ランサムウェア対策 サイバー保険適用の現状とセキュリティ戦略
サイバー保険加入は一般的になりつつありますが、先行する海外においてもまだ保険適用範囲が十分でない企業が散見されます。本記事では、北米のランサムウェア保険の現状を俯瞰し、セキュリティ戦略について検討します。
サイバー保険市場を圧迫する、ランサムウェア攻撃の増大
サイバー保険は、組織のサイバーリスク軽減戦略上、必要な要素です。しかし、保険の加入や更新は難しくなっており、保険料も大幅に上昇しています。National Association of Insurance Commissioners(NAIC:全米保険監督官協会)によると、2021年には保険料が92%上昇したことが明らかになっています。
企業にとってサイバー保険の加入条件が厳しくなっている最大の理由は、ランサムウェアです。ランサムウェアによる保険金の支払いは請求全体の75%を占めており※1、増え続ける攻撃件数、それに伴う身代金要求や復旧コストの上昇が、保険料上昇に直接繋がっています。
コストが高騰し続ける中、多くの組織が適切なサイバー保険の適用を受けられずにいます。BlackBerryとCorvus Insuranceの調査によると、「保険に加入している」と回答した企業の約40%が、ランサムウェアによる支払い要求に対する補償がないことが明らかになりました※2。
あらゆる規模の組織が、自組織のランサムウェア対策が十分かどうか精査する必要があります。攻撃を受ける可能性を低減するためだけではなく、ビジネスの継続に必要な保険契約を結べるようにするためにも、自組織のサイバーセキュリティの成熟度を証明する必要があるのです。
※1 https://www.genevaassociation.org/sites/default/files/research-topics-document-type/pdf_public/ransomware_web.pdf
※2 BlackBerry and Corvus Insurance survey
ランサムウェア 代表的な4つの攻撃経路
効果的なランサムウェア対策を施すには、最新の攻撃の仕組みや攻撃経路を理解することが重要です。デジタルトランスフォーメーションやリモートワークによってアタックサーフェス(攻撃対象領域)が急速に拡大し続ける中、サイバー犯罪者はさまざまな侵入経路を選択できるようになりました。ここでは、組織が攻撃を受ける場合に最も一般的な攻撃経路を紹介します。
1. フィッシング攻撃:BEC※3のようなフィッシング攻撃は、ランサムウェアを含むサイバー脅威の91%を占めています※4。トレンドマイクロリサーチによると、2021年にブロック・検知されたフィッシング攻撃は137.6%という驚異的な増加率を示しています。
※3 ビジネスメール詐欺(Business E-mail Compromise):経営幹部や取引先などになりすまし偽のメールを組織や企業に送り付けるなどして、金銭や特定の情報を騙し取るサイバー犯罪。
※4 https://www2.deloitte.com/my/en/pages/risk/articles/91-percent-of-all-cyber-attacks-begin-with-a-phishing-email-to-an-unexpected-victim.html
2. パッチ未適用の脆弱性:インターネットに接続されたシステム(Webサイト、VPNなど)に存在する、パッチがまだ適用されていない脆弱性を悪用したランサムウェア攻撃が後を絶ちません。市場をリードするバグバウンティプログラムであるTrend Micro™ Zero Day Initiative™が公開した1,543件の脆弱性のうち、約50%にあたる771件が重要または重大と分類されています。
3. リモート・デスクトップ・プロトコル(RDP):RDPは、組織にとって有益な技術ですが、適切に保護されていない場合には攻撃者にも同じ利益を与えてしまう可能性があります。ランサムウェアを用いた攻撃者は、ブルートフォース攻撃やクレデンシャルスタッフィング攻撃をしかけたり、ダークウェブから正規のクレデンシャルを購入してRDPを悪用したりします。
4. Webサイト:一見信頼できそうなWebサイトでも、Webスクリプトに悪意のあるランサムウェアのコードが隠されていることがあります。そのサイトにアクセスした人は、気が付かないうちに自動的にそのコードをダウンロードし、そのコードはシステムを感染させ、データを流出させるべくITインフラを横断して広がっていきます。
攻撃経路の特性を理解して、ランサムウェア被害を抑制する
ドアにロックやアラームを付けるのと同様に、組織は潜在的な攻撃経路からの保護に努めなくてはいけません。これにより、組織全体のサイバーセキュリティ成熟度が高まり、リスクを鑑みたセキュリティ対策を組織自ら行っていることを示すことができます。それこそが、サイバー保険を販売する保険会社が顧客組織に対して期待していることでもあります。ここでは、上記の攻撃経路に適用可能なセキュリティ対策を紹介します。
1. メール
多層的なメールセキュリティを施すことで、より強固なメール対策が可能になります。従来のセキュリティだけではなく、内部の悪意あるメールを検出するゲートウェイや、文体の分析、より広範なセキュリティプラットフォームとの統合など、最先端の機能にも目を向けてください。また、このような技術的な対策を実施すると同時に、社内の「人」「文化」「プロセス」における脆弱性にも注意を払う必要があります。近年一般的となっているテレワークやハイブリッドワーク環境においては、特に重要です。こちらの内容もご参考ください。
2. パッチ未適用の脆弱性
脆弱性の悪用に対する強力な防御プログラムを構築するために、以下のパッチ管理のベストプラクティスを検討してください。
●社内で使用されているアプリに関連する脆弱性に焦点を当て、悪用されているアプリとそれらがビジネスにおいて重要なインフラの一部であるか否かを特定し、優先的にパッチを適用するプロセスを確立する。
●ネットワーク内の不審な動きを継続的に監視し、グローバルな脅威情報を活用したバグバウンティプログラムの最新情報を入手するなど、ゼロデイ計画を策定する。
●SaaSベンダと、ソフトウェアの旧バージョンへのロールバックの可能性や、自動的にロールバックを適用することが可能かどうかについて確認する。
●ベンダのパッチがリリースされるまでの間、仮想パッチを適用してシステムを保護する。特にOT分野でのOTシステムは手つかずの状況でサポートされていない事が多く、サイバー犯罪者のターゲットとして狙われることが増えており、仮想パッチの有力な対象となります。
●経済的損失のリスクが投資を上回ることを伝えることで、各ステークホルダーと双方の利益が一致することを確認する。
3. リモート・デスクトップ・プロトコルとWebサイト
ゼロトラスト戦略の一環としてSASE (Secure Access Service Edge)を導入することで多要素認証を超えたセキュリティを実装しましょう。SASEは、ゼロトラストネットワークアクセス(ZTNA)、セキュア Web ゲートウェイ(SWG)、CASB(Cloud Access Security Broker)の機能で構成され、アタックサーフェス(攻撃対象領域)全体の保護と制御を強化することができます。
その仕組みは次のとおりです。ゼロトラストネットワークアクセス(ZTNA)は、VPNに代わる理想的なソリューションで、アクセスの検証や、多要素認証によるユーザの認証、継続的なユーザの行動監視を実施し、システム停止のきっかけとなる不審な行動がないかを確認します。ゼロトラストネットワークアクセス(ZTNA)が仮想プライベートクラウドや組織のデータセンターにあるアプリケーションやリソースへのリモートアクセスを保護する一方で、セキュア Web ゲートウェイ(SWG)とCASBはインターネットへのアクセスを保護し、制御するために連携しています。
セキュア Web ゲートウェイ(SWG)は、インバウンドおよびアウトバウンドのWebトラフィックや組織が所有しないコンテンツからの脅威をブロックします。CASBでは、SaaSアプリへのアクセスだけでなく、アプリ内で実行可能な機能も制限することができます。例えば、Twitterにアクセスすることはできても、つぶやくことはできないといった具合です。
ランサムウェア対策には、統合的なアタックサーフェス可視化が有効
アタックサーフェス(攻撃対象領域)全体にポイント製品を導入しても、可視性が損なわれ、誤検知につながるだけです。エンドポイント、クラウド、ネットワーク、メールなどを総合的に可視化するために、上記のようなセキュリティ機能を備えた統合サイバーセキュリティプラットフォームを活用しましょう。
追記:XDR(Extended Detection and Response)機能を備えたプラットフォームは、複数のセキュリティ層にわたって脅威の活動データを収集・関連付けをするため、検証済みの実用的なアラートを表示することができます。そのため、セキュリティチームは調査や修復に集中することができます。
強固で総合的なランサムウェア対策は、自組織のセキュリティ体制を向上させるために役立ちます。またそれに加え、サイバー保険を販売する保険会社に対して、自組織が保険適用要件を満たしていること、あるいはそれを上回る対策を取っていることを証明するためにも、極めて重要だといえます。
Security GO新着記事
エバンジェリスト、ICU高校の生徒と語る ~AIの「悪用」と「活用」~
(2024年10月4日)
ショッピングサイトやオンラインストアへのサイバー攻撃を解説
(2024年10月4日)
結局、パスワードの定期的な変更は必要なのか?~NISTのガイドライン草案から考える~
(2024年10月4日)