IT管理者が検討すべきランサムウェア対策

security logo
Photo by Pixabay on Pexels.com

ランサムウェア怖いですね。露宇戦争(仮)が始まってから、またしばしば一般の目にも触れるようになってきました。

個人的にIT管理者が検討するべきと思うソリューションをご紹介します。
※ 即日で対応できる的な、裏ワザ的な記事にしようかと思いましたが思い付きませんでした・・・スミマセン。

参考にさせて頂いたページ:https://www.hammock.jp/assetview/media/what-is-ransomware-management.html

ランサムウェア攻撃って何??

サーバやPCの中にあるデータを攻撃者が勝手に暗号化して、復号化したくば、ビットコインを寄越せというヤ○ザみたいな攻撃です。

日本でも中小問わず、結構攻撃の被害に遭っています。最近でちょっと有名になっていたのが、徳島の病院で電子カルテが暗号化された件でしょうか。
https://www.nikkei.com/article/DGXZQOUE071OK0X01C21A1000000/

攻撃を受けると、取引先との信用失墜だけでなく、上記のような病院であれば、生命に影響を及ぼしかねません。

基本的な対策

ランサムウェアへの基本的な対策は、以下の三点です。

  1. セキュリティ教育
  2. システム的な感染防止策
  3. データのバックアップ

詳細については、上記の参考サイトが詳しく解説していますので、ご覧いただければ。

ここから私見ですが、①のセキュリティ教育は即効性が無く、人材も流動的なため得られる効果は薄いと考えます。(勿論有効な対策ですが、今回は考えません)

②③については、ランサムウェア対策となる有用なソリューションが続々登場しています。
これらの製品が持っている思想は、
- ランサムウェアを侵入させない
- ランサムウェアが侵入してしまっても、振る舞いを検知して隔離する
- ランサムウェアにより被害を受けても、書き換えが不可(immutable)
であることが特徴です。

クライアントを守る

クライアントというのは顧客という意味がありますが、ここでは組織内の末端PCやサーバを指します。
大体攻撃を受けるのはここです。クライアントセキュリティを強化すれば対策の8割は終わりです。(過言)

業界的にはトレンドマイクロがはちゃめちゃに多い気がします。ノートンとかカスペルスキーの倍は使われていると思います。 IT界隈新参者なので、詳しい経緯は分かりませんが・・・
サラッと検索した感じ、トレンドマイクロもランサムウェア対応しているみたいですね。

https://helpcenter.trendmicro.com/ja-jp/article/tmka-18988

じゃあウイルスバスター入れて終わり!解散!ではちょっと面白くありません。
個人的にはMicrosoft Defender for Endpointをお勧めします。

...某SNSの一部では「無償」のDefenderと言われていましたが無償のほうではありませんヨ。
M365のE5 Securityか、Microsoft Defender for Endpointを単体で購入する必要があります。

このMDE、大変なスグレモノで、これがあればサードパーティのセキュリティ製品はインストールしなくて良くなりました。(一応機能制限のもと同時に使うことができますが、製品によって無効にされる場合があります)

※ ウイルスバスタークラウドは併用不可でした
https://helpcenter.trendmicro.com/ja-jp/article/tmka-17571

Microsoft Defender for Endpoint (MDE)

製品自体の紹介です。MS社さん、紹介料ください
ガートナーというIT分野における企業評価を生業にしている会社の評価が以下です。

ソース:https://www.microsoft.com/security/blog/2021/05/11/gartner-names-microsoft-a-leader-in-the-2021-endpoint-protection-platforms-magic-quadrant/

なんだかよく分かりませんがめちゃくちゃ上に居ますね! トレンドマイクロより上位のリーダーというランク付けを受けています。

この製品は、Azure ADやM365、SCCMを既に導入している企業なら高い親和性があるためオススメです。あと個人的にサードパーティ製品と比較してイイナーと思っているポイントは、

- Windows Updateと共にウイルス定義ファイルが更新される
- Group Policyで設定を制御できる
- MSサポートが手厚い (トレンドのサポート、2週間返事こないとかありますからネ)
- ユーザーへの露出が少ない (基本的にWindowsの一部なため)
- 動作が軽い (当社比:スキャン中であることを感じません)

ホワイトハッカー的な仕事をしている友人も褒めていました。
是非、IT管理者の方々には導入検討をお願いしたいです。自分が情シスなら入れてます

ちなみに、ランサムウェアを検知したらちゃんとトースト通知で表示されます。
管理者側での操作は(検知された時点で検疫走っているため)特に不要ですが、心配であればネットワーク隔離も管理コンソールからポチッとで済みます。

無償体験版もあるはずなので、お近くのMS営業へ!

バックアップを守る

さて、クライアントで8割と言いましたが、2割はどうしても攻撃を受けてしまいます。
というか今後のご時世は、攻撃される前提で考えたほうがいいとまで思っています。

攻撃を受けた際、ランサムウェアの性質上、バックアップデータまでも汚染されることがあります。これを防ぐためには、イミュータブル(immutable:不変)という仕組みを使います。

この機能に強みを持っているのがRubrik(ルーブリック)です。アイコンがお洒落。
https://www.rubrik.com/ja

このバックアップ製品は、すべてのバックアップにおいて後からの書き換えを不可とする機能が備わっています。
日本市場に出てきたときは、セカンダリバックアップストレージ?とかいう謎の地位を狙っていたようですが、、、最近また注目を浴びている気がします。

言語対応は日本市場に集中したいのか、3年くらい前の早い段階から、バッチリ日本語にも対応しています。他の製品と比べてイイナーと思っているポイントは以下です。

- クラウドネイティブ(AWS, Azure)対応
- 導入・スケールアウトがめちゃ簡単
- 保守切れ対応簡単 (筐体をリタイアさせた分、同数を追加するだけ)
- ストレージ製品とのスナップショット連携
- グローバル重複排除が凄い (当社比)

物理筐体なので、デデュープもかなりのものです。Virtual Edition(VE)もあるはずですが、ちょっと買い方が特殊だった気がするので担当営業マンに聞いてみてください。

既存のバックアップシステムに追加するという方式も取れますし、あらゆる企業に導入する余地があるのでは?!と思っている素敵な製品です。

さいごに

個人的に今熱いMDEとRubrikを紹介したいがための記事でした。
ランサムウェアからの被害が少しでも減ればいいなと思っています。

もし反響あれば、紹介した製品の構成例なども今後紹介したいと思います。

記事をシェア頂けると嬉しいです!

コメントを残す

メールアドレスが公開されることはありません。