第191回 雲勉 災害レベルのランサムウェア被害から、事業を止めないための生存戦略

第 191 回 雲勉 災害レベルのランサムウェア被害から、 事業を止めないための生存戦略 しろうさ（中村 昌登） KDDIアイレット株式会社

Profile しろうさ なかむら まさと 中村 昌登 KDDI アイレット株式会社 セキュリティ事業部 セキュリティエンジニア 経歴 ボーダーコリー大好き (ステラくん 4才) セキュリティエンジニアです。 最近は、生成 AI にハマっています。 あと、最近は某学園でアイドルプロデューサー中 shirousa_tan 第001124号

アジェンダ 第1章：なぜセキュリティ対策は「敗北」するのか 第2章：ランサムウェア被害から生き残るための生存戦略 第3章：レジリエンスを強化し、事業を停滞させない 第4章：内部・外部の脅威からバックアップを保護する 第5章：CNAPP による攻撃の早期発見とキャンペーンの捕捉 第6章：事業継続計画としての復旧訓練 まとめ

第1章：なぜセキュリティ対策は「敗北」するのか

なぜ今、この議論が必要なのか ランサムウェア被害は、大規模な個人情報漏洩やサービス停止に直結する 日本医科大学武蔵小杉病院 令和8年2月17日 当院へのサイバー攻撃による個人情報漏洩に関するご報告とお詫び (第4報） ナースコールシステムでランサムウェア被害。 1万人分の個人情報漏洩が発生。 アサヒグループHD 令和8年2月18日 サイバー攻撃被害の再発防止策とガバナンス体制の強化について データセンター内の複数のサーバーでランサムウェア被害。 アサヒ飲料株式会社では累計売上金額前年比 7割という事業影響。 アスクル 令和7年12月12日 ランサムウェア攻撃の影響調査結果および安全性強化に向けた取り組みのご報告 EC サイトが外部からの不正アクセスによりランサムウェア被害。 サービス停止、お客様情報、取引先情報の外部流出。 ※ 本ページは、ランサムウェアの被害規模を明示するためのものであり、特定の企業を非難する意図はありません。 記載内容は、各社 PR 資料から抜粋し、影響を示したものです。

事業とエコシステム全体に重大な影響を与える ランサムウェア被害は、『事業継続』に対して重大な影響を与える 事業の停止 サプライチェーン被害 個人情報漏洩 長期化する被害は、事業を長期間停止させる 供給の停止は、エコシステム全体に波及する問題となる 社会的信用失墜など、企業の信頼に直結する 事業継続として経営判断が求められる

進化する攻撃 ランサムウェアを用いた攻撃は、あらゆる手段で企業を狙っている 多重脅迫 データ人質だけでない、機密の暴露、情報漏洩を組み合わせる キャンペーン 場当たり的でない、標的を定めた精緻な分析と執拗な攻撃 ファイルレス マルウェア 従来のマルウェア対策では不十分、動作の常時監視が必要 AI による高度な攻撃 人間による対策を超えた、多様かつ高速な攻撃

防御の限界を知る 高度かつ執拗な攻撃に対し、完璧な防御を実現することは不可能 個人情報がなければ 問題がない NO / システム停止は、事業計画に大きな影響を与える セキュリティ対策が 不十分 NO / 十分なセキュリティ対策を施している企業も被害に 自社だけの問題 NO / 取引先に被害が発生して、エコシステム全体に影響する 『正しく負けること』の検討が求められる

第2章：ランサムウェア被害から生き残るための生存戦略

セキュリティ対策だけでなく、事業の復旧を考えよ 攻撃者の執拗な攻撃に勝つためには防御だけでは不完全 正しい敗北を検討せよ レジリエンス強化 データ保全 CNAPP リアルタイム監視 復旧訓練 被害にあった際の復旧を考え、事業影響を最小限に Immutable Backup で、内部外部の攻撃からデータを保全せよ Cloud / Container / Workload 全てのレイヤーを監視せよ 事業に影響がないことを、訓練を通して確認せよ

事業継続を考えたランサムウェア対策 事業継続を考えた対策を既存の対策に追加する 侵入させないための 既存対策 事業継続観点の ランサムウェア対策 平時 ランサムウェア被害の発生時 EDR / EPP / アンチマルウェア フォレンジック WAF お客様対応 CNAPP リアルタイム監視 レジリエンスなサービス復旧 Immutable Backup データ保全 復旧訓練

守りへの固執は事業価値を損なう ランサムウェア被害は、地震や水害などの災害と同等と認識せよ 高度化されたランサムウェア被害は、もはや災害レベルに達している。 既存対策は、被害を軽減させるために必要とされている。 ランサムウェア対策では、被害後の復旧に着目することが重要。 被害が起きた際に、如何に事業を復旧するか。 経営判断が必要となる。

第3章：レジリエンスを強化し、事業を停滞させない

『レジリエンス』とは 危機的な状況に直面した際に、しなやかに適応し、迅速に回復する「回復力」 復旧に時間がかかる 攻撃者にとって、復旧が困難となることは攻撃成功である 機密情報が漏洩する 暴露リスクを抱えることとなり、復旧後もリスクを抱える 的外れな セキュリティ対策 別の攻撃方法を用いて、再度攻撃することが可能である 攻撃を、『無意味』にする必要がある

レジリエンスの強化に必要なこと レジリエンス強化には、被害環境の切り離しと、新しい環境での早期復旧が必要 被害環境の隔離 一度攻撃を受けた環境から被害を取り除くことは困難。 災害と同様に影響を受けたシステム環境は速やかに切り離す。 手動によらない 復旧作業 エンジニアによる手動復旧は、復旧に時間がかかる。 IaC / Kubernetes / Container 、環境をコード化して自動復旧。 安全なデータ保全 影響を受けていないバックアップからデータを復旧。 安全な状態に復元して、事業再開を実現する。

攻撃者にとっての『価値』をなくす 『交渉テーブルにつく必要がない』という事実は、ランサムウェア被害にとって最大の防御 攻撃者にとって、企業が影響を受けて交渉テーブルにつくことが最大の利益。 『レジリエンスの強化』は、ランサムウェア攻撃の価値をなくすための対策。 クラウドネイティブな自動復旧により、 手動よりも圧倒的に安く・早く復旧可能。

第4章：内部・外部の脅威からバックアップを保護する

攻撃者が狙うバックアップ 被害を最大化するため、攻撃者はあらゆる手段でバックアップを狙う バックアップ削除 攻撃者は、強力な権限を取得して、バックアップを破壊する バックアップ汚染 長期間の侵入で、バックアップ自体を汚染する バックアップ隔離 バックアップに対するアクセス権を削除、隔離する バックアップの保護が重要となる

安全なバックアップに必要なこと バックアップの保護には、 Immutable Backup / PITR / クロスアカウント保護が重要となる Immutable Backup 管理者 (root) 等でも改変・削除できないバックアップ。 内部・外部の脅威からデータを安全に保護できる。 PITR ※1 事業復旧を考えた場合、 RPO ※2 は重要な指標となる。 攻撃開始直前まで復元できる能力は、重要な能力の一つ。 クロスアカウント保護 バックアップをシステムと同一環境内に保存することは、 攻撃の起点となる。 別環境に保全することが重要となる。 ※1: Point In Time Recovery: 特定時点まで復旧可能なリカバリ方式のこと ※2: Recovery Point Objective: いつ時点まで復元できるかの目標

データという企業の資産を安全に保護する 内部・外部のリスクから、バックアップの保護を完全にする バックアップの保護は、データの保護の重要なポイントとなる。 管理者でも削除できないバックアップで、安全に保護することが重要。 データを保護することで、データ人質に対する脅迫を無効化できる。

第5章：CNAPP による攻撃の早期発見とキャンペーンの捕捉

攻撃者を監視する CNAPP 攻撃者は、あらゆる手段で被害者を執拗に狙う キャンペーン 特定産業、特定企業を狙い、多数の攻撃者が攻撃を仕掛ける クラウド機能の悪用 クラウドのクレデンシャル奪取、管理者権限の取得など、 クラウドの機能内で侵入を試みる。 ワークロードの悪用 ワークロードに侵入し、横移動 (ラテラルムーブメント ) 含め システムに対して侵入を試みる。 CNAPP として、統合監視が求められる

攻撃者を見張る CNAPP ウイルス対策のような、点の対策でなく、監視することの重要性 キャンペーン捕捉 APT Actor※1 による活動を捕捉して、 業界や企業に対するリスクを認識する。 侵入を知る ウイルス対策だけでない、権限奪取や、悪意ある行動を監視。 システムに対して、通常と異なる動作を検知する。 攻撃の早期発見 攻撃者の完遂を持って、攻撃を認知しない。 キャンペーンや事前探索から監視し、攻撃を完遂させない。 ※1: Advanced Persistent Threat: 高度かつ持続的な脅威のこと

攻撃者の挙動を検知し、リスクに備える ランサムウェア被害は、多くの場合 APT による執拗な攻撃である APT による攻撃から守るためには、戦略的なセキュリティ対策が必要。 CNAPP によって、高度な攻撃を検知することが重要となる。 CNAPP で、既存の対策を超えた被害拡散を検知し、早期対策が可能となる。 データ漏洩が発生する前に検知して、多重脅迫のリスクを軽減する。

第6章：事業継続計画としての復旧訓練

BCP としての復旧訓練 今までの対策は、 BCP の側面から実現できて意味がある レジリエンス強化 システムの復元に対する技術的・人的リソースは十分か？ バックアップの保護 あらゆる手段から、バックアップは完全に保護されているか？ 取得間隔や世代は、事業継続に対して十分か？ CNAPP 検知 リスクの検知に対する対応策は検討されているか？ 復旧判断や、対応手段はプロセス化されているか？ 対策に漏れがあると、被害となる

経営判断の予行演習 事業継続の観点で訓練を行うことが、ランサムウェア対策には必要 被害に遭っている中、迅速に冷静な判断をすることは難しい。 ランサムウェア被害に遭う前から、被害を想定した復旧訓練が必要となる。 『システム遮断』、『外部対応』、『顧客対応』など、経営判断が求められる。

まとめ

ランサムウェア被害から正しく復旧するために 正しく負けるという生存戦略 ランサムウェア被害は、『完全に防ぐ』ということは不可能な次元にある。 『被害者から金銭を奪う』という目的のため、高度かつ執拗に攻撃を仕掛ける。 既存のセキュリティ対策が負けたあと、『復旧』に対して投資が必要となる。 目的 手段 検証 レジリエンスの強化 事業の継続 データの保全 CNAPP 監視 復旧訓練