すべての災害対策戦略は、適切な質問を行うことから始まります。チームはありますか?そのチームには計画がありますか?その計画にはどのような内容が含まれていますか?
組織はクラウド以前からこの種の質問をしてきました。メインフレームが浸水したり、カリフォルニアのデータセンターが火災に見舞われたりした場合でも、組織は依然として、1.)誰に連絡する必要があるのか、2.)それについて何をすべきかを問うでしょう。こうしたことは常に考慮されてきましたが、今ではそれを表す専門用語があります。災害がサイバー攻撃に関連している場合に使用される本日の業界用語とは、「インシデント対応計画」、つまりIRPです。
IRPもしくはサイバーインシデント対応(CIR)計画が他のディザスタリカバリ(DR)計画とは少し異なる形で言及されているのは、いくつかの異なるコンポーネントがあるためです。サイバー災害では、より単純な災害のためIRPを利用する必要がない場合でも、チームを引き込みます。そのような事態が発生した場合、組織はリスクチームやコンプライアンスチームに加え、法務部や外部の弁護士を関与させる可能性があります。
こうした異なる対応(つまり、DRとインシデント対応計画)の背後にある微妙な違いは、ランサムウェアのインシデントが生じた場合、組織には悪意を持ってIRPの実施を妨害しようとするアクティブな攻撃者が存在するということです。しかし、自然災害や人為的事故への対応であれば、このような状況にはなりません。
通常の大規模なIT危機について考えるとき、火災、洪水、台風、竜巻などが思い浮かぶでしょう。いずれの場合も、IT中心の危機であるため、企業は基本的にIT部門がサービスを再開するのを待っているだけです。サイバーインシデントに関して言えば、最も重要な差別化要因の1つは、攻撃者から意図的に脅迫されているということです。それに加えて、復元を完了させるという現実的な問題もあります。たとえば、洪水からの復旧の場合は、浸水したサーバーを復元します。火災からの復旧の場合は、焼けてしまったものを復元します。簡単ですよね?しかし、サーバーの状態を評価し、復元させることができるかどうかは非常に難しい作業となる可能性があります。
IRPとは?
IRPは、サイバー攻撃やその他の停止が発生した場合に取るべきアクションに直接焦点を当てます。IRPは、より広範なDR計画内に盛り込むことも、並行して使用することもできます。サイバー攻撃の影響は、他の種類の災害で見られるような結果や損害ほどの透明性はないことが多いため、こうした復元計画は非常に重要です。例えば、竜巻が発生した場合は、データセンターが全壊したためにダウンしている可能性があると人々は理解できます。しかし、ランサムウェア攻撃の場合、一般の人々の信用は大幅に減少します。
そのため、どのような情報を公開するか、何を言うか、誰に言うかについて、より高いレベルの注意を払う必要があります。多くの場合、サイバー攻撃のようなイベントでは、攻撃を報告する時間が約24時間から72時間しか与えられない規制が制定されています。IRPが整っていると、組織は、攻撃のニュースが公開されるまでの期間を最大限に活用しながら、非常に包括的な復旧作業に着手できます。
チームを作り計画を立てることの重要性は明らかです。実際のところ、『2024ランサムウェアトレンドレポート』で調査した1,200社の被害を受けた企業のうち、2%を除くすべての企業がチームを持ち、その中の3%を除くすべての企業がすでに計画を策定していました。つまり、合計すると、被害を受けた企業の95%は実際にチームを作り計画を立てていたのです。この統計を深く掘り下げ、データの最新情報を把握するには、こちらのIndustry Insightsのライブ配信をご覧ください。
CIR計画には、組織の迅速な復旧計画を立てる上で役立つ重要なアクションがいくつかあるので、そちらも取り上げたいと思います。アクションとしては、検出、封じ込め、根絶、復元、学習が挙げられます。
検出
Veeamはサードパーティ製のセキュリティツールや技術と統合することで、バックアッププロセスの一環としてバックアップアーカイブ内にある侵害されたデータの兆候の検出と特定を支援します。さらにVeeamは、他のSIEMシステムに対してセキュリティイベントのアラートを発信して伝達します。これにより、必要に応じてバックアップがトリガーされます。この機能により、関連チームが適切なアラートを受信し、より広範なコミュニケーション計画が立てられます。
封じ込め
このアクションでは、多くの場合、コンテンツ分析、指標、侵害されたデータの分離という形をとります。これにより、強化された導入や暗号化などのセキュリティプロトコルを通じて、関連インフラストラクチャでのデータの破壊を防ぐことができます。エアギャップは、多段階かつ多様なリポジトリを通じて、論理/プロトコル/物理レベルで適用することもできます。
根絶
侵害の痕跡をスキャンしてVeeamコンソールで特定することで、侵害されたデータのリストアを停止できます。リストアデータの整合性を確保するために、本番データとさらに比較することができます。また、Secure Restoreでは、再感染を防止するために、リストアプロセスの一環として「送信中」スキャンが実行されます。
復元
どの攻撃ベクトルが使用されるか、侵害の正確な角度、またはどの程度の範囲のインフラストラクチャに影響が及ぶかを正確に把握することは難しいため、柔軟でプラットフォームに依存しない復元オプションを備えることが不可欠です。大規模な場合は、オーケストレーションと自動化によって人為的ミスを減らし、より迅速に復元することもできます。
学習
Veeam DataLabsは、フォレンジックおよび根本原因分析に使用できます。Veeamの監査レポートとアラート証跡から、さらなる調査の証拠が得られる場合もあります。自動復元計画では、準備段階で適用する必要がある調整に関するガイダンスを提供可能なドキュメントを作成することもできます。
CIR計画の必要性
多くのベストプラクティスがそうであるように、その存在がない場合にその必要性が最も感じられます。組織にIRPがない場合、攻撃の予期しない影響を全面的に受けてしまう可能性があり、その影響は単なる金銭的な損失をはるかに超えるものになります。組織レベルで、『2024ランサムウェアトレンドレポート』では次のように指摘しています。
ITチームとセキュリティチームへのプレッシャーが45%増加
顧客からの信頼が23%低下
22%がブランドの評判に対するダメージを受ける
22%がデータの漏洩/公開のリスクにさらされる
21%のデータ消失
個人レベルでは、45%が「ワークロードが大幅に増えた」、40%が「ストレスも大きく増えた」と回答しています。組織のIRPでは、停止の結果起こることを考慮する必要があるだけではありません。財務上の損失、評判の低下、および組織が被る可能性のあるすべての関連する問題の数値も考慮する必要があります。
強固なCIR計画の基本となる柱
セキュリティチーム、経営幹部チーム、コーポレートコミュニケーションチーム、ITインフラストラクチャチームは、攻撃を受けたときに最初に報告をすることになるため、CIR計画の重要な柱となります。
このデータを新たな視点で見る方法として、侵害があったと仮定し、最悪の事態を引き起こした攻撃者がいたとしましょう。そのインシデントの後、起こったことについて話し合うために誰をミーティングに招集しますか?その話し合いにはどのチームが参加すべきでしょうか?攻撃から2週間後のミーティングに参加するすべての役職は、計画の段階から関与し、チームの結成やIRPの構成において、積極的な参加者または利害関係者として関わるべきです。
このことを念頭に置いて、すべてのキープレーヤーが復元プロセスに関与できるようにする最善策の1つは、指定の対応チームを作ることです。社内のITスタッフ、セキュリティ専門家、さらには外部コンサルタントで構成されるチームを指定することも、IRPを成功させるための重要な柱です。
このチームを編成するためのベストプラクティスには、次のようなものがあります。
幅広い影響に対応するために、法務担当者とPR担当者に関与してもらいます。
インシデント発生時に誰が何をすべきかの役割と責任を明確に定義します(意思決定者、技術専門家、コミュニケーションリーダーなど)。
重要な資産インベントリ、ネットワークマップ、システム設定情報、ベンダー/パートナーの連絡先を文書化します。
一般的な攻撃タイプ(ランサムウェア、フィッシングなど)に関するステップバイステップのプレイブックと手順を作成します。
チームを指定したら、次はチームがどのような脅威でも検出して分析できるようにします。
ファイアウォール、侵入検知システム(IDS)、エンドポイント保護、セキュリティ情報およびイベント管理(SIEM)プラットフォームに投資して、ログの分析を一元化します。
詳細なログを生成し、異常や不審なアクティビティがないか積極的に監視するようにデバイスとシステムを構成します。
フィッシングメール、不審なリンク、異常なシステム動作を見分けられるように従業員をトレーニングします。
サイバー被害者の94%は、社内の全チームに加え、修復作業の一環として、バックアップベンダー、セキュリティベンダー、リセラーパートナーまたはサービスプロバイダー、フォレンジック専門家、身代金交渉担当者などのサードパーティにも関与してもらっています。最後の2つは特に注目です。Veeamは、フォレンジックと交渉における業界のリーダーであるCovewareを最近買収し、ランサムウェア攻撃によって組織が被る可能性のある損害(つまり請求の規模)を最小限に抑えています。
インシデント後のアクティビティ
攻撃を受けた後、最初にとるべきアクションの1つとして、根本原因の分析が必要です。多くのサイバー被害者は、最先端技術を駆使する巧妙なハッカーが利用するゼロデイエクスプロイトについて言及します。実のところ、Covewareの専門家によると、ほとんどの侵害は超高度なハッキングによって引き起こされたわけではありません。それどころか、ほとんどの侵害は、インターネットに接続されているリモートアクセスエンドポイントを保護していないことや、6か月前に重大な脆弱性が発見された後もパッチを適用していなかったことが原因です。
こうした問題は発生すべきではないエラーですが、それでも組織が必要な頻度でパッチを適用していないため、多くの場合で、根本原因分析は落胆する結果となります。一部のシステムにマルチファクター認証(MFA)が導入されていない場合もありますし、別のことが原因かもしれません。非常に多くのさまざまな要因が侵害の根本原因になりかねません。
攻撃の分析に加えて、インシデントに関するレポートとコンプライアンス要件を常に認識しておく必要があります。すべてが落ち着いた後は、分析結果と学んだ教訓を活かしてIRPを刷新し、修正が必要な箇所に対処して、将来攻撃に直面した際の回復力を高める方法を把握しておきます。
サイバーインシデント対応におけるVeeamの役割
攻撃を受けたレポート上の1,200社の組織において、CIR計画の上位3つのコンポーネントは次のとおりです。
実行可能なバックアップ。
確実性のあるクリーンなバックアップ。
フェイルオーバー可能な代替インフラストラクチャの計画。
Veeamはさまざまなツールでこうしたニーズに幅広く対応し、ゼロトラストモデルを推進することでサイバーインシデント対応計画をサポートします。この考え方では、侵害は避けられず、攻撃者はすでにネットワーク内にいることを想定しています。これを想定し、必要に応じて組織の準備を整えておけば、攻撃を乗り切ることができる可能性は十分にあります。攻撃者がデータを狙っていると想定しなければ、戦いに負けてしまうでしょう。『2024ランサムウェアトレンドレポート』によると、攻撃の96%において攻撃者はバックアップを標的にしています。
Veeamはソフトウェアのみであるため、Veeamレベルの保護を実装するのに長時間待つ必要はありません。既存のクラウドサービスやハードウェアがどのようなものであっても使用できます。Veeamはその柔軟性を活かして複数の方法を提供し、環境のイミュータビリティを保証します。つまり、データは確実に保護されます。
テスト
攻撃後になって初めて復元が機能するかどうかを確認するのは望ましくありません。シミュレーションを実行してIRPをテストしましょう。こうしたテストを通じて、組織は多くの場合、これまで考えもしなかったことや見落としていた点を発見できます。『2024データプロテクションレポート』の統計によると、組織が自社の大規模な復元機能をテストしたところ、想定内にオンラインに戻れたサーバーはわずか58%でした。
過去には組織がITの復元を試みた際に、想定どおりにオンラインに戻ったサーバーは平均して5台中3台未満でした。また、フェイルオーバーが必要なサーバーがわかっていて、開始する前にどのサーバーが感染している可能性があるかをトリアージできたとしても同様の結果でした。今の時代、サイバー攻撃が他のIT災害よりも複雑で間違いなく危険度が高いものと考えているなら、DRにおける簡単な解決策、Veeam Recovery Orchestratorを試してみることを検討してください。
サイバー保険
多くの保険契約と同様に、サイバー保険の価値の1つは、特に最近では、やるべきことをやっていない限り、その価値を得るのは難しいという点です。これが強制力となります。組織のリスク管理プログラムでサイバー保険への加入を義務付けているなら、サイバー保険会社は、期待事項についてより具体的に指定しているため、このブログで取り上げた多くのことを実施しなければならないでしょう。Covewareのインシデント対応チーム、マネージドセキュリティサービスプロバイダー(MSSP)、インシデント対応コンサルタントなどの外部チームと連携して、最高レベルの専門知識と準備をチームが得られるようにします。
保険会社は、部門内やベンダー間のコラボレーションを組織的が重視することも望んでいます。確実なインシデント対応計画には、部門、ベンダー、場合によっては法執行機関との間のオープンなコミュニケーションが欠かせません。
今こそ行動する時
サイバー脅威は絶え間なく進化し続けています。攻撃を受けてやむを得ず行動を起こすのでは手遅れです。プロアクティブなサイバーインシデント対応計画はオプションではありません。ビジネスの存続のための投資です。内容は次のとおりです。
被害の最小化:攻撃を早期に検出し、迅速に行動して影響を最小限に抑えます。
評判を守る:準備を整えていることを示すことで、顧客やパートナーとの信頼関係を築くことができます。
責任を果たす:利害関係者のデータとシステムを保護するのは貴社の責任です。
Veeamはサイバーインシデントに備え、そこから復旧する際の貴社の協力者であり、安全なバックアップと復元ソリューションは最後の防衛線となるように設計されています。Veeamでデータの回復力を強化する方法の詳細をご希望ですか?個別の評価をご希望の場合は、今すぐお問い合わせください。または、以下のリソースをご覧ください。
サイバー災害によって貴社の未来が左右されないようにしましょう。準備を整え、対応し、復元しましょう。