企業の事業継続とランサムウェア対策
大規模な組織や企業は、特に顧客と直接取引を行う場合、データ保護において大きな責任を負っています。システムの停止は、多大な経済的損失や評判の低下を招く恐れがあります。
データ損失やシステム停止を引き起こす要因は多岐にわたりますが、ランサムウェアは最も危険な脅威の一つです。こうした理由から、企業にとって事業継続性は極めて重要です。本ブログ記事では、企業の事業継続性を確保し、ランサムウェア攻撃からデータを保護する方法について解説します。
企業の事業継続計画について
企業の事業継続性とは、大規模な組織(企業)が、インシデント発生時や業務中断時に、少なくとも最も重要な機能を維持できる能力のことです。企業の事業継続性は、自然災害、サイバー攻撃、ハードウェアの故障などの緊急事態においても、ビジネスプロセスを継続できるようにするための一連の対策を包含する戦略的アプローチです。これは、組織がこうした事態発生後、迅速にデータを復旧し、業務を再開できることを意味します。
企業の事業継続性を確保するためには事業継続計画が必要ですが、企業はこの計画策定においていくつかの課題に直面することがあります。大規模な組織は通常、複数の部門を抱えており、複雑なITインフラを活用して異なる場所に分散している場合があります。事業継続計画には、障害発生時にこれらすべての部門と拠点に対応するための措置を含める必要があります。この戦略には、混乱を招く事象が発生した際に最大限の統合と統一された対応が可能となるよう、すべての事業部門を含めるべきです。
こうしたインシデントの影響を最小限に抑えることが、企業の事業継続の主な目標であり、これには業務の復旧と効率的なリカバリが前提となります。事業継続計画を実施することで、企業組織は混乱を招く事象が発生しても業務を継続することができます。もう一つのアプローチとして、通常の運用モードが復旧するまでの間、代替運用モード(リモートワーク、別の場所での勤務、災害復旧サイトや代替インフラの利用など)の手順を策定することが挙げられます。
事業継続リスク
適切な企業の事業継続管理を行うためには、事業継続リスクを理解することが不可欠です。リスク管理は、以下のような外部および内部の問題をどのように軽減するかに重点を置いています:
- 停電サーバー、コンピュータ、ネットワーク機器は、電気がなければ動作しません。停電が発生すると、部署全体や組織全体の業務が停止する恐れがあります。
- ハードウェアの故障ハードウェアの故障はシステム停止を引き起こし、データの損失につながる可能性があります。
- データの消失データの削除、破損、漏洩といったデータ損失は、企業にとって壊滅的な打撃となり得ます。
- サイバー攻撃. こうした攻撃は、サーバーの停止やデータの損失を引き起こす可能性があります。ランサムウェア攻撃は、サイバー攻撃の一種です。
- 自然災害洪水、火災、竜巻、ハリケーン、地震などの自然災害は、データだけでなく、ハードウェア、機器、オフィス、データセンターまでも破壊する恐れがあります。
- 不遵守特定の業界や国で事業を展開する組織は、事業継続に影響を及ぼす可能性のある罰則や制裁を回避するため、コンプライアンスおよび規制要件を満たさなければなりません。
- リモートワークリモートワークを行う際、事業継続を確保するために、リモートPC、仮想プライベートネットワーク(VPN)、通信回線、およびその他の技術的措置を導入すべきである。
企業の事業継続における必須要素
企業の事業継続は、大規模な組織がデータの損失や重大な業務中断を回避できるようにする、いくつかの要素に支えられています:
- 事業影響分析. 業務の混乱が各業務機能に及ぼす可能性のある影響を評価する。重要なプロセス、依存関係、復旧時間目標(RTO)、および復旧時点目標(RPO)を特定する。 RTOおよびRPO これらは事業継続計画における主要な指標です。事業影響度分析を行うことで、インシデント発生時に業務を継続するために最も重要なリソースやプロセスの優先順位を定義することができます。
- リスク評価. 自然災害、サイバー攻撃、ハードウェアの故障など、インフラや運用プロセスに影響を及ぼす可能性のあるリスクを評価します。これにより、組織はリスクを未然に防ぎ、その悪影響を軽減するための対策を講じることができます。
- インシデント対応計画. インシデント発生時に実施すべき措置と、その実施責任者を明記したインシデント対応計画を作成してください。このインシデント対応計画には、ユーザー、データ、および機器を保護するための措置が記載されています。
- 災害復旧計画. 作成する 災害復旧計画 障害発生後のデータ復旧および業務復旧のための措置を定めたものです。災害復旧計画には、問題が発生した場合のデータのバックアップおよび復旧手順について、詳細な説明が含まれています。また、災害発生時に利用される代替の勤務場所や通信手段についても明記する必要があります。
- 事業継続計画. 事業継続計画とは、インシデント対応計画および災害復旧計画を含む包括的な戦略計画である。A 事業継続計画 には、予期せぬ事態が発生した場合に企業が事業を継続するために必要な情報が含まれています。効果的な計画は、インフラ、人材、プロセスの3つの主要な分野に焦点を当てるべきです。
ランサムウェア対策の事業継続計画への組み込み
ランサムウェア攻撃は急速に拡大しており、企業にとって極めて危険な脅威となっています。組織に侵入したランサムウェアは、データを破損・削除し、甚大な被害をもたらす可能性があります。ランサムウェアは、パッチが適用されていない、あるいは古いソフトウェアの脆弱性を悪用してコンピュータに侵入し、データを破損させたり、盗み出したりします。また、ランサムウェア攻撃者は、電子メールを用いたフィッシングやソーシャルエンジニアリングなどの手法を用いてユーザーを騙し、ネットワーク上でマルウェアを拡散させます。
ランサムウェアによるあらゆる破壊的な行為は、適切な防御策が講じられていない場合、企業の事業継続に悪影響を及ぼします。これらの理由から、ランサムウェア対策は、バックアップおよび復旧戦略の一環として、企業の事業継続計画に組み込まれる必要があります。包括的な災害復旧計画には、ランサムウェアのシナリオを含める必要があります。
データ保護とバックアップ戦略
データ保護戦略には、インフラの監視、ランサムウェアの検知、ソフトウェアの脆弱性へのパッチ適用、アクセスポリシーの導入といった予防策が含まれます。予防策が功を奏さず、ランサムウェアによってデータが破損または削除されてしまった場合、データを復旧するにはバックアップを利用するしかありません。堅牢なバックアップ戦略には、以下の点が含まれるべきです:
- 定期的かつ安全なバックアップデータバックアップの観点から、企業向けのランサムウェア対策として最も効果的なのは、隔離されたバックアップと不変のバックアップです。隔離されたバックアップは、 エアギャップ方式のバックアップ コンピュータやネットワークから物理的に隔離されたもの。エアギャップ方式のバックアップの例としては、接続されていないハードディスクドライブ、光ディスク、テープカートリッジなどが挙げられる。 変更不可能なバックアップ データは、WORM(Write-Once-Read-Many)方式を採用したソフトウェアアルゴリズムによって保護されています。一度書き込まれたデータは、保存期間が満了するまで変更や削除を行うことはできません。
- 保持方針. 発効 情報保持方針 企業が、古い復旧ポイントを含むさまざまな復旧ポイントからデータを復元し、バックアップストレージを合理的に活用できるようにします。以下の利用を検討してください。 祖父・父・息子 保存ポリシー。増分バックアップとバージョン管理は、保存ポリシーの実施に役立ちます。
- 複数のバックアップ複数のバックアップやバックアップコピーを作成し、それらを異なるストレージに保存しておくことで、いずれかのバックアップコピーが破損した場合でも、データを復元できる可能性が高まります。以下の方法の利用を検討してください。 3-2-1バックアップ戦略 企業向けランサムウェア対策およびその他の推奨される対策について。
- ネットワークのセグメンテーションとアクセス制御. 組織内の特定のコンピュータがランサムウェアに感染した場合、適切に設定されたアクセス制御を備えたネットワークのセグメンテーションにより、ランサムウェアがインフラ全体に拡散するのを防ぐことができます。ネットワークのセグメンテーションにより、感染したネットワークセグメントを隔離し、ランサムウェアが他のセグメントに感染するのを阻止することが可能です。
- 脆弱性の修正. 組織は、ソフトウェアの脆弱性を定期的に評価し、セキュリティパッチを適用することが推奨されます。この企業向けランサムウェア対策により、ランサムウェアに感染するリスクを大幅に低減できます。
- ウイルス対策ソフト. ウイルス対策ソフトをインストールすることで、悪意のあるファイルがシステムに感染する前に検出して削除することができます。設定 メールの保護 そして スパムフィルター ユーザーに対するフィッシング攻撃の件数を減らすためです。電子メールは、サイバー犯罪者がランサムウェア攻撃を仕掛ける際に最もよく利用される手段の一つです。
- セキュリティポリシー. ブルートフォース攻撃や辞書攻撃によって解読される可能性のある単純なパスワードの使用を禁止するセキュリティポリシーを導入してください。多要素認証を設定することでセキュリティレベルが向上し、攻撃者が盗んだ認証情報を使って組織のリソースにアクセスし、ランサムウェアを感染させることを防ぐことができます。
- トレーニング. 従業員の研修は、事業継続において重要な要素です。定期的な研修を実施することで、ユーザーは主なサイバー攻撃の手口を認識できるようになり、ランサムウェア攻撃の兆候やハードウェアの故障などを示す不審な事象が発生した場合の対処法を理解することができます。
リアルタイム監視と自動対応
リアルタイムインフラ 監視システム 自動化されたレポートを活用することで、システム管理者はより迅速に対応し、ランサムウェア攻撃に関連する問題を含む各種課題を解決できるようになります。ランサムウェアによる深刻な被害が発生する前に、その活動の兆候を早期に検知することが可能です。
自動アラート機能により、特にすべてのコンポーネントを手動で監視することが困難な企業において、このプロセスの効率化が図られます。その結果、管理者はランサムウェア攻撃の兆候やその他の脅威といった不審な活動を早期に検知できるようになります。
事業継続計画の検証と改善
計画的なテストと検証は、事業継続計画の改善につながります。災害復旧計画をテストすることで、あらゆるインフラストラクチャ構成要素が、想定される障害発生に備えていることを確認できます。テストを実施し、その結果を検証することで、組織は事業継続計画の脆弱性を早期に発見し、災害が発生する前に是正することができます。
ランサムウェア特有のシナリオを 災害復旧テスト および事業継続計画。このアプローチにより、組織はランサムウェア攻撃が発生した場合に実行すべき手順を準備することができます。 RTO(復旧時間目標)とRPO(復旧時点目標)をテストし、企業の事業継続を確保するために必要なデータが時間内に復旧できることを確認します。
計画のテスト後、復旧プロセスと復旧結果を検証し、バックアップメカニズムが期待通りに機能することを確認します。このプロセスには、隔離されたバックアップが必要時にアクセス可能であり、ウイルスやランサムウェアの攻撃を受けないことを確認することが含まれます。テスト結果に基づき、アクセス制御の設定上の不備を修正し、必要に応じてバックアップ戦略を改善することができます。
NAKIVOによるランサムウェア対策バックアップ
NAKIVO Backup & Replication これは、信頼性の高いバックアップおよび復旧機能を提供することで、大企業が事業継続性を向上させるために利用できる、汎用的なデータ保護ソリューションです。NAKIVOのソリューションは、仮想マシン(VMware、Hyper-V、Nutanix、Proxmox VE2)、Amazon EC2インスタンス、物理マシン(WindowsおよびLinux)、ファイル共有、Oracleデータベース、およびMicrosoft 365のデータを保護します。本製品には、ランサムウェア対策を実現するための幅広い機能が含まれており、具体的には以下のものが挙げられます:
- 変更不可能なバックアップ. ローカルストレージ、クラウド(Amazon S3、S3互換サービス、およびAzure Blobストレージ)、およびNEC HYDRAstorアプライアンス上の不変のバックアップは、ランサムウェア対策として有効なストレージとして利用できます。
- 複数のバックアップ先バックアップは、ローカルのバックアップサーバー、NASデバイス、クラウドプラットフォーム、テープなどに保存できます。
- バックアップの自動化. 柔軟なバックアップスケジュール設定により、組織は厳しいRPOを満たすために必要なタイミングでデータをバックアップできます。自動レポート機能を有効にすることで、管理者はジョブの結果を把握することができます。
- 柔軟な保存ポリシー. 複雑な保存ポリシーを設定し、異なる期間のデータを復元します。
- 災害復旧テスト. Site Recovery 機能により、組織は複雑な災害復旧シナリオをテストし、エンタープライズレベルの保護を確保することができます。
- 完全かつ詳細な復旧必要なデータのみを素早く復元したり、大量のデータが失われた場合にはデータセット全体を復元したりできます。
詳細はこちら NAKIVOの機能一覧 企業の事業継続性を向上させるのに役立つ。
結論
ランサムウェア攻撃が増加している現代において、企業の事業継続性は大規模組織にとって極めて重要です。事業継続性を確保するためには、組織は災害復旧計画やインシデント対応計画を含む事業継続計画を作成する必要があります。企業におけるランサムウェア対策の最適な戦略とは、予防策、とりわけ信頼性の高いバックアップの導入を前提としています。利用 NAKIVO Backup & Replication どのような複雑さの災害復旧戦略でも実施し、ランサムウェアによるデータ損失を防ぐため。
