大企業にはマネできない　小さい組織ならではの冴えたランサムウェア対策

　先日、SNSを眺めていたら「幼稚園で情報漏えい被害に遭った」という知人の投稿が流れてきました。調べてみると、保育関連サービスを提供するライクキッズでインシデント報告が挙がっていました。

【画像】大企業ではムリ？　小さい組織ならではの冴えたランサムウェア対策【全1枚】

　ざっとこの報告を読んだところ、「個人情報合計15万8410件」「マイナンバー情報」という文字が目に入ってきました。あくまでそれらは情報漏えいの“可能性”での数字ですので影響は何とも言えません。ただ、ランサムウェアを原因としてシステム障害が発生し、暗号化されたデータが存在すると考えると、昨今の攻撃を鑑みれば外部に流出した可能性は高いと思われます。

　このインシデントそのものは引き続き状況をウォッチしていく必要があります。ただし報告の中で、いい意味で教訓となる、気になる一文がありましたので紹介しましょう。

●大企業にはマネできない　冴えたシステム復旧の方法とは？

　その一文とは以下の通りです。

　ここにあるように、ライクキッズは被害の復旧において、既存のネットワークを使わず、新たに環境を構築したとしています。これは大企業には絶対にマネができないですが、非常に強力な「対策」となり得る方法です。

　通常、不正アクセスを許してしまったシステムは、端末をランサムウェアから復旧させたとしても、原因が特定できていなければ再び同じ方法で侵入されるリスクがあります。そのため、復旧は慎重に実施しなければなりません。

　ランサムウェア被害に遭った大企業の事例を見ても、ある程度の時間をかけて復旧作業をしていることが分かります。特に先日発生したKADOKAWAの事例では、プライベートクラウドのサーバをシャットダウンしても、攻撃者が遠隔からサーバを再起動するなどの行為が見られたことが話題になりました。原因を取り除くことがいかに難しいかが分かるエピソードです。

　しかしそれほど大きくない企業であれば、ネットワークやPCを一気に全部入れ替えてしまうという思い切った対策が可能です。攻撃者は古いネットワークに存在する端末やデータは掌握しているかもしれませんが、突然それが音信不通となり、全く手が出せなくなります。もちろん、インターネットにつながる境界であるブロードバンドルーターが被害を受けた場合、再度侵入を許すかもしれませんが、小さな規模の会社であれば、それすらも入れ替えられるでしょう。

　この対策には幾つかのメリットがあります。まず、事業継続はそれなりにスピーディーに実現できるでしょう。小さな企業であればSaaSも活用しているでしょうから、電子メールやメッセージツールはWebブラウザさえ動けばそのまま使えるはずです。

　Webブラウザ以外のソフトウェアがほとんどなければ、PC端末を新調するだけで済みます。もちろん問題はPCやネットワーク機器をもう一台買うときのコストと納期です。コストについては、もしかしたらその決断が早ければ、被害全体としてのコストに比べれば微々たるものと捉えられるでしょう（それはつまり、ランサムウェア被害に遭ったときに多大なコストがかかるという意味ですが）。

　加えて旧ネットワーク／旧端末はいじることなくオフラインにして保管することとなり、フォレンジックのためにも保全ができることになります。

　今回、ライクキッズのレポートでこの対策を実践したと読んだときには、中規模な組織であるにもかかわらずこのような思い切った判断をしたと知り、思わずうなってしまいました。

●だからこそ、システムの将来像は今のうちに想定しておこう

　ここからはかなり理想論になってしまいますが、インシデントを通じて思い切った刷新を狙うこともできなくはないです。やろうとすれば、憧れの「ゼロトラスト・ネットワーク」を前提としたものに切り替えることも。ただ、自己対応をしつつGoogleでも年単位で時間がかかった理想形への移行を願うのは欲張りすぎです。

　インシデント発生を待つわけではありませんが、それでも今のネットワークではない、理想の姿というのはある程度、平時に夢想しておいてもバチは当たりません。そして、ランサムウェア被害に遭うリスクが頭をよぎりつつある経営者も、現場に対してこのインシデントレポートを参考にしつつ、「その時は経営陣が全PC端末のリプレースも許可する」という指示ができるかどうか、今のうちに考えてみる必要はあるでしょう。そのためにはファイルサーバやオンプレミスシステムもなるべくクラウド化し、さらに認証を強化してクラウドへの不正侵入を防ぐなど、周辺の整備も考える必要があります。

　万が一の備えとして“全とっかえ”という極端な、しかし現実的な方法でのシステム復旧もあるということは、頭の片隅にあるといいかなと思います。これこそ小さな組織だけが持つ特権です。もちろん、インシデントを起こさないことが一番安上がりですので、「その手があったか！」と思うと同時に「やっぱり基礎を固めよう」と思っていただければ幸いです。

筆者紹介：宮田健（フリーライター）

＠IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。