ランサムウェア対策にはサイバー警察局の実効性も重要だが、“データ復旧”が不可欠なことに変わりはない
2022年06月23日 08時00分更新
先月(2022年5月)、米バイデン大統領が1.5兆ドルの歳出法案に署名し、米国連邦政府はサイバーセキュリティと各省庁の情報技術を強化するために数十億ドルを支出する態勢を示しています。この予算案では、国の重要インフラにおけるランサムウェアなどの広範なサイバー攻撃を特定・軽減する上で、より根強い課題の1つである「サイバー侵害の情報共有と通知」にも対処することになっています。
この法案には、重要インフラの所有者および運用者に対して、サイバーインシデントや、ランサムウェアの支払いを行った場合は24時間以内に米国国土安全保障省のサイバーセキュリティインフラセキュリティ庁(CISA)へ報告することを義務付ける「重要インフラのためのサイバーインシデント報告法」(CIRCIA:Cyber Incident Reporting for Critical Infrastructure Act)が含まれています。
この新法が今後どのように運用されるかは、CISAの今後の規則策定によって明らかにされますが、それでもサイバー攻撃発生時に、企業のどこに脆弱性があるか、サイバー犯罪者は何のデータにアクセスできたのか、脅威はどのように回避できたのかといった情報を共有することの重要性が強調されました。
この法案は、近年米国を中心に活用が進んでいるセキュリティ対策として、ランサムウェアやその他の脅威の防止や検知に利用できる情報である「脅威インテリジェンス(Threat Intelligence)」を提供することに役立つと考えます。また、情報の保護と攻撃時の保全のために、IT環境にデータマネジメント、リカバリツールを組み込む必要性を示しています。
ランサムウェアを軽減するための報告書の役割
「重要インフラのためのサイバーインシデント報告法」で示される報告義務は、CISAが法律の対象となる事業者をどのように定義するかを決定した時点で公式に発効される見込みですが、これまでの方針では、重要インフラ産業に施行が限定される可能性が高いようです。
これらの業種の事業者は、対象となるサイバー攻撃を受けてから72時間以内に、また、ランサムウェア攻撃による身代金を支払った場合についても24時間以内に報告することが義務付けられています。
しかし、この法律では、サイバー攻撃そのものに関する重要な情報を保存することも求めており、ここで堅牢なデータマネジメント戦略が重要になります。
新法の下では、サイバー攻撃に直面した企業や組織は、影響を受けた情報システム、ネットワーク、デバイスに関する情報だけでなく、利用された脆弱性、実施されたセキュリティ防御策、当該インシデントに関連する戦略、技術、手順、アクセス権限を持たない個人によってアクセスされたと考えられる情報をCISAに報告しなければならなくなりました。
これらの対策により、企業は重要な脅威情報を早期に入手し、ソフトウェアシステムの強化やパッチを適用して攻撃の拡大を防ぐことができるようになることに加えて、サイバー侵害による現在の被害をどのように制限し軽減するかということに戦略的に議論を行うことができるようになるのです。
マルチクラウド、ハイブリッドクラウド、従来のオンプレミス技術を組み合わせたIT環境がより複雑化している現在、データマネジメントおよび保護ソリューションの必要性はますます高まってきています。
サイバー脅威からデータを保護する
Veeamの「データププロテクションレポート 2022」によると、3,000人以上のIT意思決定者とグローバル企業のうち89%が、障害で失う可能性のあるデータの量とそのデータのバックアップの頻度との間にギャップがあると報告しました。
また、回答者の18%は、データのバックアップを全く取っていないと回答しています。ランサムウェアをはじめとしたサイバー攻撃が増加する中、データをバックアップするだけでなく、完全にリカバリできるようにすることがこれまで以上に重要になってきています。
「重要インフラのためのサイバーインシデント報告法」は、サイバー攻撃者がどこで何を狙っているかという貴重な情報を技術リーダーに提供しますが、企業はサイバー侵害が発生した場合にデータを確実に保護し、回復できるような対応策を講じておく必要があります。
ランサムウェア攻撃を受けた場合、身代金を支払ったり、既存のバックアップに頼ったりするだけでは、サイバー侵害によって企業が被る損害を抑えることができない可能性があります。
「データプロテクションレポート 2022」よると、回答者の64%がサイバー攻撃を受けたあとに復旧できたデータは80%未満であり、およそ3分の1は復旧不可能であったと回答しています。
このような課題に直面する企業が活用できるベストプラクティスのひとつが、データマネジメント戦略に関するバックアップルール「3-2-1-1-0ルール」です。少なくとも2種類のメディアに重要なデータを3つ保持し、そのうち少なくとも1部をオフサイトに置くこと、オフサイトのデータバックアップはエアギャップ、オフラインまたは不変性が保たれていること、自動バックアップテストとリカバリ性検証でエラーがゼロであることを確認すれば、IT管理者はランサムウェアの脅威からデータをよりよく保護できるようになります。
「重要インフラのためのサイバーインシデント報告法」は、国家の最も重要な機関部門を保護する重要なステップであり、差し迫った脅威に対して攻撃を受ける前に警告することにも役立つものです。
しかしながら、これらの機関はサイバー侵害が成功した場合の被害を軽減するために、今すぐデータを保護するための対応措置を講じる必要があるのです。
この連載の記事
-
TECH
ビジネスリーダーが知っておくべき、サイバーセキュリティ対策3つのポイント -
TECH
ランサムウェアは誰でも感染する可能性がある ―すべてが失敗することに備え、データ保護戦略を策定せよ -
TECH
なぜ経営層はサイバーセキュリティ対策を優先しなければならないか - この連載の一覧へ