・完全性・可用性の損失につながる、または運用システムおよびプロセスの安全性と回復力に重大な影響を及ぼすサイバーインシデント」または、「(ii)サービス拒否攻撃、ランサムウェア攻撃、または情報システムや運用技術システムに対するゼロデイ脆弱性の悪用などによる、事業運営の中断」法律事務所BakerHostetlerのレポートによると、この法律では対象となる事業体に対し、「クラウドサービスプロバイダー、マネージドサービスプロバイダー、その他のサードパーティデータホスティングプロバイダーの侵害、またはサプライチェーンの侵害によって促進された、またはそれによって引き起こされたサービス損失による不正アクセスまたは事業運営の中断」を報告することも義務付けられています。特にランサムウェアを意識して作られた法律SACAは、システムの機密性・完全性・可用性の損失につながるあらゆる脅威を対象としています。実際のところ、深刻化・蔓延化ているサイバー脅威であるランサムウェアのほとんどすべてがこの法律の対象となっています。ランサムウェア攻撃は事業運営を混乱させる可能性もあります。これらの事実を認識したうえで、この法律の起草者はランサムウェアについて言及し、対象となる事業は身代金を支払ったか、もしくは支払う予定があるかを、インシデント対応の詳細とともに開示しなければならないと規定しています。さらに、ランサムウェアの問題は攻撃の潜在的な深さにも関係しています。マルウェアはデータを暗号化して身代金を要求しますが、ランサムウェア攻撃はそれよりもさらに破壊的かつ陰湿です。まず、多くの場合においてデータの流出が伴います。さらに、ほとんどの場合、ステルスマルウェアがインフラの奥深くに埋め込まれ、しばらく経ってから有効化されます。これにより、対象事業が重大なリスクにさらされる恐れがあるため、この新法で攻撃の報告を義務付けることは非常に理にかなっていると言えます。この現状を踏まえたうえで私が問題視しているのは、ランサムウェア攻撃の標的となる企業がこの法律をどのように解釈するかということです。SACAでは、インシデントによって企業の情報システム、ネットワーク、運用システム、プロセスに「重大な影響」が与えられた場合に報告義務を課しています。しかし、一体誰が、何をもって「重大な影響」であるかどうかを判断するのでしょう。たとえば、ある企業がイミュータブルバックアップを使用してハッカーからのアクセスを防ぎ、ランサムウェア攻撃による潜在的な損害を軽減した場合でも、CISAに攻撃を通知する必要があるのでしょうか。この法律は、損害やサービスの中断がない場合において不明瞭な点があります。しかし、SACAが重視しているのは透明性であることは明らかです。ランサムウェアやサイバー攻撃を受けた結果がどうなるかに関わらず、インシデントの報告はすべての人に役立ちます。ランサムウェア攻撃の影響を軽減する方法ここまで、ランサムウェア攻撃から正常に復旧するための手順について詳しくご説明してきました。堅牢な3-2-1バックアップ戦略によってバックアップコピーの少なくとも1部をイミュータブルストレージに保存することで、システムの消去やソフトウェアの再インストール、身代金の支払いなどを避け、操作の中断を最小限に抑えながら安全なデータをアップロードすることができます。もちろん、実際はそんなに単純ではないため、組織ごとに適したバックアップ戦略を考える必要があります。その戦略には、完全バックアップや増分バックアップを実行する頻度、定期的にバックアップをテストおよび検証するための計画なども含まれます。これまでの一般的な頻度は少なくとも年に1度といったところでしたが、サイバーセキュリティ攻撃を受けるリスクを考慮し、現在では多くの組織が四半期に1度または月に1度バックアップをテストしています。最後に、すべてのクラウドストレージサービスが同じように作成されているわけではないことにご注意ください。多くのクラウドストレージ層の場合、テラバイトあたりのコストが比較的低くても、バックアップデータが急速に増加する可能性があります。データの増加だけでなく、APIリクエスト料金（バックアップをテストする場合など）や下り転送料（サイバー攻撃が発生した場合にデータを復元する場合など）といった隠れたコストが発生し、ストレージ予算が思いがけず急激に跳ね上がる恐れがあります。そのため、データの保存先を選ぶ際は、下り転送料やAPIリクエスト料が請求されないかどうかを確認しましょう。ランサムウェア対策を真剣に考える新法の最終的かつ恒久的な規則が決まるまでには、まだしばらく時間がかかると思われます。しかし、この法律の方向性は非常に明確であり、重要なインフラに影響を及ぼすインシデントを迅速に報告することが政府から期待されています。この期待は、すべての企業に拡大する可能性があります。そのため、ランサムウェア対策に真剣に取り組むべき時期が来たことを示すシグナルとしてこの法律を捉えるべきです。...

企業を狙うサイバー攻撃の脅威は、年を追うごとに深刻化しています。IPA（情報処理推進機構）が発表した「情報セキュリティ10大脅威 2024」では、特に大きな脅威としてランサムウェアが1位に取り上げられました。事業停止、機密情報漏えい、そして多額の身代金要求など、多くの企業に被害をもたらし続けるランサムウェア。この記事ではランサムウェア攻撃の実態と、企業が今すぐ取り組むべき対策について解説します。猛威を振るうランサムウェア現代の企業にとって、最大のセキュリティ脅威の一つがランサムウェアです。ここではIPAの最新レポートと、ランサムウェアの基本について解説します。IPAの「情報セキュリティ10大脅威 2024」について独立行政法人情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威 2024」は、2023年に発生した社会的影響が大きかった情報セキュリティ事案をまとめたレポートです。この中では、組織における脅威の第1位として「ランサムウェアによる被害」が選ばれました。特に注目すべきなのは、ランサムウェアが2016年以来、9年連続で「10大脅威」であるという点です。このことからも、ランサムウェアが企業や組織にとって、とりわけ深刻度の高い脅威であることがわかります。参照：IPA｜情報セキュリティ10大脅威 2024 [組織編]ランサムウェアとは？ランサムウェアとは「身代金（Ransom）」と「ソフトウェア（Software）」を組み合わせた造語で、マルウェア（悪意のあるソフトウェア）の一種です。ランサムウェアに感染すると、コンピューター内のファイルやシステムが暗号化され、使用できなくなります。攻撃者はこの暗号化を解除する「鍵」と引き換えに、企業や組織に金銭を要求します。なお、近年のランサムウェア攻撃では単にデータを暗号化するだけでなく、事前にデータを窃取して「身代金を支払わなければ、盗んだ情報を公開する」と脅迫する「二重恐喝」の手口も増加しているため、一層の注意が必要です。ランサムウェアから組織を守る対策ランサムウェア攻撃は巧妙化・高度化の一途をたどっています。被害を最小限に抑えるためには「予防」と「（被害発生時の）対処」の両面からの対策が不可欠です。被害を予防するランサムウェアの侵入経路は多岐にわたりますが、主な侵入経路はメール、脆弱性、リモートデスクトップなどです。侵入を防ぐためには「入口対策」「境界対策」「内部対策」の多層的な防御が重要になります。入口対策メールセキュリティの強化：不審なメールの添付ファイルやURLリンクは安易に開かないよう、従業員への注意喚起を徹底する。また、メールアカウントには多要素認証を導入し不正ログインを防ぐ不審なソフトウェアの排除：提供元不明のソフトウェアや、信頼できないWebサイトからダウンロードしたソフトウェアは実行しないよう徹底する脆弱性対策：OS、アプリケーション、各種ソフトウェアを常に最新の状態に保ち、セキュリティパッチを速やかに適用する境界対策ネットワークセキュリティ：ファイアウォール、IDS（侵入検知システム）、IPS（侵入防止システム）を適切に導入・運用し、不正な通信を検知・遮断するアクセス制御：共有サーバーなどへのアクセス権限は必要最小限とし、不要なアクセスを許可しないよう厳格に管理する公開サーバーの保護：Webサーバーなどの公開サーバーには、WAF（Web Application Firewall）の導入や、不要なポートを閉じるなどの対策を施し、不正アクセスを防ぐ内部対策エンドポイントセキュリティ：各PCやサーバーにエンドポイントセキュリティソフト（EDRなど）を導入し、定義ファイルを最新に保ち定期的なスキャンを実行する従業員教育：全従業員に対し、定期的なセキュリティ教育を実施する。ランサムウェアの手口や対策、不審なメールやWebサイトの見分け方などを周知徹底し、セキュリティ意識を高める被害に対処する万が一、ランサムウェアに感染してしまった場合に備え、迅速かつ適切な対応が取れるよう、平時から準備しておくことが重要です。特に身代金は盗まれたデータと引き換えに要求されるため、オリジナルのデータを予めバックアップしておくことが重要です。まとめIPAの「情報セキュリティ10大脅威 2024」で再び首位となったランサムウェアは、企業・組織にとって避けて通れない脅威です。攻撃者は常に新たな手口を模索しており、その手口は年々巧妙化しています。継続的な情報収集、セキュリティ対策のアップデート、そして従業員一人ひとりの意識向上を図ることが不可欠です。そして防災と同様に、予め備えておくことが重要です。ランサムウェアはデータを盗み、身代金を要求するものです。日頃からデータのバックアップすることでデータ保護を計画しましょう。...

デジタル化が加速する現代において、企業のデータ管理はビジネス戦略の根幹を支える要素です。日々増加するデータ量に対応するため、適切なストレージ技術の選択は不可欠ですが、「ファイルストレージ」と「オブジェクトストレージ」の違いを明確に理解できている方は少ないのではないでしょうか。本記事では、両者の違いやそれぞれのメリット・デメリット、最適な活用シーンを紹介します。データ管理の効率化、コスト最適化、そして将来的な拡張性を考慮したストレージ選びの参考になれば幸いです。ファイルストレージとはファイルストレージは、データを「ファイル」と「フォルダー」という階層構造で管理する従来型のストレージ技術です。コンピュータシステムでファイルを保存する最も一般的な方法として、多くの企業で用いられています。ファイルストレージの仕組みファイルストレージは、データをフォルダーとサブフォルダーに整理する階層的な構造を持っています。この構造はWindowsのエクスプローラーやmacOSのFinderなどで見られる、ツリー状のファイルシステムと同じです。各ファイルは「ファイル名」「作成日」「最終更新日」などのメタデータを持ち、フォルダー内の特定の場所に保存されます。ファイルストレージのメリット・デメリットファイルストレージの最大のメリットは「使いやすさ」にあります。階層構造によってファイルを整理することができるため、目的のファイルを見つけやすい点が最大の特徴です。従来から多くのシステムで利用されているため、既存のアプリケーションやシステムとの互換性が高い点もメリットと言えるでしょう。一方、ファイルストレージのデメリットは、スケーラビリティ面の課題です。データ量が大きくなるとファイルシステムのパフォーマンスが低下し、アクセス速度が遅くなる可能性があります。また、ファイル数やアクセス数が増加した場合にも、同様の問題が発生する可能性があります。ファイルストレージの活用シーンファイルストレージは、主に以下のような用途で活用されています。企業のファイルサーバー（社内ドキュメント管理）多くの企業では、従業員が共有できるファイルサーバーを活用し、業務資料やプロジェクトデータを一元管理しています。たとえば、経理部門が請求書を保存したり、マーケティング部門がデザインファイルを共有したりするケースです。NAS（Network Attached Storage）を利用したデータ共有NAS（ネットワーク接続ストレージ）を導入することで、オフィス内やリモート環境でのファイル共有が可能になります。特に中小企業では、低コストで手軽に導入できることから、NASを利用するケースが少なくありません。オブジェクトストレージとはオブジェクトストレージは、データを「オブジェクト」と呼ばれる単位で管理するストレージ技術です。近年注目を集めているデータ保存方法で、特に大量のデータを効率的に管理したい場合に優れています。オブジェクトストレージの仕組みオブジェクトストレージでは、データは「オブジェクト」と呼ばれる単位で保存されます。各オブジェクトは「データ本体」「メタデータ」「一意の識別子」から構成されます。メタデータには、ファイル名や作成日時といった基本的な情報に加え、ユーザーが自由に定義できるカスタム情報も含めることが可能です。オブジェクトは、階層構造を持たないフラットなアドレス空間に保存されます。これにより、ファイルストレージのように階層をたどる必要がなく、大量のデータの中から目的のオブジェクトを迅速に検索できます。オブジェクトストレージのメリット・デメリットオブジェクトストレージの大きなメリットの一つは、その優れたスケーラビリティです。必要な容量に応じてストレージを柔軟に拡張できるため、データ量の増加にも容易に対応できます。また、メタデータを利用することで、データの内容に基づいた柔軟な検索が可能になる点も魅力です。さらに、クラウドサービスでは従量課金制で利用できるため、コスト効率の面でも優れています。一方、オブジェクトストレージは、ファイルストレージに比べてデータへのアクセスに時間がかかる場合があります。これは、オブジェクトストレージがネットワーク経由でアクセスされることが多いためです。また、一部のファイルベースのアプリケーションはオブジェクトストレージに直接アクセスできないという、互換性の問題も存在します。オブジェクトストレージの活用シーンオブジェクトストレージは、主に以下のような用途で活用されています。クラウドバックアップ・アーカイブ（Amazon S3、Google Cloud Storage）オブジェクトストレージは、クラウドベースのバックアップやアーカイブ用途に適しています。企業が長期間保存する必要があるログデータや映像データなどを、コスト効率よく安全に保存できるのが特徴です。クラウドストレージは地理的に分散されたデータセンターにデータを保管するため、災害対策としても有効です。大規模データの管理（医療データ、IoTデータ、ビッグデータ分析）医療分野では、X線やMRI画像のような大容量データの管理にオブジェクトストレージが活用されています。また、IoTデバイスが生成する膨大なセンサーデータをリアルタイムで収集・管理するためにも適しており、ビッグデータ解析の分野で欠かせない存在です。ファイルストレージとオブジェクトストレージの比較ファイルストレージとオブジェクトストレージは、それぞれ異なる特性を持つため、用途に応じて使い分ける必要があります。ここでは、両者の違いをさまざまな観点から比較していきます。データ構造の違いファイルストレージは、データを階層構造で管理します。フォルダーの中にフォルダーを作成していく、ツリー構造のようなイメージです。一方、オブジェクトストレージはフラットな構造で、すべてのデータが同じレベルに存在します。スケーラビリティの違いファイルストレージは、ストレージ容量やファイル数が増加するとパフォーマンスが低下する傾向があります。一方、オブジェクトストレージは容易に容量を拡張することができ、大量のデータを効率的に管理できます。データ管理の違いファイルストレージは、ファイルパスを指定してデータにアクセスするのが特徴です。たとえば「C:\Users\Documents\report.docx」のように、階層構造をたどって目的のファイルにアクセスします。一方、オブジェクトストレージでは、メタデータに付与されたタグやIDなどを利用してデータを探します。コスト面の違いファイルストレージは一般的に初期費用が高く、ストレージ容量の拡張にも追加費用が発生します。一方、オブジェクトストレージ、特にクラウドサービスは、使用した分だけ支払う従量課金制が一般的です。運用コストの面でも、オブジェクトストレージは自動化された管理機能により、ファイルストレージよりも低く抑えられる可能性があります。ファイルストレージとオブジェクトストレージはどちらを選ぶべき？ファイルストレージとオブジェクトストレージのどちらを選択すべきかは、システムの規模、扱うデータの種類、そして将来的な拡張性などを考慮して決定する必要があります。ここでは、それぞれのストレージが適しているケースを具体的に見ていきましょう。ファイルストレージが適しているケースファイルストレージが適しているケースとしては、「小規模・中規模のシステム」や「小規模なファイル共有・Webサイトのコンテンツ管理」などが挙げられます。小規模・中規模のシステムファイルストレージは、シンプルなデータ管理が求められる環境に適しています。フォルダーを活用した直感的な操作ができるため、特に小規模～中規模の企業やチームでの利用に向いていると言えるでしょう。社内のファイル共有システム（例：社内のドキュメント管理、部署ごとの資料共有）ローカルサーバーやNASを利用したデータ管理（例：社内サーバーでのデータ保存、オフィス内のNASによるファイル共有）小規模なファイル共有・Webサイトのコンテンツ管理Webサイトのコンテンツ管理（CMSなど）では、画像やドキュメントを管理するためのストレージが必要になります。頻繁にアクセスされるファイルは、ファイルストレージを使うことで素早いレスポンスが可能です。ブログやニュースサイト（例：WordPressのメディアファイルの管理）ファイルベースのアプリケーション（例：ローカル環境で動作するデスクトップアプリ、設計ファイルの管理）オブジェクトストレージが適しているケースオブジェクトストレージが適しているケースとしては、「クラウドネイティブ環境」や「大規模なデータアーカイブ・バックアップ」などが挙げられます。クラウドネイティブ環境オブジェクトストレージは、クラウド環境でのデータ管理に最適です。特に、大量のデータを保存・分析するシステムでは、スケーラビリティの高さが重要な要素となります。クラウドアプリケーションのデータ保存（例：AWS S3を活用したSaaSアプリ、Google Cloud Storageを利用したモバイルアプリのバックエンド）コンテンツ配信（例：動画ストリーミング、ECサイトの商品画像管理）大規模なデータアーカイブ・バックアップ長期間保存するデータやバックアップ用途には、オブジェクトストレージが適しています。特に、何十年にもわたってデータを保存する必要がある場合はコストパフォーマンスに優れた選択肢です。企業のバックアップ＆アーカイブ（例：金融機関の取引データ、医療機関の患者データ）大容量のデータ管理（例：IoTデバイスが生成するセンサーデータ、AI/MLの学習データセット）ハイブリッド運用の可能性ファイルストレージとオブジェクトストレージは、必ずしもどちらか一方を選択する必要はありません。ハイブリッド運用によって、両方のメリットを活かすことも可能です。たとえば、社内データはファイルストレージで管理し、バックアップはオブジェクトストレージに保存するといった運用が考えられます。こうすることで、日常的に使用するデータには高速にアクセスでき、かつ、バックアップデータは安全に保管できるでしょう。まとめこの記事では、ファイルストレージとオブジェクトストレージの違いについて、その仕組み、メリット・デメリット、そして活用シーンを比較しながら解説してきました。どちらのストレージを選択するかは、システムの規模、扱うデータの種類、そして将来的な拡張性などを考慮して決める必要があります。それぞれのストレージの特徴を理解し、自社環境に最適なストレージを選択することが重要です。自社のデータ管理ニーズを見直し、最適なストレージ戦略を構築することで、より効率的で安全なデータ管理環境を実現しましょう。...