セキュリティでのレジリエンス(回復力)の重要性
情報システム部門(情報システム子会社)向け
<概要>
本コラムでは『セキュリティ・インシデント』からのレジリエンス*¹(回復力)を分析します。
その際、『ランサムウェアでのファイル・サーバーの感染』を例題にし、情報システム部門の動きを検証します。
*¹ レジリエンス(resilience)…回復力、復元力。2015年頃より、パブリック・クラウドの全損に対する企業の生き残りを例える用語として、IT業界で使われるようになった。従来のDR(デザスター・リカバリ)は、自然災害を前提とした災害復旧であったが、レジリエンスは、自然災害の要因以外でも、パブリック・クラウドの事業の停止/カントリー・リスク、サイバー・セキュリティによるシステムの長期閉鎖などで利用できなくなった際の『回復力』を示している。
1,『ランサムウェアでのファイル・サーバーの感染』とは
『ランサムウェアに感染する企業』は、2015年あたりから急激に増え、セキュリティ対策やCSIRTの組織を実装した企業も確認されます。また、この8年間で、『ファイル・サーバーの復元』を実施した企業もあり、具体的な結末まで確認できた企業もありました。
『復元できているから情報システム部門は、安堵(あんど)している』と思っていましたが、実際には、『ランサムウェアからの復元の現場』を見てみると、修羅場(しゅらば)と言える『紙一重の復元』をした情報システム部門が確認されます。どうして『ランサムウェアに感染』してから8年も経過しているのに、安堵(あんど)できないのでしょうか。
図1,一般的なランサムウェアの感染経路
この図1では、企業のネットワークの中でも、ファイル・サーバーを中心とした構成図が描かれています。
<流れの説明>
1、『社内の従業員』や『リモート・アクセス』のPCが、『ランサムウェア』と総称される、exeファイル等をPCにダウンロード
2、C&Cサーバーに感染したPCの「IPアドレス、各種設定値」が抜かれ、Cドライブに相当する各種フォルダと、mount*²されたファイル・サーバーの「共有フォルダ」が暗号化される。
*² mount(マウント)…1980年代より、Unix機に対して、他のUnix/Windows機のディスクをファイル・システムとして、アクセスできるように、ディスクをネットワーク経由で接続している状態をマウントと呼ぶ。NFS(Network File System)などが有名。
2,『ファイル・サーバー』の「共有フォルダ」の暗号化とは
『ランサムウェアに感染』し、『感染者からの第1報』が電話で入ります。下の図2では、①『海外に駐在する役員』より、現地時間で電話での一方が入りました。この電話は、(CSIRT構築企業の場合)CSIRTが電話を受けるか、情報システム部のヘルプデスクが受けるかなど、企業により受け取る組織と時間が異なります。
図2,ファイル・サーバーの感染の確認
図2では、感染したPCが常時mountしている共有フォルダ3個(通称F、G、Hドライブ)が暗号化されたことを、②日本の情報システム部門が確認します。この時点で、個人のPCは復元せず(身代金も払わず)と規定通りの動きとなり、情報システム部門の判断は確定します。
しかし、こと『ファイル・サーバー』に関しては、『復元するのか?』『廃棄するのか?』決めていない情報システム部門が散見されます。この決めは、BCP(事業継続計画*³を策定した際、RPOとRTOで「どのデータ」を「どのくらいの時間で復元/廃棄すべき」か、規定していれば問題なく進められます。あるいは、全損を前提としてBCPを策定していなかったなど、過去の施策を再考する必要があるでしょう。
*3 『IT サービス継続ガイドライン 改訂版』2012年、経済産業省(旧事業継続計画ガイドライン)2011_IoformationSecurityServiceManagementGuidelineKaiteiban.pdf (ndl.go.jp)
3,『バックアップ・データの保全』とは?
『ランサムウェアに感染した企業』は、次のステップで『従業員』への告知を急いでいることが分かります。これは、セキュリティ教育の手順で予定通りの流れです。
図3,『バックアップ・データの保全』
しかし、筆者が最も気なるケースは、一般的な企業では、従業員向けの手順のみを実施し、肝心な『情報システム部門だけの手順』が無いことです。ここで、図3では、①ファイル・サーバーのshutdownを実施し、隔離を行います。②バックアップ・サーバー保全のため、ネットワーク・ケーブルを抜き、オフライン化を実施します。③では、さらにバックアップ・サーバーのバックアップのスケジュールを停止し、保全を開始します。
②③は、従業員は知らなくていい(告知する必要はない)ことです。情報システム部門だけの作業となります。この『保全』作業がない企業がこの8年間で確認できます。先に筆者が提示した、この企業こそが「安堵(あんど)できなかった企業です。
▼バックアップ・サーバーのバックアップ・スケジュールを停止せず、感染済みのファイル・サーバーをバックアップし、ベンダーからバックアップ・サーバーが使えないと告げられた
▼とは言え、バックアップは1筐体しかないため、感染済みと言われようと、社員だけで、「共有フォルダ」(通称F、G、Hドライブ)をリストアした。
4,『旧ファイル・サーバーヘのリストア』の危険性
暗号化された、「共有フォルダ」をバックアップ・サーバーから『旧ファイル・サーバー』か『新ファイル・サーバー』に復元するかは、意見が分かれます。修羅場の中の情報システム部門では、同じように稼働でき、リストア時間が短い『旧ファイル・サーバー』に、3フォルダだけバックアップ・サーバーからリストアする意見が多いです。これは「確実であり、時間もかからない」と固執する部門長や「システムに無関係な役員」が出て来ます。
図4,感染済みの旧ファイル・サーバーへリストアしない
しかし、隔離中の『旧ファイル・サーバー』をアンチウィルスのフルスキャンを実施した程度で、『未感染』=『陰性』と呼べるでしょうか。私たちのコロナ検査の際も『抗原抗体反応』では『陰性』と出たが、その後『PCR検査』で『陽性』と出た場合もあります。
このような、C&Cサーバーに既にファイル・サーバーのIPアドレスや各種設定を盗まれた疑いがある状態では、暗号化された旧ファイル・サーバーを継続利用することは、危険です。コロナの際に、『陽性』を隠して出社し、同僚や同じ部屋の人に感染させるような行為になりかねません。
5,『保全されたバックアップ・サーバーよりリストア』とは
反対意見も多い中、『新ファイル・サーバー』をセットアップし、保全されたバックアップ・サーバーのフルバックアップより、リストアを開始します。このOSから再インストールを含めた作業で3日ぐらいの日時は必要です。さらに、差分(ディファレンシャル)、増分(インクリメンタル)で、追加リストアが必要な場合、追加作業が発生します。
図5,『保全されたバックアップ・サーバー』よりリストア
図5の『新ファイル・サーバー』ですが、「感染して隔離済みサーバー(赤枠)」の冗長化構成(クラスタ構成)の片系は使えません。既に感染している可能性が有るからです。そのため、DR(デザスター・リカバリー)用として、遠隔地の『災害時用ファイル・サーバー』や、年に1回のDR訓練で利用するサーバーを有効利用することも考えられます。
また、次回の『ランサムウェアの感染』に対応するため、共有フォルダ3個(通称F、G、Hドライブ)だけは、『パブリック・クラウドのBOX』や、『AWSを利用しているFILE FORCE』などに退避させる選択肢も入れます。さらに昔から慣れ親しんだ『オンプレNotes』などを復活させ、文書を感染より守ります。これは、BOX/FILE FORCE/オンプレNotes は、フォルダをmountしていないため(独自のmount方式のため)、感染に強いとも言えます。
このレジリエンス(復元方法)を役員にCSIRTの組織から説明します。この場合、先日まで1個のファイル・サーバーだったものが、2か所の分散保管として始まり、1週間以上は移行に時間がかかります。ただ、次回も同じ感染が予測されるため、単純なファイル・サーバーの復元を実施するのは避ける考慮が、レジリエンスとしての復元です。
必要なことは、ハッカーが次回攻撃した際、ファイル・サーバーのmountを廃止し、共有フォルダを別筐体にして分散保管することです。さらに、次回に向けと『バックアップ・データの保全』の訓練も検討しておくべきです。
6,『リストア作業』をCSIRTが実施できるか
これまでの図1~5の作業を、最近組織されたCSIRTが実施できるでしょうか。セキュリティの専門家として採用された要員は、恐らく『リストア』は『スキルアンマッチ』として、他のインフラ要員に引き取らせることもあるでしょう。
図6,『CSIRT構築』企業へのインタビュー
昔からの「インフラ要員」も、「新ファイル・サーバー」のOSからの全部の復元は、腰を引くと思います。なぜなら難しいからです。ここで、復旧に関して、『PCは処分』『ファイル・サーバーも処分』など、基準を決めておいた方がいいでしょう。図6は、最近セキュリティのインシデントで活躍しているCSIRTの組織で、素朴な『リストア』に関するインタビューが記載されています。
役員がCSIRTを20名体制の組織を作ったという話です。しかし『復元』は、図6の「特定」「防御」よりも遥かに難しく、誰もができず、結局「インフラ要員」の作業となってしまいます。
7,全国的に『対応』『復旧』への強化は、15%前後に留まる
図7では、日本情報システムユーザー協会(JUAS)が2022年に調査した、セキュリティ・インシデント発生時に強化している箇所を示しています。例えば、「経営層はセキュリティ・リスクを経営課題に」と回答している企業であっても『対応』11.3%と『復旧』3.2%、合計14.5%程度しか強化の意識がないということです。つまり、インシデントが『起きる前』の強化が8割で、『起きた後』は興味がない、と企業では思っていると理解できます。
図7,『インシデント発生後』も重要としている企業は、わずが14%
8,インシデントが『起きた後』も強化せよ
もし図7のように、インシデント発生後に興味がないのであれば、現在構築済みのCSIRTの対象範囲を変えて、『危機管理委員会』のように、全ての危機に対応できる『チーム』ではなく『委員会』として、予算を立て「インフラ要員(レジリエンス要員)」を選抜させ、事務局も作った方が良でしょう。
図8,『CSIRT構築』を再考し『危機管理委員会』へ昇格させる
また、インシデントが発生してから復旧するまでの『最低遂行要員』の「社員」を換算しておくべきでしょう。これは、「昔いた委託先の〇〇氏ならできる」という議論ではなく、全てのランサムウェアの被害を『想定内』として、自力で復旧する体制になります。この人数から逆算すると、そもそも情報システム部(危機管理委員会)の人数が決まります。
企業の情報システム部門は、『ランサムウェアを残念な被害』と考えず、レジリエンスを重要視した施策に切り替える『良い機会』として、積極的な体制強化が望まれます。
執筆者
石橋正彦(いしばし まさひこ)
株式会社Dirbato(ディルバート)
コンサルティンググループ
中央銀行、都市銀行/信託銀行にてDR(災害対策)やHA(冗長化)を構築。VERITAS Software(旧シマンテック、現VERITAS Technologies )にて、ディザスタリカバリに従事。BearingPoint(現PwC)ではリスク・コンサル、Gartnerにて、リスクの市場調査を経験。
2021年 経済産業省『ITサービス継続ガイドライン』(旧BCPのガイドライン)執筆者。
趣味は歴史(日本語起源、百済史など)白村江の戦い、帰化人(渡来人)の歴史に興味あり
<筆者の最近の寄稿>
第1回:本格化するDXビジネスでIT部門は活躍しているのか? - ZDNET Japanセキュリティ・ビジネス・モデルとは(前編)|Dirbato公式|note
セキュリティ・ビジネス・モデルとは(後編)|Dirbato公式|note
#セキュリティ #ディザスタ #リカバリ #復旧 #リストア #レジリエンス