ランサムウェア攻撃を100%防御はできない！ターゲットとなる「データ」の守りを固める重要性

サイバー攻撃、特に今被害が続出しているランサムウェア攻撃は、今後も減ることはなく、むしろますます増加すると考えられています。

警察庁が公開しているランサムウェア被害の報告件数だけを見ても、この2年間の間に5倍以上に増加しています。報告されていない被害も含めるとこの何倍にもなることが推察されます。

また、2023年2月に情報処理推進機構（IPA）から発表された「情報セキュリティ10大脅威」でも、昨年に続いて「ランサムウェアによる被害」が組織における脅威の1位になっています。

注目すべきと考えるのが、今年、組織における脅威の10位に入った「犯罪のビジネス化」です。サイバー攻撃によって入手した個人情報や企業の機密情報が売買されているだけでなく、アンダーグラウンドでは攻撃用のツールを含めた様々な「不正アクセスの方法」も公開されており、また攻撃の「分業化」も進むことで、「ビジネス」として確立してきています。

サイバー攻撃のニュースのたびに繰り返し言われていて、耳にタコができているかも知れませんが、ここでもう一度、サイバー攻撃が企業に与える影響を確認したいと思います。

企業や病院などがランサムウェアの攻撃を受けた、そのために事業が何週間も停止した、といったニュースは、もはや日常的になりすぎてどこか他人事のようになってしまっているところがあります。

しかし決して他人事ではないのです。
明日、自分の会社が攻撃に遭ったら？

そう考えて、十分な対策を一刻でも早く実施することが必要です。

このグラフを見てもわかるとおり、日本企業ではネットワークを主軸としたセキュリティ対策（境界防御）が主流です。「境界内への侵入を防ぐこと」は非常に重要ですが、残念ながら100%の防御策ではありえません。

その理由の一つは、IT環境が大きく変化していることです。企業側を見ると、データセンターの中だけにシステムやデータがあった以前とは異なり、多くの企業でオンプレミスとクラウドのハイブリッド環境や、マルチクラウド環境にデータが置かれており、またリモートワークも一般的になったことでシステムへの入り口も多様化しています。そうした環境において境界防御はより複雑化し困難になっています。そして攻撃側は手口をますます進化・巧妙化させてきています。

ではどうするか。
100%完全な境界防御はありえないと考え、突破して侵入された場合の対策を講じておくことが重要なのです。

「『境界』の外側だけでなく内側も信用しない」、これが「ゼロトラスト」の考え方です。

侵入者は境界を突破して「内側」に入り込み、私たちの資格情報を乗っ取り、特権ユーザーになってデータを盗み出します。これに対応するには、ゼロトラストに基づく「データそのものの保護」が重要になってきます。

侵入者の目的は「データ」です。この「データ」を人質にして身代金を要求します。それが彼ら攻撃者の「ビジネスモデル」なのです。その「ビジネスモデル」の餌食にならないためには、データそのものを堅牢に保護することが重要です。

この「保護」は、なんでもかんでも暗号化しておけば良い！という意味ではなく、具体的には、本番データやバックアップデータを対象に、適切な暗号化に加えて、データアクセスの監視、ユーザーのリスク評価等を平時から継続実施し、境界の内側であっても何か不審な状態や異常なアクセスがあった際にはすぐに検知できるようにしておくことも含みます。

サイバー攻撃は「攻撃に遭うか遭わないか」ではなく「いつかは攻撃に遭う」という前提で考えるべきです。自社のシステムやセキュリティ対策全体を俯瞰で把握・評価し、必要な対策を実施するとともに、有事の際の復旧計画を策定しておくことが重要です。

また、復旧計画の策定においても、いざというときの復旧実施においても、ITインフラチームや、DB管理者、セキュリティチーム等のスムーズな連携が欠かせません。

攻撃に遭ったと仮定し、そこから遡ってビジネス停止時間を最短に抑えるために何が必要か、何を監視し、何のログをどこに保持しておくことが必要か、誰がどういう役割分担で動くか、等の観点で復旧計画が策定されていることが重要なのです。

「いつかは攻撃に遭う」前提で対策をしていたとしても、攻撃に遭わないに越したことはありません。しかし万が一ランサムウェア攻撃などを受け、ビジネス停止に追い込まれるという状況になった場合には、策定した復旧計画に沿って、まず攻撃を受けた時点と範囲を監視ログから特定し、その時点のシステムとデータにいかに迅速に戻せるか、つまり業務が止まっている時間をいかに短縮するかが勝負です。

身代金の対応や、社会的対応、法令対応など、他にもすべきことは押し寄せますが、経営者が対応すべきこと、IT管理者が対応すべきことの役割分担をしっかり行い、冷静かつ迅速に対応することが鍵です。

このように「攻撃者に侵入される」ことを前提に考えると、平時からのデータアクセスの監視や復旧計画策定を含めたゼロトラスト＋データセキュリティがいかに重要かが理解いただけるかと思います。

話は少し変わりますが、データはどこに置くのが最適（安全）なのでしょうか。

システムやデータの特性、企業ごとのITポリシーなどによっても変わってくるため絶対的な正解はなく、企業ごとに答えを出していくしかありませんが、下記のような観点も検討の参考になれば幸いです。

以下は、弊社のウェビナー申込者に実施したアンケートの結果です。いずれかの単一クラウドを利用している企業が半数弱を占めますが、クラウドサービスごとの強みを生かしてマルチクラウド環境を選択する企業が増えてきていことがわかる反面、オンプレミスのみ利用中、つまりクラウドは利用していないという企業も3割近くあります。特にミッションクリティカルなシステムは自社のデータセンター内に置く、という企業もまだまだ多いという話も聞きます。

どの環境においても、環境の特性を考慮してセキュリティ対策を検討・実施していくことが重要です。アプリとデータを分けて考え、少なくとも守るべきデータはデータ保護に最適な環境に置く、という選択肢もあるかも知れません。

例えば、データベースがOracle Databaseであれば、堅牢なデータセキュリティが構築しやすいオンプレミスのOracle ExadataやOracle Database Appliance（ODA）を選択する、クラウドであれば、セキュリティファーストで設計され、全てのセキュリティ機能がデフォルトでオンになっているというセキュリティの高さを強みとするOracle CloudやExadata Cloudを選択するのも一つの考え方かも知れません。

セキュリティ対策の費用は直接的に利益を生み出すものではないため、経営的にはネガティブに捉えられ、予算を抑えるという方向に傾きがちです。

しかし、売上や利益を生み出すのも日々の企業活動が通常の状態で継続できてこそです。

セキュリティ対策のための費用を含めたリソースは、企業にとってはビジネス継続のための「投資」であると考え、「侵入させない境界防御」と合わせて「ターゲットであるデータの保護」の両輪を実施することを、ぜひご検討ください。

アシストでは、境界防御とデータ保護の両輪において、様々なサービスやソリューションを提供しています。お困りの際や支援が必要な際はお気軽にお問い合わせください。

企業の最重要な資産のひとつであるデータベースをクラウドに移行する際、セキュリティで押さえるべき基本とは？

執筆者情報

• 渡邊 敦

2017年入社。Oracle Databaseのプリセールス業務を担当。
あわせて、長年のOracle Databaseセキュリティ製品のフィールドエンジニア経験を活かして、データベースセキュリティ全般の提案／啓蒙活動も担当し、二足の草鞋で活躍中。...show more