なぜSAP導入は失敗するのか?5つの原因とプロジェクト立て直しの実務
catfish_admin
経営リスクナビ
ランサムウェア対策の海外公的機関ガイドライン|CISA等の英語情報を解説
catfish_admin
企業のグローバル化が進む中、海外の最新動向を踏まえたランサムウェア対策は不可欠です。しかし、信頼できる海外の公式ガイドラインを効率的に探し出し、自社の対策に活かすことは容易ではありません。不正確な情報に基づいて対策を進めると、かえってセキュリティリスクを高める恐れもあります。この記事では、米国CISAをはじめとする各国の公的機関が公開している信頼性の高い英語の情報源や、実践的なベストプラクティスを網羅的に解説します。
目次
海外の主要な公的対策ガイドライン
米国:CISA『STOP RANSOMWARE』
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が公開する『STOP RANSOMWARE』は、ランサムウェア対策における包括的な指針です。このガイドラインは、連邦捜査局(FBI)など複数の政府機関が連携して作成しており、世界中で得られた実践的な知見が集約されています。攻撃者の侵入経路や手法を緻密に分析し、脆弱性の管理からインシデント発生後のデータ復旧に至るまで、実務に直結する具体的な手順やチェックリストを体系的に提供しています。現代の複雑なIT環境を考慮し、クラウドサービスなどを介したサプライチェーンリスクにも言及しているため、あらゆる組織が参照すべき国際的な基準とされています。
英国:NCSCのガイダンス
英国国家サイバーセキュリティセンター(NCSC)が提供するガイダンスは、組織の規模を問わず実践可能な被害軽減策を提示しています。特に、インシデント発生時の対応を段階的に整理し、マルウェアの拡散防止やオフラインでのデータ保管といった基本事項の徹底を求めている点が特徴です。また、身代金の支払いには一貫して厳しい姿勢を示しており、支払いがデータの安全な回復を保証せず、むしろ犯罪行為を助長するとの認識を強く促しています。法執行機関との連携を前提とした技術的対策と法規制に基づく方針を組み合わせ、インシデント発生時の混乱を最小限に抑えるための指針として機能します。
豪州:ACSCの対策アドバイス
オーストラリアサイバーセキュリティセンター(ACSC)の対策アドバイスは、優先的に実施すべき基本的な防御策を「エッセンシャルエイト」として明確化している点が特徴です。これは、費用対効果が高い8つの必須対策を厳選したもので、許可されたソフトウェアの実行制御、脆弱性への迅速なパッチ適用、管理者権限の厳格な制限などが含まれます。さらに、各組織が自らのセキュリティレベルを評価し、段階的に強化していけるよう「成熟度モデル」も提供しています。対策を具体的に絞り込むことで、リソースが限られた組織でも着実なセキュリティ強化を図れるよう工夫されています。
欧州:ENISAのレポート
欧州ネットワーク・情報セキュリティ庁(ENISA)のレポートは、広範な脅威動向を把握し、戦略的なセキュリティ投資を判断するための重要な情報源です。欧州全域のインシデントデータを集約・分析し、攻撃手法の進化やサプライチェーンリスクの増大などを定量的に示しています。年次で発行される脅威動向レポートでは、ランサムウェアを含む主要な脅威がランキング形式で報告され、攻撃者の狙いや手口が詳細に解説されます。客観的なデータに基づきサイバー空間の現状を俯瞰できるため、組織が長期的なリスク管理の枠組みを構築する上で不可欠な資料です。
米CISA『STOP RANSOMWARE』の要点
ガイドの目的と対象読者
このガイドは、あらゆる規模の組織をランサムウェアの脅威から守るための包括的かつ実践的な手法を提供することを目的としています。対象読者は、企業のITシステム管理者から経営層まで幅広く想定されており、技術的な対策と経営的なリスク判断をつなぐ役割を果たします。インシデントの予防策から発生時の対応、復旧手順までを一元的に網羅しており、組織が自社のセキュリティ体制を評価・改善するための自己点検基準として活用されることを意図しています。攻撃者の戦術や侵害の指標(IoC)も具体的に示され、現場の担当者が日常の監視業務に活かせるよう工夫されています。
推奨される予防策のポイント
予防策の核心は、攻撃者の侵入経路を断ち、システムの脆弱性を継続的に排除することにあります。多くのインシデントは、基本的なセキュリティ対策の不備が原因で発生するため、以下のような多層的な防御策を徹底することが求められます。
主な予防策のポイント
- 保有するIT資産を正確に把握し、インターネットに公開されている不要なサービスやポートを無効化する。
- リモートアクセスには必ず多要素認証(MFA)を適用し、推測容易なパスワードの使用を禁止する。
- すべてのソフトウェアとOSを常に最新の状態に保つため、厳格なパッチ管理プロセスを確立・運用する。
- 重要なデータは定期的にバックアップを取得し、ネットワークから物理的または論理的に隔離して保管する。
- バックアップデータが正常に復元できるかを確認するため、定期的に復元テストを実施する。
- 従業員に対するセキュリティ教育を継続的に行い、フィッシングメールなどへの警戒心を高める。
インシデント対応の要点
インシデント発生時には、被害拡大の防止、証拠保全、計画的な復旧を迅速に行うことが最重要です。初動の遅れや誤った操作は致命的な結果を招くため、事前に定められた計画に基づき、冷静かつ体系的に対応を進める必要があります。
インシデント対応の基本ステップ
- 感染が疑われる端末やサーバーを特定し、直ちにネットワークから隔離して被害の拡大を封じ込める。
- メモリ上の証拠が失われないよう電源は落とさず、システムログや通信記録を保全する。
- ログを解析して侵入経路、被害範囲、窃取された情報の有無などを特定する。
- ネットワーク内に潜むマルウェアやバックドア(裏口)を完全に根絶する。
- 安全性が確認されたクリーンなバックアップを用いて、システムとデータを復旧する。
- 復旧後も監視を継続し、再侵入の兆候がないかを慎重に確認する。
身代金支払いに関する見解
ガイドラインは、いかなる場合でも攻撃者に身代金を支払わないよう強く求めています。支払いは問題解決にならないばかりか、組織をより深刻なリスクに晒す行為とされています。
身代金を支払うべきでない主な理由
- 支払ってもデータが復元される保証はなく、復号キーが提供されない、または機能しないケースが多発している。
- 支払い能力がある組織として認識され、再攻撃の標的となるリスクが著しく高まる。
- 攻撃者の資金源となり、さらなるサイバー犯罪を助長することにつながる。
- 支払先が経済制裁の対象である場合、身代金の支払いが法令違反に問われる可能性がある。
多国籍チームにおけるインシデント対応の連携ポイント
多国籍企業におけるインシデント対応では、各国の法規制の違いを理解し、一元的な情報共有体制を確立することが不可欠です。データ保護法や当局への報告義務は国ごとに異なるため、連携不足は対応の遅れやコンプライアンス違反を招きます。インシデント発生に備え、事前に各拠点間の連絡窓口を明確にし、グローバルで統一された対応手順を定めておくことが重要です。国境を越えた緊密な連携と事前のルール策定が、グローバルなインシデントの迅速な解決を可能にします。
CISA以外の主要英語リソース
英NCSC『Ransomware Hub』
英国NCSCが運営する『Ransomware Hub』は、ランサムウェア対策に特化した実務的な情報ポータルサイトです。政府の高度な知見が集約されており、最新の脅威情報から具体的な防御策までを網羅しています。経営層向けのリスク管理手法から技術者向けのログ監視方法まで、利用者の役割に応じた多様なコンテンツが提供されており、日常のセキュリティ体制構築から緊急対応まで幅広く活用できます。
米NISTのサイバーセキュリティフレームワーク
米国国立標準技術研究所(NIST)が策定したサイバーセキュリティフレームワーク(CSF)は、サイバーリスクを管理するための世界的な標準指標です。セキュリティ対策を5つの機能に分類し、組織が自社の現状評価と改善目標の策定を論理的に行えるよう支援します。このフレームワークは、経営層と技術者の共通言語として機能し、ビジネス目標とセキュリティ対策を整合させる上で非常に有効です。
NISTサイバーセキュリティフレームワークの5つのコア機能
- 特定(Identify):組織のリスク管理に必要な情報資産やビジネス環境を理解する。
- 防御(Protect):重要なサービスを確実に提供するための適切な安全防護策を策定・実施する。
- 検知(Detect):サイバーセキュリティインシデントの発生を迅速に発見する。
- 対応(Respond):検知したインシデントに対して適切な行動を取る。
- 復旧(Recover):インシデントによって損なわれた機能やサービスを回復させる計画を立て、実行する。
FBIの勧告とアラート
米国連邦捜査局(FBI)が発信するセキュリティ勧告やアラートは、実際の犯罪捜査の最前線で得られた貴重な脅威情報です。攻撃者が用いる最新の手口や標的となる業界の傾向、マルウェアの技術的特徴、悪意あるサーバー情報といった具体的な侵害の指標(IoC)が迅速に公開されます。これにより、組織はリアルタイムの脅威情報に基づいた実効性の高い防御策を講じることが可能になります。被害に遭った際の報告窓口も提供しており、集約された情報がさらなる犯罪防止に役立てられています。
海外のベストプラクティス
予防:攻撃対象領域の削減
不正侵入を防ぐ最も効果的な予防策の一つは、攻撃者から見えるシステムの接点、すなわち「攻撃対象領域(Attack Surface)」を可能な限り削減することです。攻撃者は常に外部からアクセス可能な弱点を探しているため、不要な入り口を塞ぐことが極めて重要です。
攻撃対象領域を削減する具体的な方法
- 組織内のすべてのIT資産(サーバー、ソフトウェア等)を正確に把握し、台帳管理する。
- 業務上必須ではないサービスや通信ポートをファイアウォールで遮断する。
- 従業員に付与するアクセス権限は、業務遂行に必要な最小限にとどめる。
- 退職者や異動者のアカウントを速やかに無効化または削除する厳格なプロセスを設ける。
検知:不審な活動の早期発見
完璧な防御は困難であるため、侵入されたことを前提とし、内部での不審な活動を早期に発見する監視体制の構築が不可欠です。攻撃者が目的を達成する前にその活動を検知できれば、被害を未然に防ぐことが可能になります。
不審な活動を早期発見するための監視体制
- 各種サーバーやネットワーク機器のログを一元的に収集し、自動分析システムで異常を監視する。
- PCなどの端末にEDR(Endpoint Detection and Response)を導入し、不審な振る舞いを検知・通知する。
- 外部の専門機関が提供する最新の脅威インテリジェンスを活用し、自社のログと照合して攻撃の兆候を発見する。
対応:封じ込めと根絶のステップ
インシデント発生時は、被害の拡散を防ぐ「封じ込め」と、脅威を完全に排除する「根絶」を計画的に実行することが重要です。現場の判断による不用意な操作は、証拠の隠滅や被害の拡大を招く危険性があります。
インシデントの封じ込めと根絶のステップ
- 【封じ込め】異常が確認された端末を直ちにネットワークから切り離し、被害範囲を限定する。
- 【調査】専門ツールを用いてシステム内部を解析し、マルウェア本体や不正アカウントなどをすべて特定する。
- 【根絶】特定された不正な要素を完全に削除し、悪用された脆弱性にパッチを適用する。
復旧:バックアップからの安全な復元
システムの復旧は、安全性が確認されたクリーンなバックアップデータを用いて行うことが絶対条件です。マルウェアが潜んだバックアップから復元すると、再感染を引き起こし、これまでの対応が無駄になるためです。
安全なバックアップ復元の手順
- 使用するバックアップデータがマルウェアに感染したり改ざんされたりしていないか、厳密に検査する。
- ハードディスクを完全に初期化したクリーンなシステム環境を準備する。
- 安全性が確認されたバックアップデータを、準備した環境に慎重に復元する。
- 復旧後、システムが正常に稼働することを確認し、数日間はネットワーク通信を厳重に監視する。
海外ガイドラインを国内で適用する際の留意点
海外の優れたガイドラインを国内組織に適用する際は、日本の法制度や商習慣との違いを考慮し、自社の実態に合わせて内容を調整する必要があります。例えば、インシデント発生時の監督官庁への報告義務や期限は国によって大きく異なるため、日本の個人情報保護法などの国内法令に準拠した手順に修正しなければなりません。海外の基準をそのまま導入するのではなく、その骨子を活かしつつ、自組織の文化や予算に合わせて柔軟にカスタマイズすることが、実効性のあるセキュリティ体制の構築につながります。
頻出する英語専門用語
攻撃手法に関する用語
海外の脅威レポートを理解するためには、攻撃手法に関する基本的な用語の知識が不可欠です。
主な攻撃手法に関する用語
- Ransomware(ランサムウェア):データを暗号化し、復号と引き換えに金銭(身代金)を要求するマルウェア。
- Phishing(フィッシング):正規の組織を装ったメールなどで偽サイトに誘導し、IDやパスワードを窃取する詐欺手法。
- Exploit(エクスプロイト):ソフトウェアの脆弱性を悪用して、不正な処理を実行させるコードや攻撃手法。
- Lateral Movement(ラテラルムーブメント):ネットワークに侵入後、内部の他の端末へ感染を水平展開していく活動。
- DDoS Attack(分散型サービス拒否攻撃):多数のコンピューターから標的のサーバーへ大量の通信を送りつけ、サービスを停止させる攻撃。
防御策に関する用語
適切なセキュリティ対策を検討・導入するためには、防御策に関する用語を正確に理解することが重要です。
主な防御策に関する用語
- Zero Trust(ゼロトラスト):ネットワークの内外を問わず、すべての通信を信頼せずに常に検証するというセキュリティモデル。
- Multi-Factor Authentication (MFA)(多要素認証):パスワードに加え、SMSコードや生体情報など複数の要素で本人確認を行う認証方式。
- Patch Management(パッチマネジメント):ソフトウェアの脆弱性を修正するプログラム(パッチ)を体系的に管理・適用するプロセス。
- Whitelisting(ホワイトリスト化):あらかじめ許可された安全なプログラムや通信のみを許可し、それ以外をすべて拒否する制御方式。
- Encryption(暗号化):データを第三者に読み取られないように、特定のルールに従って変換すること。
インシデント対応に関する用語
緊急時に円滑な対応を行うためには、関係者間でインシデント対応に関する用語の認識を統一しておく必要があります。
主なインシデント対応に関する用語
- Containment(封じ込め):被害の拡大を防ぐため、感染したシステムをネットワークから隔離すること。
- Eradication(根絶):システムからマルウェアや不正な設定などを完全に排除すること。
- Recovery(復旧):安全なバックアップからシステムやデータをインシデント発生前の状態に戻すこと。
- Forensics(フォレンジック):コンピューターや記録媒体から、法的な証拠となるデータを収集・分析する技術やプロセス。
- Indicator of Compromise (IoC)(侵害の指標):攻撃の痕跡を示すIPアドレスやファイルハッシュなどの客観的なデータ。
よくある質問
CISAとはどのような組織ですか?
CISA(Cybersecurity and Infrastructure Security Agency)は、米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁のことです。国土安全保障省(DHS)の傘下にあり、米国の重要インフラをサイバー攻撃や物理的な脅威から保護する中核的な役割を担っています。連邦政府機関のネットワーク防御を支援するだけでなく、民間企業や一般市民に対しても、最新の脅威情報、脆弱性に関する警告、対策ガイドラインなどを広く提供しています。
最新情報の収集におすすめの英語サイトは?
信頼性の高い最新情報を得るには、各国の政府機関が運営する公式サイトを定期的に確認することが最も確実です。これらのサイトは、実際の攻撃データに基づいた一次情報を迅速に公開しています。
最新情報の収集に推奨される公的サイト
- StopRansomware.gov(米国):CISAやFBIなど複数の米国政府機関が連携して運営するランサムウェア対策の統合ポータル。
- National Cyber Security Centre (NCSC)(英国):最新の脅威動向や実践的な防御ガイダンスを豊富に提供。
- European Union Agency for Cybersecurity (ENISA)(欧州):欧州全域の統計データに基づいた網羅的な脅威レポートを公開。
日本と海外のガイドラインに違いはありますか?
基本的な技術対策の方向性は共通していますが、準拠すべき法制度や背景となる文化に違いがあります。サイバー攻撃への防御技術は世界共通ですが、インシデント発生時の報告義務などは各国の法律に依存するため、海外のガイドラインを適用する際は国内法との整合性を確認する必要があります。
| 観点 | 海外のガイドライン(主に欧米) | 日本のガイドライン |
|---|---|---|
| 法的背景 | GDPRなど強力なデータ保護法に基づき、違反時の制裁が厳しい。 | 個人情報保護法に基づき、報告義務や本人通知が規定されている。 |
| 身代金支払 | テロ資金供与対策などの観点から、支払いに伴う法的リスクを強く警告。 | 支払いを推奨しない姿勢は共通だが、法的リスクに加え、事業継続への影響も考慮した総合的な判断が求められる傾向がある。 |
| 内容の焦点 | 具体的かつ技術的な対策手順やチェックリストの提示が中心。 | 経営層のリーダーシップ啓発や、組織体制の構築を重視する傾向。 |
まとめ:海外の公式ガイドラインを活用し、ランサムウェア対策を高度化する
本記事では、ランサムウェア対策における海外の主要な公的ガイドラインと英語リソースを解説しました。米国CISAの『STOP RANSOMWARE』や英国NCSCのガイダンスなどは、攻撃者の手口に基づいた実践的な予防、検知、対応、復旧策を提供しており、信頼性の高い情報源です。これらの国際的なベストプラクティスは、自社のセキュリティ体制の成熟度を客観的に評価し、強化すべき領域を特定するための重要な判断基準となります。まずはCISAのチェックリストなどを参考に、自社のIT資産管理やバックアップ体制、インシデント対応計画に抜け漏れがないかを確認することから始めましょう。ただし、海外の指針を国内で適用する際は、日本の個人情報保護法などの法規制との整合性を確認することが不可欠であり、具体的な導入計画については専門家へ相談することをお勧めします。
Baseconnect株式会社
サイト運営会社
本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。
当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。
加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。
