内閣サイバーセキュリティセンター（NISC）を見ていきましょう！その3

2024年12月18日 10:05

皆様、こんにちは！
株式会社カチカのリモート＆コールドバックアップ業務担当の村島です！
あー、寒い。
私は…そうですね、1週間ぐらい前から寝床をフル装備にしました。
暖かくて気持ちいい…。
起きるのが嫌になりますね。冬眠したいぐらいです。
でもまあそんなわけにもいかないので、今日もレッツスタディセキュリティ！なのです。

(2) 【予防】データの暗号化による被害を軽減するための対応策

さてさて、今日もこの資料なのですが。

内閣サイバーセキュリティセンター
「ストップ！ランサムウェア特設ページ」より
（以降、特記なき場合同資料からの引用とします）

ここですね。その中から「重要インフラ事業者等向け注意喚起」を見ていたんでした。
そして今日見ていくのはこの↓ページからでした。

【予防】【検知】【対応・復旧】となっていまして、この4つの備えが重要と謳っているのになんだか予防がやたらに分厚い記述の割にあとの3つは控えめですが。
まあとりあえず見ていきましょうか。

(2) 【予防】データの暗号化による被害を軽減するための対応策
従来のランサムウエア対策の常套手段であったバックアップは、引き続き有効です。

「従来のランサムウエア対策の常套手段であったバックアップは、引き続き有効」とのことですので、やっぱりセキュリティソフト、定期的なマルウェアスキャン、そしてバックアップということでしょう。
これはもう毎回言っているようなことなのですが、

バックアップの3-2-1ルール
バックアップの3-2-1-1-0ルール
バックアップの5-2-1ルール

どれを取ってもそうなのですが、コピーを何部か作成し、そのうちの1つを読み書き不可能な状態で置いておくというのを強く推奨しています。
ITの世界というのは誠に移り変わりが激しいもので、皆様もうお忘れかも知れませんが、東日本大震災によって問題が顕在化した「バックアップを取っておいても、オリジナルと同じところに置いておいたら両方被災する」というディザスタリカバリ（ディズアスター・リカバリー＝DR）という問題があることもぜひお忘れなきようお願いいたします。
次行きましょうか。

これに加え、2重脅迫ランサムウエアに感染した場合は、組織の機微データや個人情報流出の懸念があることから、「機微データの厳格管理」については、改めて検討する必要があります。

なんか、具体的な対策が書いてあるのかと思いきや書いてないんですが、一応下に「チェックポイント」があるので見てみましょう。囲み記事ですね。

チェックポイント
●重要なデータに対する定期的なバックアップの設定を確認する。バックアップの検討に当たっては、ランサムウエア感染時でもバックアップが保護されるように留意する。例えば、ファイルのコピーを3個取得したうえで、ファイルは異なる2種類の媒体に保存、コピーのうち、1個はクラウドサービスや保護対象のネットワークからアクセスできない場所等に保管するといった対策等を検討する。
●バックアップデータから実際に復旧できることを確認する。
●公開された場合、実際に支障が生じるような機微データや個人情報等に対して、特別なアクセス制御や暗号化を実施する。
●システムの再構築を含む復旧計画が適切に策定できていることを確認する。

これもこのnoteで何回も申し上げてきたことではあるのですが、まずバックアップする媒体はランサムウェア感染時でもバックアップが保護されるように注意する…とのことです。
以前にもこの辺ご説明申し上げましたとおり、バックアップを作成するわけですが、まあ1つはオリジナルです。あと2つコピーを作るというわけなんですが…これって、現実的には「クラウド」と「HDDまたはSSD」しかないと思うんですよね。
そしてクラウドというのは、厳密に言いますと、少なくともランサムウェア対策としてのバックアップにはなっていないように思うんです。
ランサムウェアというのは、ネットワークの隙を突いて侵入してきます。そして侵入してきてしまえば、オンプレミスに保存されていようがクラウドの向こうに保存されていようが、ネットワークを通じて好き勝手に動き回ります。
ですので前回の記事にも書きましたように

バックアップが機能しなかった割合
警察庁発表資料令和６年上半期におけるサイバー空間をめぐる脅威の情勢等についてhttps://www.npa.go.jp/publications/statistics/cybersecurity/data/R6kami/R06_kami_cyber_jousei.pdf

3/4近くがバックアップも暗号化されてしまうわけですね。
やはりここはメインのバックアップはSSDかHDDにバックアップして、何も接続されていない状態で、大切に保管しておくというのが一番いい手なのではないかと私は思います。
いえ、そういうバックアップをするんなら他は要らないと言っているわけではないんです。ぜひ、クラウドのバックアップサービスも併せてご利用下さい。
ただ、クラウドのバックアップサービスには欠点があります。上記しましたような大規模災害が起こったとき、果たしてネットワークを使うことはできるのだろうか、とか、すぐ上に書きましたがマルウェアが侵入したときにはまずルーターを切ることが大事ですので、クラウドのバックアップからリストアすることができない、とか。
これも何回出て来た絵だよと思われるかも知れませんが、

この図の赤枠内がクラウドにつなげないとき、あるいは赤枠内をクラウドにつないだら問題が起きそうなとき、一番安全なのはオフラインで、しかも遠隔地に保存しているバックアップということになると思います。
というわけでオフラインバックアップかつ遠隔地バックアップというものをお考えいただきたいのです。
そしてさらに世代管理オプションをご利用いただければより強固なセキュリティ対策ができると思います。より強固なセキュリティ対策とは

このように、ここでは1ヶ月に1回、半年分を世代管理と仮定して作図しておりますが、過去数回分のバックアップはキープしておくということになります。
これならば、いつ頃マルウェアに感染したのかわかっていればその直前のバックアップから復旧することで正常な状態に戻すことができます。
そしてこれも何回出したやらという図ではあるのですが

弊社が提供しておりますオフラインバックアップ（コールドバックアップとも呼ばれます）は、どうしても即時性に欠けます。仮に1ヶ月に1回の頻度でオフラインバックアップを承りますと、最大で1ヶ月前の状態にしか戻すことができません。
しかし、1ヶ月前の状態を取り戻すことができたのなら、最低限の業務は回ることが多いかと思います。
そこからは、即時性の高いオンラインバックアップ（ホットバックアップ）から復旧できるようならそこからリストアするか、もしバックアップのさらなる多重化がしてあるのであれば、そこからの復旧ということも考えられます。
ですので、弊社ではハイブリッドバックアップ（複合バックアップ）を推奨しているわけです。
ただ、重要データが全部暗号化されてしまってはもう手の出しようがありませんね。
2重脅迫ランサムウェアという言葉がここでは使われていますが「読めるようにして欲しければカネ払え」「よそにバラ撒かれたくなかったらカネ払え」というふたつの要求をしてくるタイプのランサムウェアですね。
オフラインバックアップでデータの方は何とかなっても、情報漏洩に関しては本当にどうしようもないと思うんですね。
だから、この資料には具体的にどうしたらいいのかということが書いてないんですよ。

2重脅迫ランサムウエアに感染した場合は、組織の機微データや個人情報
流出の懸念があることから、「機微データの厳格管理」については、改めて検討する必要があります。

これ、私なりに翻訳します。
「組織の機微データや個人情報など外部に漏れたらまずいデータについては、現行の管理体制を見直して改善しなさい。そして、改善できた上でなおデータの流出があった場合、諦めて関係各位に謝罪しなさい」
だって、私も「ランサムウェアにやられない対策」までは考えつけても「ランサムウェアに感染してデータ流出するぞと脅されたら」までは全く思いつけないんですよ。
以前にも言ったと思うんですが「流出させて欲しくなければ●百万払え」→「払いました」→「嘘だよーん、流出させて欲しくなければもう●百万払え」ってことだってあり得るわけですからね。だったら最初から諦めた方がいいっていう話です。
そういうことのないように、データは厳重管理して下さいっていう話だと思います。
ただ少なくとも、バックアップを取っておけば第一の脅迫「復号化したければカネ払え」は躱すことができます。

チェックポイント

チェックポイントというのが出てますね。

チェックポイント
●重要なデータに対する定期的なバックアップの設定を確認する。バックアップの検討に当たっては、ランサムウエア感染時でもバックアップが保護されるように留意する。例えば、ファイルのコピーを3個取得したうえで、ファイルは異なる2種類の媒体に保存、コピーのうち、1個はクラウドサービスや保護対象のネットワークからアクセスできない場所等に保管するといった対策等を検討する。
●バックアップデータから実際に復旧できることを確認する。
●公開された場合、実際に支障が生じるような機微データや個人情報等に対して、特別なアクセス制御や暗号化を実施する。
●システムの再構築を含む復旧計画が適切に策定できていることを確認する。

まあ、1項目めはこのnoteでさんざん繰り返してきていることです。この例ですとバックアップの3-2-1ルールのことを言っているんでしょう。オリジナルも含めて、媒体は違うけど記録内容は同じというものを3つ作った上で、1つはクラウドサービスや保護対象のネットワークから隔絶されたところに置くと。
これはまさに弊社の基本サービスです。隔絶するも何も、基本的にPC等には接続せずにストレージを管理いたしますし、バックアップの状態のチェックの時にも基本的にはオフラインPCを利用します。ネットワークに繋がっている時間はほとんどありません。
もし弊社がPCをネットにつなぐとしたら、深刻なダメージが予測されるアップデートが発表されたときだけです。そしてアップデート後にはセキュリティソフトでチェックを行っております。
こういった意味では確実にご安心いただけるものと自負しております。
2項目めも弊社で承っている業務の範囲内ですね。誠に恥ずかしながら先日私は自分用のPCのリストアで困り果ててしまったのですが、それで改めて日頃からのリストアテストの重要性を改めて認識いたしました。お預かりしておりますメディアからはリストアチェックは行っているのですが、やはりこれってすごく大事なことなんだなと。
普段からのバックアップというものには各社様全てどのようにバックアップを行うのか＝バックアップスキーム、バックアップポリシー、バックアップ戦略、いろんな言葉がありますが、そういうこともあると思うんですね。
今後はそれも意識してやっていきたいなと考えました次第です。
3項目めは、特に重要なデータに関しては特別なアクセス制御や暗号化をして下さいと。そのままですね。OSにもアクセス権限付与・禁止機能って当然載ってると思うんですが、特別なアクセス権限を付与できるソフトウェアも販売されています。そういったソフトの利用もまたひとつの手ではあると思います。
最後です。システムの再構築を含む復旧計画が適切に策定できていることを確認する、ですが、これって多分BCP（事業継続計画）のことだと思うんですよ。
ここらで一点確認しておきたいと思うんですが、BCPは、緊急時に通常事業状態にできる限りはやく戻し、もとの通常業務体制に復旧させて、事業を継続させるための計画のことです。つまり業務を継続することが目的なんですね。
一方でコンティンジェンシープランは、緊急事態に対してどのように対応して、いかに被害を最小限に抑えるかの部分に焦点があてられた計画のことです。まあ言ってしまえば防災訓練です。
いずれにせよ、いまどきコンピュータを使わないで仕事をしている会社様ってほとんどないと思いますので、何か緊急事態が起きたときにはそれまでのデータをなるべく早く利用可能にしなければいけません。
コンティンジェンシープランには必ずしもバックアップを使わなくてもいいと思うんですが、BCPには必須と言っていいと思います。
この点に関しましても、弊社はご相談を承っております。ピンチになった時のことはピンチでないときから考えておかねばならないものだと私は思います。ぜひ、軽い質問からで構いませんので、ご相談下さい。

といったようなところで、例によってちょっと長くなりましたので、続きは次回にまわしますね。
次回は「検知」と「復旧」の項目になりますでしょうか、ご説明申し上げていきたいと思います。

小括

今回もまたまた内閣サイバーセキュリティーセンター　重要インフラグループが発表している文書「ランサムウエアによるサイバー攻撃に関する注意喚起について」を読んでいきました。
現在、私も把握できないぐらい、世界中にランサムウェアに対する譲歩提供を求める告知や警告があります。
それも、国単位から民間企業に至るまで、本当に様々なんです。
このnoteでは、なるべく国そのものあるいは国が大きく関わっている機関のデータをまとめていきたいと思います。
なるべくなら、激甚災害があったときに被災した人々のデータも欲しいなと思っているのですが、そういうものはなかなか出て来ませんね。
そういったものの性質上、仕方のないことなのでしょうか。
それでも力の限り努めてまいりますので、今後ともよろしくお願いいたします。
今日もありがとうございました。
今後ともよろしくお願い申し上げます。