注目すべきは「サプライチェーンリスク」「資産・脆弱性」「ID」の管理

NIST CSFで“全体俯瞰”する　2025年からのランサムウェア対策（事前対策編）

2025年02月10日 08時00分更新

文● 福澤陽介／TECH.ASCII.jp

　2024年6月に公表されたドワンゴ／KADOKAWAグループの被害以降、企業が本格的にランサムウェア攻撃によるビジネス被害を意識し始めている。特集の第1回で解説したように、ランサムウェア攻撃の本質は「身代金目的の脅迫を行う犯罪ビジネス」であり、攻撃手段を問わない。そのため、特定のマルウェアや攻撃手法に捉われていても、対策コストや人的リソースも無駄に消費してしまう。

　そのため、これからのランサムウェア対策には、特定のセキュリティ製品や部分的な対策に依存せず、保護対象のシステムや社内のプロセス、セキュリティポリシーなどを「全体俯瞰」して、問題点を可視化することが求められる。加えて、攻撃側の進化に対応しきれないことを考慮して、侵入後の被害を最小限に食い止める事後対策の検討も必要だ。

　この「全体俯瞰」に役立つのが、NIST（米国立標準技術研究所）が定めている「NIST サイバーセキュリティフレームワーク（NIST CSF）」である。セキュリティ対策の汎用的なフレームワークとして、事後対策や復旧まで広範囲にカバーしているのが特徴で、ランサムウェア対策にも応用できる。

　連載の第2回では、このセキュリティフレームワークの最新版「NIST CSF 2.0」をベースに、事前対策に必要な要素やソリューションを紹介する。

NIST CSF 2.0

ガバナンス：注目すべきはサプライチェーンリスクマネジメント

　NIST CSF 2.0は、2024年2月に公開された。初版であるCSF 1.0からの大きな変更点のひとつが、フレームワークの構成要素に「ガバナンス（GV）」機能が追加されたことだ。

　CSF 1.0では、業種や企業規模に依存しない共通のセキュリティ対策を体系立て、5つの機能「特定（ID）」「防御（PR）」「検知（DE）」「対応（RS）」「復旧（RC）」に分類し、各機能の下に計23個のカテゴリを設けていた。新たに追加されたガバナンスは、既存の5つの機能に作用し、各施策を推進するうえでの“優先付け”をサポートする役割を担う。

CSF 2.0の構成（NIST CSF 2.0のドキュメントより）

　ガバナンスの6つのカテゴリをランサムウェア対策にあてはめた場合の施策は、以下の通りだ。

・「組織の文脈（GV.OC）」：ランサムウェア被害を想定して、意思決定に必要な企業のミッションやステークホルダーの期待、依存関係、法律上・規制上・契約上の要件などを整理する
・「リスクマネジメント戦略（GV.RM）」：ランサムウェア被害時のリスク判断のために、企業の優先順位や制約、リスクの許容度や選好などを定める
・「役割、責任、および権限（GV.RR）」：ランサムウェア被害時における、対応・復旧を推進する、または説明責任を果たす関係者の役割、責任、権限を定める
・「ポリシー（GV.PO）」：ランサムウェア対策のセキュリティポリシーを定める
・「監督（GV.OV）」：ランサムウェア攻撃のリスクマネジメントやその成果を、情報提供したり、レビューしたりする体制を築く
・「サプライチェーンリスクマネジメント（GV.SC）」：ランサムウェアのリスクマネジメントに、関係者や取引先、委託先などのサプライチェーン、利用するサービスなどを含める

　これらの施策の中で重要なのは「サプライチェーンリスクマネジメント」である。第1回で述べたとおり、現在では関係者や取引先、委託先などのサプライチェーンも企業の攻撃対象領域になっており、ガバナンスの段階からそのリスクを意識する必要がある。

　まずは、サプライチェーン対策の基本方針を定め、セキュリティ対策の基本方針に統合する。そして、現在のサプライチェーンを整理して、ランサムウェア被害時の優先順位付けをする。ランサムウェアの対応・復旧における計画やプロセスにも組み込んで、テスト実行時にも、サプライチェーンをその対象に含める。

　ここでキーワードとなるのが「セキュリティ前提の契約」だ。特にデータ管理については、個人情報保護法でも“委託先への適切な監督”が求められている。取引先や委託先との契約時には、ランサムウェア対策の基本方針に則ったデータ管理体制を要求すべきだ。また、第1回で紹介したイセトーのランサムウェア被害では、契約上では消去されているはずだった個人情報が漏えいした。このことから、既存のあらゆる契約を見直し、遵守状況も定期的に確認することが必要になる。

　トレンドマイクロのセキュリティエバンジェリストである岡本勝之氏は、「システム開発や人材派遣、クラウドサービスなど、様々な契約において、リスクをどう抑えるかを事前に考慮しなければいけない。また、イセトーの事例から、契約の遵守状況を把握することも求められている」と、2024年のサイバーリスクを振り返る説明会で述べている。

セキュリティ前提で見直すべき契約の例（トレンドマイクロの資料より）

特定：ランサムウェア対策の入り口となる資産管理・脆弱性管理

　続いて、企業内のセキュリティリスクを把握する「特定」機能を見てみよう。特定の3つのカテゴリをランサムウェア対策にあてはめた場合の施策は、以下の通りだ。

・「資産管理（ID.AM）」：ランサムウェア被害時の影響範囲特定や対応・復旧のために、ビジネスにおいて必要な資産（データ、ハードウェア、ソフトウェア、システム、施設、サービス、人材）を把握する
・「リスクアセスメント（ID.RA）」：ランサムウェア攻撃の侵入口となる組織や資産、個人における脆弱性を特定・管理する
・「改善（ID.IM）」：ランサムウェア被害時の対応・復旧に対するプロセスや手順を、定期的にテストして、更新する

　NIST CSF 2.0において、“ランサムウェア対策の入口”となるのが「特定」の機能である。企業内の資産を把握することで、ランサムウェア被害の影響範囲を特定し、ラテラルムーブメント（ネットワーク侵入後の攻撃範囲拡大）による被害拡大を防ぐ。企業の抱えるリスクも把握しなければならない。最近のランサムウェア攻撃においては、侵入経路の8割以上がVPNやRDPの脆弱性であることから、事前対策における脆弱性の特定と管理は必須事項だ。

　実際に、トレンドマイクロ製品の実データをみると、ランサムウェアに感染した組織は平均よりもリスク指標が高く、リスクの可視化から対策を進める重要性が浮き彫りになっている。

法人組織のリスク状況とランサムウェアの感染状況（トレンドマイクロの資料より）

　こうした背景から、外部公開された資産のセキュリティリスク（攻撃対象領域）を可視化・管理する「ASM（アタックサーフェスマネジメント）」のソリューションに注目が集まっている。経済産業省も、クラウド利用の拡大やコロナ禍によるリモート化によってサイバー攻撃の起点が増加したことを懸念して、2023年5月に「ASM導入ガイダンス」を公開している。

　一方、把握している企業内の資産における脆弱性の特定・管理には「脆弱性管理ツール」が用いられる。企業の資産は加速度的に増加しており、脆弱性に対応しきれないという課題を解決するツールでもある。しかし、脆弱性管理クラウドyamoryが実施した2023年12月の調査では、脆弱性対策（構成管理、脆弱性情報収集、脆弱性検査など）を実施しているのは58%の企業にとどまり、実施している企業でも約35%が「パッチ適用などの対処」ができていないのが現状だ。

防御：不正アクセスや特権ID奪取を防ぐID管理・アクセス制御

　事前対策の最後は「防御」の機能である。防御における5つのカテゴリをランサムウェア対策にあてはめた施策は、以下の通りだ。

・「ID管理・認証・アクセス制御（PR.AA）」：ランサムウェア攻撃の不正アクセスを防ぐべく、資産へのアクセスを許可されたユーザーやサービス、ハードウェアに限定する
・「意識向上およびトレーニング（PR.AT）」：ランサムウェア攻撃に備え、企業内の役割に応じたセキュリティトレーニングを実施する
・「データセキュリティ（PR.DS）」：データの機密性・完全性・可用性を担保して、バックアップ体制を構築、定期的に復旧テストをする
・「プラットフォームセキュリティ（PR.PS）」：ランサムウェア攻撃の侵入を防ぐために、物理・仮想プラットフォームのハードウェア、ソフトウェア、サービスの機密性・完全性・可用性を担保する
・「技術インフラのレジリエンス（PR.IR）」：ランサムウェア攻撃の被害拡大を防ぐために、ネットワークのセグメントを保ち、技術インフラのレジリエンスを確保する

　防御におけるポイントは、「ID管理、認証、およびアクセス制御」だ。企業の資産に対するアクセスを守ることは、ランサムウェア攻撃における不正アクセスや特権IDを奪取してシステムを掌握されることを防止する。加えて、社内ネットワークの境界を守ればよかった「境界型防御」から、すべてのアクセスを信頼しない「ゼロトラストセキュリティ」へ移行する中で、真っ先に対策すべき領域となっている。

　この領域では「IAM（ID管理・認証・許可）」や「IGA（IDガバナンス管理）」「PAM（特権アクセス管理）」などのソリューションがあるが、現在導入が進むのが、クラウドベースで提供されるID管理の統合サービス「IDaaS（Identity as a Service）」だ。デロイトトーマツミック経済研究所（mic-r.co.jp）の「個人認証・アクセス管理型セキュリティソリューション市場の現状と将来展望 2024年版（2024年3月15日発刊）」では、2023年度のIDaaSの市場規模は前年度対比131.7%の1305億円と急成長を遂げており、同市場におけるシェアは67.2％を占める。

個人認証・アクセス管理型セキュリティソリューション市場規模推移（出典：デロイトトーマツミック経済研究所）

　IDaaSでは、多要素認証（MFA）やシングルサインオン（SSO）によってユーザー認証を強化したり、アクセス管理によってアクセスの可視化や制御を行ったりすることで、不正アクセスを防ぐことができる。また、昨今では、IDの悪用による不正アクセスや不正行為を検知・対応する「ITDR（Identity Threat Detection and Response）」というソリューションも登場している。

　引き続き、次回（第3回）記事では、NIST CSF 2.0をベースに「事後対応（検知・対応・復旧）」に必要な要素を紹介する。

■関連サイト