インフラ担当者が実践できるランサムウェア対策

2024年2月下旬、SB C&S株式会社は「インフラ担当者のためのランサムウェア対策」と題したオンラインセミナーを開催しました。このセミナーでは、ランサムウェア対策で盲点となりがちな仮想化環境におけるサーバーのセキュリティ対策として、「脆弱性の可視化」「パッチ適用のベストプラクティス」「サーバーにEDRを導入するメリット」「データ復旧体制の整備」という4つのテーマで最新のテクノロジーとノウハウを紹介しました。

現在、オンデマンドで配信している本セミナーのポイントについてご紹介します。

【事前予防 その1】脆弱性の可視化、仮想マシンをどう守るか

ランサムウェアの被害を防ぐためには、まず脆弱性の管理を徹底することが重要となる。脆弱性情報が公開された後、パッチを適用するまでに長い時間を要するほど、ランサムウェアの被害を受ける確率、リスクが高まることは言うまでもない。

この事前の対策として有効なのが、vSphere環境へのVMware Carbon Black Cloud Workloadの導入だ。これによりvSphere環境に内在するすべての脆弱性が可視化され、影響を受ける仮想マシンを特定するとともに、リスク診断によって対応の優先度をスコア化することができる。またVMware Carbon Black Cloud Workloadは、扱いなれたvSphere Clientから状態を一元管理することができる。そのため、従来のインフラ管理の延長線上でセキュリティを強化できる点は大きなメリットだ。

【事前予防 その2】パッチ適用のベストプラクティス

パッチの適用はセキュリティの強化に欠かせない対策の1つであり、ソフトウェアだけでなく、仮想化環境におけるサーバーなど、ハードウェアを保護する上でも重要な意味を持っている。しかし、パッチの適用においてはソフトウェアバージョンやハードウェア（ファームウェア）の互換性を考慮しなければならないなど、複雑な手順や専門的な知識が必要となる。

ここではDell Technologiesが提供する「VxRail」のような強力なライフサイクル管理機能を備えたHCIが有効である。「VxRail」は、vSphere環境のすべてのコンポーネントの互換性を自動的に担保してくれる。これにより、準備に大きな手間をかけることなく迅速にパッチ適用を行いながら、vSphere環境の高度なセキュリティを確保することができる。

【検知対応】サーバーにEDRを導入するメリット

サーバーはメールを開いたりすることがないため、EDRは不要だという意見も少なくない。しかし、社内ネットワークに侵入した後、横移動（ラテラルムーブメント）を繰り返す攻撃者の最終的なターゲットは重要なデータが管理されているサーバーであり、ここではEDRが攻撃者の侵入を検知する有効な手段となる。

サーバーにEDRを導入することによって、攻撃者の不審な挙動や振る舞いを検知し、早期の対応が可能となる。高度なEDRの機能が備わったVMware Carbon Black Cloud Workloadは、vSphere環境のインシデントを迅速に検知し、ログの統合的な分析を行うことで、ランサムウェアの被害を最小限に抑止することができる。

【事後回復】確実なデータ復旧体制の整備

ランサムウェアの被害に見舞われてしまった場合、いかにして短い時間で業務を再開できるかが最優先の課題となる。そこで大きな意味を持つのがバックアップデータだ。しかし、ランサムウェアはバックアップデータ自体を暗号化し、人質にする攻撃を仕掛けてくるため、バックアップもこうしたリスクを想定した仕組みを構築しておく必要がある。

バックアップについては、従来から「3つのデータを作成」「2つの異なるメディアで保存」「1つは別の場所で保管」という「3-2-1ルール」が知られているが、ここに「データの改ざんができない」「リストア（データの復旧）時のエラーゼロ」という2つの要件を加えた対策も必要になる。こうした最新のバックアップの仕組みは、ランサムウェアからデータ資産を守る最後の砦として重要な意味を持つ。

ランサムウェア対策はセキュリティ担当者の守備範囲と考えるインフラ担当者は少なくないはずだ。しかし、EDRによる脆弱性の可視化やログの収集、パッチ適用の高度化など、インフラの視点からもさまざまなサーバーのセキュリティ対策を講じることができる。本セミナーで紹介する4つの手法を参考に、ぜひ新たな対策に取り組んでいただきたい。

• 1