第3回:ランサムウェア対策のすべて ――守るべき「3つのとりで」――
ネットワーク&セキュリティ
■登場人物紹介
●MIRAI(ミライ): 情報技術に詳しい、面倒見の良いAIロボット。ITコンサルタントとして、人々の悩みに寄り添いながら専門知識を分かりやすく解説してくれる。
●みなと: 中小企業に勤める社会人1年目。IT業界に飛び込んだばかりで、日々の業務に奮闘中。実務を通して、情報セキュリティの重要性と難しさに直面している。
※本記事に掲載している情報は2025年10月時点のものです。
目次
データを人質に取るだけでなく、情報の暴露までちらつかせる「二重脅迫」。スマートフォンや充電ポートなど、日常に潜む新たな感染経路。そして、アンチウイルスソフトでは検知しきれない「ファイルレスマルウェア」。ランサムウェアの脅威が、想像を絶するレベルで巧妙化・悪質化していることを知ったみなとは、その防御策が見えないことにがくぜんとする。果たして、この見えざる敵に立ち向かう術はあるのだろうか?
みなとMIRAIちゃん、対策をしようにも、何から手をつけたらいいのかな?ファイルレスマルウェアなんて、アンチウイルスソフトが効きにくいんじゃ、お手上げじゃないか……
MIRAIみなとくん、気持ちは分かる。でも、大丈夫。一つの鍵が破られても、次の扉、そのまた次の扉があれば、城の奥深くまでは侵入させない。それこそが、現代のセキュリティ対策の基本となる「多層防御」の考え方なの。
みなと多層防御……?
MIRAIええ。ランサムウェア対策は、大きく分けて4つの段階で考えると分かりやすいの。まずは「①入口対策」「②内部対策」「③出口対策」という3つのとりでで敵の攻撃を防ぎ、それでも万が一の事態に備えて「④復旧対策」という最後の希望を用意しておくの。
みなと3つのとりでと最後の希望?
MIRAIそう。まず「①入口対策」は、そもそも敵を城の中に入れないための防御。次に「②内部対策」は、万が一、敵が城内に侵入してしまった場合に、被害を最小限に食い止めるための防御。そして「③出口対策」は、敵に城の宝(情報)を持ち出させないための防御。最後の「④復旧対策」は、万が一、城が焼け落ちても、すぐに事業を立て直すための備えよ。
みなとなるほど!段階ごとに役割が違うんだね。
MIRAIそのとおり。じゃあ、まずは「①入口対策」から見ていきましょう。ランサムウェアの最も一般的な侵入口は、今も昔も「人」の心の隙を突くことよ。
みなと人……?
MIRAIええ。巧妙なフィッシングメールや、宅配業者を装ったSMS。攻撃者は、社員一人ひとりの「うっかり」を狙っているの。だからこそ、最も重要な対策は、定期的なセキュリティ教育と、標的型メール攻撃の訓練を行うこと。「不用意にURLはクリックしない」「情報を入力しない」という基本を、全社員が徹底することが、何よりの防御になるの。
みなとやっぱり、最後は人なんだね。
MIRAIそうよ。そのうえで、技術的な対策を重ねていくの。例えばこんな感じね。
・セキュリティソフトの導入:これは基本中の基本ね。
・OSやソフトウェアのアップデート:常に最新の状態に保ち、ぜい弱性をなくすこと。
・VPN機器やルーターの見直し:推測されにくい複雑なパスワードを設定し、不要なポートは閉じる。
みなとうんうん、基本的なことだけど、徹底するのが大事なんだね。
MIRAIそして、入口対策の新しい考え方として注目されているのが「ゼロトラスト」。
みなとゼロトラスト?「何も信頼しない」ってこと?
MIRAIまさにそのとおり!これまでは、社内ネットワークは「安全」、社外は「危険」という境界線で考える「境界型防御」が主流だった。でも、リモートワークやクラウドが普及した今、その境界は曖昧になっているわ。
みなと城の門さえ固めておけばOK、って考え方だったんだね。
MIRAIそういうこと。でもゼロトラストは、「社内も社外も関係なく、すべての通信を疑って検証する」という考え方。何かデータにアクセスしようとするたびに、「本当にあなた本人?」「そのアクセスは許可されている?」と厳しくチェックすることで、不正な侵入を水際で防ぐの。
みなと入口を固めても、巧妙な攻撃を100%防ぐのは難しいかもしれない……。もし、マルウェアが侵入してしまったら、どうすればいいの?
MIRAIそこで重要になるのが、「②内部対策」よ。「侵入されること」を前提に、いかに早く異常を検知し、被害を広げないかが勝負になるの。
みなと侵入を前提に?
MIRAIええ。ここで活躍するのが、EDR(Endpoint Detection and Response)という仕組み。
みなとEDR?アンチウイルスソフトとは違うの?
MIRAIいい質問ね。従来のアンチウイルスソフトが「入口で見張る警備員」だとしたら、EDRは「城内を常に巡回し、怪しい動きをする者がいないか監視する探偵」のようなもの。PCやサーバーの動きを常に監視して、「このプログラム、夜中に勝手にファイルを暗号化しようとしてない?」「正規のツールのはずなのに、外部と怪しい通信をしてない?」といった振る舞いから異常を検知するの。
みなと振る舞いで検知!心強いね!
MIRAIそれに加えて、ネットワークの分割も有効よ。これは、社内ネットワークを部署ごとなどに細かく区切っておくこと。もし経理部のPCが感染しても、営業部のサーバーにはアクセスできないように壁を作っておけば、被害を最小限に抑えられるわ。
みなと内部対策も分かったよ。でも、二重脅迫のことを考えると、データが暗号化されるのと同じくらい、情報が盗まれるのも怖いんだ。
MIRAIそのとおり。そこで最後のとりで、「③出口対策」が重要になるの。これは、万が一、敵が内部で情報を盗んでも、それを外に持ち出させないための対策よ。
みなと城の宝を外に運び出させないための、最後の関所だね!
MIRAIまさにそうね。例えば、DLP(Data Loss Prevention)という仕組みがあるわ。これは「情報漏えい対策」ツールで、社内から社外へ送られるメールやファイルの中身を監視して、「機密」というラベルが付いた情報が含まれていたら、自動で送信をブロックしてくれるの。
みなとそんな賢い見張りがいるんだ!
MIRAIええ。他にも、プロキシやDNSフィルターといった仕組みで、社内のPCが攻撃者の用意した危険なサーバーと通信しようとするのを防ぐこともできる。情報を盗んだ敵が、アジトにデータを送り返そうとするのを阻止するイメージね。
みなと入口、内部、出口。これだけ対策しても、それでも突破されてしまったら……?
MIRAIそれが最後の段階、「④復旧対策」よ。これはとりでではないわ。攻撃を受けてしまった後、いかに早く事業を元どおりにし、被害を最小限に抑えるかという、事業継続のための「最後の希望」なの。
みなと復旧……
MIRAIええ。その核となるのが、やはりバックアップ。ただし、ただのバックアップではダメ。重要なのは「3-2-1ルール」よ。
みなと 3-2-1?
MIRAI「3つ」のコピーを、「2種類」の異なる媒体に保存し、そのうち「1つ」はオフライン(ネットワークから切り離した状態)で保管するというルールよ。ランサムウェアはネットワーク経由でバックアップまで破壊しに来ることがあるから、物理的に隔離されたオフラインバックアップこそが、データを守る生命線なの。
みなとなるほど!オフラインなら、攻撃者の手も届かないんだね。
MIRAIそういうこと。そして、もう一つ絶対に欠かせないのが、DR計画(ディザスタリカバリ計画)、つまり「復旧計画」を事前に作っておくこと。
みなと復旧計画?
MIRAIええ。「もし感染したら、誰が、どこに連絡し、どのシステムから、どの順番で復旧作業を行うのか」。そういった一連の手順を、シナリオとして明確に文書化しておくの。いざという時に慌てず、冷静に対処できるように、日頃から訓練しておくことが企業の命運を分けるわけ。
みなとよく分かったよ、MIRAIちゃん。入口、内部、出口、そして復旧…。一つの対策だけじゃなくて、会社全体で、総合的に防御力を高めて、備えておく必要があるんだね。僕も、まずは自分の部署でできることから始めてみるよ!
※本記事における価格情報記載はすべて税抜表記です。
※Microsoft、WindowsおよびMicrosoftのロゴは、米国およびその他の国におけるMicrosoft Corporationの登録商標または商標です。
※その他、記載されている会社名、製品名は、各社の登録商標または商標です。
このコラムをシェアする
