情報セキュリティ トピックス
総合研究部 上級研究員 永橋 洋典
※本稿は全2回の連載記事です。前回(9月号)はこちら
本コラムは、企業を取り巻く情報セキュリティ関連の事故情報・時事情報・考察などを執筆者独自の視点で選択し、時流に合わせたもしくは先取りした有益な情報提供を目指します。
本稿は、前回からの引き続きでⅣ.#StopRansamware Guide(2023-10)に学ぶセキュリティ教育とⅤ.終わりに(CSFの概念を利用したセキュリティ教育の考え方)について述べます。
長文になりますが、前回分と続けて読まれると更に各項目の関係性が分かると思います。
Ⅳ.#StopRansamware Guide (2023-10)に学ぶセキュリティ教育
(筆者仮訳を引用し、コメントを加筆しています)
注:#StopRansamware Guideは、情報技術(IT) 専門家だけでなく、サイバーインシデント対応のポリシーと手順の開発、またはサイバーインシデント対応に携わり専門知識を持つ組織内の人々を対象としているため、技術的な専門用語が多数記載されています。不明な用語がありましたら、それらの担当者にご確認ください。
ランサムウェアは、デバイス上のファイルを暗号化し、ファイルとそれに依存するシステムを使用不能にするように設計されたマルウェアの一種で、悪意のある攻撃者は、復号化と引き換えに身代金を要求します。悪意のある攻撃者はランサムウェア戦術をより破壊的かつ影響力のあるものに進化させ、被害者のデータを窃取し、盗んだデータを公開すると脅して被害者に支払いを迫るようになりました。両方の戦術を適用することは「二重恐喝」として知られていますが、最近ではDDosや窃取した情報の本人を絡めた「三重恐喝」「四重恐喝」と、恐喝手段は様々な形に展開しています。
#StopRansamware Guideは、このような展開を見せているランサムウェア攻撃に対し、対策・対応のベストプラクティスと参考資料を参照できるようにしています。そしてランサムウェアによってもたらされるリスクを管理し、インシデント発生時に組織が効率的な対応を実践できることを意図して作成されています。
今回ご紹介する内容は、2020年9月にリリースされた合同サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA) および複数国家情報共有分析センター(MS-ISAC) Ransomware Guideの最新の更新版2023年10月版で、以下のリンクよりダウンロードできます。
▼https://www.cisa.gov/sites/default/files/2023-10/StopRansomware-Guide-508C-v3_1.pdf
なお以下の変更が初版版から加えられています。
- 認証情報の漏洩や高度な形式のソーシャルエンジニアリングなど、一般的な初期感染ベクトルを防ぐための推奨事項を追加しました。
- クラウドバックアップとゼロトラストアーキテクチャ(ZTA)に対処するための推奨事項を更新しました。
- ランサムウェア対応チェックリストを拡張し、検出と分析のための脅威駆除のヒントを追加しました。
- 推奨事項をCISAのクロスセクターサイバーセキュリティパフォーマンス目標(CPG)に照らし合わせています。
#StopRansomware Guide は
パート1、パート2の2部構成になっており、以下の通り構成されています。
すべての組織がランサムウェアインシデントやデータ恐喝の影響と可能性を軽減するためのガイダンスを提供しており、インシデントの備え、防止、軽減するためのベストプラクティスも記載されています。
パート2: ランサムウェアおよびデータ恐喝への対応チェックリスト
ランサムウェアに感染し、暗号化・データ恐喝されるというインシデントに対応するためのベストプラクティスのチェックリストが記載されています。サイバーインシデント対応計画(IRP)、情報漏えい対応マニュアルなどの作成や、訓練に利用可能です。
双方とも、ハードとソフトの両面でのベストプラクティスを提供していますので、まずは対応しやすい(投資額が少ない)項目から実践すると良いと思われます。
パート1は、①ランサムウェアとデータ恐喝のインシデントの備え、②ランサムウェアとデータ恐喝インシデントの防止と軽減、③一般的なベストプラクティスと強化のガイダンス、の3つのセクションに分かれています。そしてそれぞれのセクションに個別対策のベストプラクティスが記載されていますので、事前対策として、各社で対応しやすいと思われる項目を選別して適合してみると良いでしょう。
以下に、高額な費用を掛けずに取り組み可能と思われる項目を抜粋しましたので、参考にしてください。主に、CPGsの適合が記載されている項目です。
- ランサムウェアとデータ恐喝のインシデントの備え
- 重要なデータのオフラインの暗号化されたバックアップを維持し、バックアップの可用性と整合性を定期的にテストします[CPG2.R]。バックアップをオフラインで維持することが重要です。
- 基本的なサイバーインシデント対応計画(IRP)と、ランサムウェアやデータ窃盗/侵害インシデントへの対応と通知手順を含む関連するコミュニケーションプランを作成、維持し、定期的に実行します[CPG2.S]。計画のハードコピーとオフラインバージョンが利用可能であることが必要です。
- アクセス制御の適用を可能な限り細分化します。
- ランサムウェアとデータ恐喝インシデントの防止と軽減の備え
- インターネットの接続の脆弱性と構成ミス対策
- ソフトウェアとオペレーティングシステムに定期的にパッチを適用し、入手可能な最新バージョンに更新します。
- すべてのオンプレミス、クラウドサービス、モバイル、および個人(つまり、Bring Your Own Device [BYOD])デバイスが適切に構成され、セキュリティ機能が有効になっていることを確認します。たとえば、ビジネス目的で使用されていないポートとプロトコル(たとえば、リモートデスクトッププロトコル[RDP]-伝送制御プロトコル[TCP]ポート3389)[CPG2.X]を無効にします。
- リモートデスクトッププロトコル(RDP)およびその他のリモートデスクトップサービスの使用を制限します。RDPを使用しているシステムのネットワークを監査し、未使用のRDPポートを閉じ、指定された回数の試行後にアカウントロックアウトを強制し、多要素認証(MFA)を適用し、RDPログイン試行をログに記録します。
- 多要素認証(MFA)が実装されていない場合は、在宅勤務者に15文字以上のパスワードを使用するよう要求します。
- サーバーメッセージブロック(SMB)プロトコルバージョン1を無効にし、(既存のシステムまたはアプリケーション上の)既存の依存関係を軽減した後、バージョン3(SMBv3)にアップグレードします。本ガイドでは、1.1の使用を必須としています。
- 認証情報の漏洩対策
- すべてのサービス、特に電子メール、VPN、重要なシステムにアクセスするアカウントにフィッシング耐性のあるMFAを実装します[CPG2.H]。パスワードを2つ以上の検証要素(指紋、顔認識、デバイスPIN、暗号キーなど)に置き換えるパスワードレスMFAの採用を検討してください。(費用が掛かりますが、有効な対応と思われます)
- デフォルトの管理者のユーザー名とパスワードを変更します。[CPG2.A]。
- 少なくとも15文字の一意のパスワードを要求するパスワードポリシーを実装します。[CPG2.B][CPG2.C]。(非常に高度な要求になります)
- ログイン試行が一定回数失敗すると、アカウントロックアウトポリシーを適用します。ブルートフォースパスワードクラッキングとパスワードスプレー[CPG2.G]に対するログイン試行をログに記録し、監視します。
- 年次セキュリティトレーニングで、パスワードを再利用しないことやパスワードをローカルファイルに保存しないことを強調するなど、適切なパスワードセキュリティについて全従業員を教育します。
- 管理者アカウントをユーザーアカウントから分離します[CPG2.E]。指定された管理者アカウントは管理目的でのみ使用できるようにします。
- フィッシング対策
- サイバーセキュリティユーザー意識向上およびトレーニングプログラムを実施します[CPG2.I]
- 電子メールゲートウェイにフィルタを実装して、既知の悪意のある件名などの既知の悪意のある指標を含む電子メールをフィルタリングし、疑わしいインターネットプロトコル(IP)アドレスをファイアウォール[CPG2.M]でブロックします。
- 電子メールで送信されるMicrosoft Officeファイルに対してマクロスクリプトが無効になっていることを確認します。これらのマクロは、ランサムウェア[CPG2.N]の配信に使用される可能性があります。
- マルウェア感染対策
- ウイルス対策およびマルウェア対策ソフトウェアとシグネチャの自動更新を使用します。(常に最新バージョンを利用している事)
- ソーシャルエンジニアリング対策
- セキュリティ意識向上トレーニングを定期的に繰り返して、スタッフに情報を提供し、警戒を怠らないようにします。
- サードパーティとマネージドサービスプロバイダ対策
- サードパーティまたはマネージドサービスプロバイダー(MSP)のリスク管理とサイバー衛生の実践を考慮してください。MSPは、多数のクライアント組織に影響を与えるランサムウェアの感染経路となっています[CPG1.I]。サードパーティまたはMSPが組織のバックアップの維持と保護を担当している場合は、本ガイドのセキュリティ要件をベストプラクティスとして契約してください。
- インターネットの接続の脆弱性と構成ミス対策
- 一般的なベストプラクティスと強化のガイダンス
- 組織が包括的な資産管理アプローチ[CPG1.A]を採用していることを確認します。組織のソフト的(データ、ソフトウェアなど)および物理的(ハードウェアなど)のIT資産を理解し、目録を作成します。それを安全に保管し、オフラインバックアップと物理的なハードコピーを事業所内に保管してください。
- すべてのシステムとサービスに最小特権の原則を適用し、ユーザーがジョブの実行に必要なアクセスのみをできるようにします[CPG2.E]。悪意のある攻撃者は、特権アカウントを利用してネットワーク全体にわたるランサムウェア攻撃を行うことがよくあります。
- ゼロトラストアーキテクチャー(ZTA)を実装し、組織内のさまざまなビジネスユニットまたは部門のITリソースを分離することにより、ネットワークセグメンテーションの論理的または物理的手段を採用し、ITと運用テクノロジーの分離を維持します[CPG2.F]。
- 組織のネットワーク内のシステムとデータフローを説明する包括的なネットワーク図を作成し、定期的に更新します[CPG2.P]。
- ネットワークデバイス、ローカルホスト、クラウドサービスからのログを保持し、適切に保護します。これにより、サイバーセキュリティイベントのトリアージと修復がサポートされ、ログを分析してイベントの影響を判断し、インシデントが発生したかどうかを確認できます[CPG2.T]。
パート1は、サイバーセキュリティのベストプラクティスを提示していますので、それらの中から対応していない項目があれば、スピーディーに対応を検討すべきかと思われます。CPGs準拠とは、必要最小限の実践と保護を示していますので、現状のサイバーセキュリティレベルについて、システム担当と教育担当とでこれらの実践を検討されると良いでしょう。
パート2は、組織がランサムウェアの被害に遭った場合の対応チェックリストです。組織が被害を受けたときにチェックリストを使用して対応することを強く推奨しており、ステップがナンバーリングされています。全体のチェック手順は、①検出と分析、②報告と通知、③封じ込めと駆除、④復旧とインシデント後の活動、の4フェイズに分かれ、各ファイズで実施すべきことをチェックできるようになっています。
なお、本ガイドでは、被害を受けた場合には、必ず①検出と分析の最初の3ステップを順番に実行することを強く勧めています。
その最初の3ステップは以下の通りです。
- どのシステムが影響を受けたかを特定し、ただちに隔離すること
- 注意点
- 複数のシステムまたはサブネットが影響を受けていると思われる場合は、スイッチレベルでネットワークをオフラインにすること。ただしインシデント発生中に個々のシステムを切断することは現実的ではない場合があります。
- 日常業務に不可欠な重要なシステムの隔離を優先すること
- ネットワークを一時的にオフラインにすることがすぐにできない場合は、ネットワークケーブル(イーサネットなど)を見つけて、影響を受けるデバイスをネットワークから外すか、Wi-Fiから削除して感染を封じ込めること
- クラウドリソースの場合は、ボリュームのスナップショットを作成して、後でフォレンジック調査のために確認するためのポイントインタイムのコピーを取得すること。などです
- 注意点
- ランサムウェア感染のさらなる拡大を避けるために、デバイスをネットワークから切断できない場合は、デバイスの電源を切ること
- 注意点
- この手順により、組織はランサムウェア感染の成果物や揮発性メモリに保存された潜在的な証拠を維持できなくなります。これは、他の手段を使用してネットワークを一時的にシャットダウンしたり、影響を受けるホストをネットワークから切断したりすることができない場合にのみ実行すること
- 注意点
- 影響を受けたシステムを復元および回復するために優先順位付けすること
- 注意点
- クリーンなネットワーク上で復元する重要なシステムを特定して優先順位を付け、影響を受けたシステムに保存されているデータの性質を確認し、事前に定義された重要資産リストに基づいて、復元と復旧に優先順位を付けること
- 影響を受けないと認識されているシステムとデバイスを明らかにして、復元と回復の優先順位を下げることができます。これにより、組織はより効率的にビジネスに戻ることができます
- 注意点
このようにパート2では、組織がランサムウェアの被害に遭った場合の具体的対応をチェックリストとして紹介しています。CPDs準拠という事は、中小企業でも対応可能なチェックリストを意図して作成されていますので、インシデント発覚からシステム復旧までの基本的手順の参考書として利用可能です。
パート2のチェック項目(仮訳)は以下の通りです。チェック項目に付帯する詳細事項は記載しておりませんので、詳細は原文を参照してください。
| フェイズ | No | 内容(筆者仮訳ですので、適用する場合は原文を参照してください) |
|---|---|---|
| ①検出と分析 | 1 | どのシステムが影響を受けたかを特定し、ただちに隔離します。 |
| 2 | ランサムウェア感染のさらなる拡大を避けるために、デバイスをネットワークから切断できない場合は、デバイスの電源を切ります | |
| 3 | 影響を受けたシステムを復元および回復するために優先順位付けします | |
| 4 | 既存の組織の検出または防止システム(ウイルス対策、EDR、IDS、侵入防止システムなど)とログを調査します | |
| 5 | チームと話し合って、最初の分析に基づいて何が起こったのかを最初に理解して文書化します | |
| 6 | 脅威の駆除活動を開始します | |
| ②報告と通知 | 7 | サイバーインシデント対応およびコミュニケーション計画に概要が記載されている通知要件に従って、社内外のチームおよび関係者に、インシデントの軽減、対応、回復に役立つものを提供できることを理解してもらいます。 |
| 8 | インシデントによってデータ侵害が発生した場合は、サイバーインシデント対応およびコミュニケーション計画に記載されている通知要件に従ってください。 | |
| ③封じ込めと駆除 | 9 | 影響を受けるデバイス(ワークステーション、サーバー、仮想サーバー、クラウドサーバーなど)のサンプルのシステムイメージとメモリキャプチャを取得します。 |
| 10 | セキュリティ研究者が一部のランサムウェア亜種の暗号化の欠陥を発見し、復号化ツールやその他の種類のツールをリリースしている可能性があるため、緩和措置が可能である場合でも、利用可能な復号化ツールについては連邦法執行機関に問い合わせてください | |
| 11 | 特定のランサムウェア亜種について、信頼できるガイダンス(米国政府、MS-ISAC、または評判の良いセキュリティベンダーなどの情報源によって公開されているものなど)を調査し、追加で推奨される手順に従って、影響を受けることが確認されているシステムまたはネットワークを特定して封じ込めます。 | |
| 12 | 最初の侵害に関与したシステムとアカウントを特定します。これには電子メールアカウントが含まれる場合があります | |
| 13 | 上記で特定された違反または侵害の詳細に基づいて、さらなるまたは継続的な不正アクセスに使用される可能性のある関連システムを収容します。多くの場合、侵害には大規模な認証情報の流出が伴います。継続的な認証情報ベースの不正アクセスからネットワークやその他の情報ソースを保護するには、次のことが含まれます。 | |
| 14 | 感染したワークステーションによってサーバー側のデータが暗号化されている場合は、サーバー側のデータ暗号化の迅速な識別手順に従ってください。 | |
| 15 | 拡張分析を実行して、アウトサイドインおよびインサイドアウトの永続化メカニズムを特定します。 | |
| 16 | 可能であれば、事前に構成された標準イメージを使用して、重要なサービス(健康と安全、収益を生み出すサービスなど)の優先順位に基づいてシステムを再構築します。コードテンプレートとしてインフラストラクチャを使用して、クラウド リソースを再構築します | |
| 17 | 影響を受けるすべてのシステムに対してパスワードのリセットを発行し、関連する影響を受けるアカウントや悪意のある永続化メカニズムの削除または修復など、環境が完全にクリーンアップおよび再構築されたら、関連する脆弱性やセキュリティまたは可視性のギャップに対処します。これには、パッチの適用、ソフトウェアのアップグレード、およびこれまで講じられていなかったその他のセキュリティ予防措置の実施が含まれる場合があります。必要に応じて顧客管理の暗号化キーを更新します。 | |
| 18 | 指定されたITまたはITセキュリティ当局は、確立された基準に基づいてランサムウェアインシデントの終了を宣言します。これには、上記の手順を実行するか、外部の支援を求めることが含まれる場合があります | |
| ④復旧とインシデント後の活動 | 19 | システムを再接続し、重要なサービスの優先順位に基づいて、オフラインの暗号化されたバックアップからデータを復元します |
| 20 | インシデントおよび関連する対応活動から学んだ教訓を文書化して、組織のポリシー、計画、手順の更新および改良を通知し、今後の同様の実践の指針とします。 | |
| 21 | コミュニティ内の他の人々に利益をもたらすために、学んだ教訓と侵害に関する関連指標をCISAまたはあなたの部門のISACと共有することを検討してください。 |
注:専門用語に関してはシステム担当者もしくは情報セキュリティ担当者にご確認ください。
Ⅴ.終わりに(CSFの概念を利用したセキュリティ教育の考え方)
Ⅱ章~Ⅳ章まで、CSFとCSFをベースに提供されているサイバーセキュリティツールを紹介しました。サイバーセキュリティ態勢を構築し、維持するには、CSFの機能(「識別」「検知」「防御」「対応」「復旧」)を知り、誰がどのように社内に定着させれば良いかをそれぞれの階層で検討することが必要です。そのためには、ご紹介した3つのツールの次のような効果に着目すると、サイバーセキュリティの理解が進み、態勢の構築・維持がスムーズになるのではと考えます。
サイバーセキュリティの基本的フレームワークがどのようなものなのかを知ることで、それぞれの機能がなぜ必要か、それは何を目的にしているかを理解できます。加えて、自社が今後備えるべき機能も確認できます。日本では、サイバーセキュリティ経営ガイドラインの付録D「関連する規格・フレームワーク等との関係」にCFSとの対応関係が記載されているように、マネジメントレベルでサイバーセキュリティへの理解を深めます。
Ⅲ章:Cross-Sector Cybersecurity Performance Goals Ver.1.0.1(2023-03) (CPDs)
重要インフラ事業体、特に中小組織が強力なサイバーセキュリティ態勢への道を歩み始めるのを支援することが目的になっているので、CPGsを知ることは、サイバーリスクを低減するために組織が実装することが望ましいサイバーセキュリティ保護策の下限を知ることができます。それはサイバーセキュリティ担当部門が、現状を認識し充足していない具体的な分野を把握することに役立ちます。その充足不足の分野に対し教育内容や備えるべき方向性を確立するのに役立ちます。
本ガイドは、ランサムウェア攻撃に対し、対策・対応のベストプラクティスと参考資料を参照できるように構成されています。そしてその目的は、ランサムウェアによってもたらされるリスクを管理し、インシデント発生時にも組織が効率的対応をとれるようにすることです。つまり、サイバーインシデントの事前対策と事後対応策を具体的に紹介し、サイバーセキュリティ実務関係者が最低限しなければならないことを時系列で確認が出来るという事です。担当者の実務指南書として具体的に何をどの様に整備するかを明確にできます。
このように、CSF、CPGs、#StopRansomware Guideは、職務階層ごとのサイバーセキュリティ対応ガイドとして利用することが可能です。
リスクマネジメントフレームワークの一つに、階層別のリスク対応への期待があります。
- マネジメントへの期待
→ 対象とするリスクを存在させないこと。そのリスクが発生し得ない環境設定をすること。 - 担当部門・管理職への期待
→ リスクの発現を抑制できるようにコントロールすること。 - 一般職への期待
→ リスクへの接触を極力減少すること
リスク対応への期待は、職務階層別に変わります。ご紹介したツールは、階層別のリスク対応への期待を達成するためのツールとして参照できます。
- 計画方針決定にはCSF
- 具体的計画策定にはCPGs
- その計画を実行するための施策として#StopRansomware Guide。
一つの体系に基づいた態勢を構築し、その計画を実行することで、組織のサイバーセキュリティへの対応力が向上し、全社的な情報セキュリティレベルを高めることにつながります。
ご紹介したツールは、今後もサイバーセキュリティ―の標準のガイドラインとして適用されていくものと思われます。是非ともそのエッセンスを取り入れ自社の情報セキュリティレベルの向上にお役立てください。
注2:ご紹介した各種ツールの解説には、筆者の仮訳を引用していますので、正確な訳文が必要な方は原文をご確認ください。
