セキュリティの
学び場

今回の解説ニュース

組織のサーバや端末に対して、同時多発的にデータを暗号化する、大規模なサイバー攻撃が発生したということです。被害を受けた上場企業の決算発表も遅れるなど、大きな影響が発生していますので、インシデントの内容やその対策について説明します。

今回のインシデントでは、組織の情報ネットワークにて、大部分のサーバ及び一部の端末に対し、同時多発的に全部または一部を暗号化するサイバー攻撃が発生したということです。同社では被害を封じ込めるために、全サーバの停止と社内外のネットワークの遮断を行ったとされています。

被害の状況について、障害の対象となる情報システムのいずれにおいても、システムの起動そのものが不可能であること、サーバの早期復旧に有効な技術的手段が現状確認されていないこと、システムのデータバックアップを管理するサーバにおいても同様の状況でデータの復旧に有効な技術的手段も現状確認されていないことが報告されています。

また、情報漏えいの可能性について調査したところ、サーバで管理していた企業情報及び個人情報の一部流出した可能性を確認したということです。

システムダウンの復旧のために考えておくべきポイント

システムダウンの復旧のために考えておくべきポイントとして、情報セキュリティ3要素のうち、可用性が特に求められます。

可用性はセキュリティ3要素の1つで、権限を持った人が情報資産を必要なときに使用できることです。重要なデータのバックアップやシステムの冗長化など、事業を継続させるために必要な計画とも深くかかわってきます。システムを冗長化させる方法として、「ホットスタンバイ」と「コールドスタンバイ」の2種類があります。

ホットスタンバイは、冗長化 させるシステムの電源をすべてオンの状態にしておき、障害が発生したら直ちに自動でシステムが切り替わる構成です。復旧するまでの時間がかからない一方で、自動復旧に対応した機器やソフトウェアが必要になります。

コールドスタンバイは、冗長化させるシステムの電源はオフの状態にしておき、障害が発生してからスタンバイ機の電源をオンにてシステムを切り替えます。復旧するまでの時間はかかりますが、人が機器を手動で置き換えることもでも実現可能でます。

これらは、稼働しているシステムと稼働していないシステムが存在する「アクティブ・スタンバイ」の構成ですが、その他にも、すべてのシステムが稼働している「アクティブ・アクティブ」の構成や、データベースで使われる「マスター・スレーブ」の構成などがあります。

バックアップの仕組みを考えるうえで気を付けること

バックアップの仕組みを考えるうえで、バックアップのデータを保護することと、バックアップの復旧手順を整備しておくことが必要です。それぞれについて説明します。

バックアップのデータを保護すること

まず、バックアップのデータを保護することが必要です。仮に、ランサムウェアに感染してしまった場合、バックアップのデータも暗号化されてしまっては復旧することができません。そこで、特に重要なデータは、オンラインでつながっていない外部記憶媒体に保存して、オフラインで保管することが必要です。物理的なインシデントも考慮して、外部記憶媒体はシステムとは別の場所に保管しておくとさらに良いでしょう。クラウドサービスを利用している場合は、クラウド事業者がシステムと切り離してバックアップのデータを保護してくれている場合もあるため、オンプレミスの環境と比較して楽かもしれません。

バックアップの復旧手順を整備しておくこと

また、バックアップの復旧手順を事前に整備しておくことが必要です。これは、どのような手順でデータを復旧するかを手順書として文書化するだけではなく、手順書通りに作業して本当に復旧できるかのテストも含まれます。確かにバックアップは取れていたとしても、実は復旧手順が十分ではなくて、実際にインシデントが起こった際に、復旧するまでの時間が想定以上にかかってしまったり、最悪の場合は復旧できないことも考えられます。

今回のインシデントでは、一度の攻撃でサーバの大半が同時攻撃を受けたため本社を含め全ての事業拠点が同様の事態となり、BCPで想定した事態を大きく上回る状況となったということです。すべてのインシデントを事前に想定することは不可能ですが、防災訓練や避難訓練と同様に、最悪のケースを想定した情報セキュリティの可用性について、今一度考えてみてはいかがでしょうか？