サイバー攻撃は眠らない！セキュリティ対策にデータのバックアップが大切です

2022年3月1日に自動車部品メーカーのサーバーがサイバー攻撃された影響により、日本を代表する自動車メーカーの全工場が一時稼働停止する事態となった事は記憶に新しいですね。
暫定対応で一日だけの稼働停止で済みましたが、巨大産業のサプライチェーン多大な影響を与えた為、同日に関係7省庁から注意喚起がされました。

「サイバーセキュリティ対策の強化について注意喚起を行います」（2022年3月1日発表　経済産業省HPより）
https://www.meti.go.jp/press/2021/03/20220301007/20220301007.html

今回は関係7省が発表したセキュリティ対策案を解説してまいります。

高まるサイバー攻撃の脅威とは

2月23日に経済産業省はサイバー攻撃事案の潜在的なリスクは高まっていると注意喚起を行ってきていました。

「昨今の情勢を踏まえたサイバーセキュリティ対策の強化について注意喚起を行います（2022年2月23日発表　経済産業省HPより）
https://www.meti.go.jp/press/2021/02/20220221003/20220221003.html

しかし3月1日に件のサイバー攻撃があり、ほぼ同内容で関係7省庁から再度注意喚起する事態となりました。

近年のサイバー攻撃の動向

サイバー攻撃とは、ネットワークを通じてサーバやパソコンなどのコンピュータシステムに侵入し、データの破壊や盗み出し、改ざんなどの危害を加える犯罪です。
サイバー攻撃は時代によって変化があり、最近のサイバー攻撃の動向はランサムウェアなどの所謂「身代金型ウイルス」による被害が主流になっています。
過去は愉快犯による嫌がらせのサイバー攻撃が主流でした。そのため攻撃を受けたらすぐに判明できるような「目立つ攻撃」だったため、すぐに対策を講じることが出来たのが特徴です。

しかし現在は金銭的な目的をもって巧妙な手口を仕掛ける組織犯などの攻撃が主になっています。これらの攻撃の特徴は「目立たない攻撃」として、攻撃にすぐに気が付くことが出来ず、被害が拡大・長期化しやすいことです。

（総務省：サイバー攻撃の最近の動向等について）

セキュリティ対策案のポイント

経済産業省が2月23日に発表したサイバーセキュリティ対策の強化案には主に3つの対策があります。

1. リスク低減のための措置
   本人認証の強化やＶＰＮ装置等の脆弱性の確認とバッチの適用、添付ファイルの開封やＵＲＬを不要にクリックしない等のリスク軽減対応をすること
2. インシデントの早期検知
   サーバ等のログを確認したり、通信状態の再点検等をしてサイバー攻撃の早期検知を心掛けること
3. インシデント発生時の適切な対処・回復
   データ消失等に備えて、データのバックアップの実施と復旧手順の確認をすること

これらを見るに注意喚起するけれど具体策は自助努力で解決が基本ということですね。
では実際にどのような対策を行うかについて「３．インシデント発生時の適切な対処・回復」の重要性を考えてみましょう。

類似事例から考えるセキュリティ対策の重要性

四国の病院において電子カルテのデータがランサムウェアにより暗号化され、診療の一部を停止し、通常診療に戻るのに約2か月の期間を要してしまいました。
医療機関を狙う事例は増えており、厚生労働省においても安全管理に関するガイドラインの改定を急遽取り組まれており、4月に第5.2版が公表される予定で、以下の内容の記載があります。

（3） サイバー攻撃を受けた際の非常時の対応
ランサムウェア等のようにデータ自体を利用不能にするようなものについてバックアップデータまで被害が拡大することのないよう、バックアップを保存する電磁的記録、媒体等の種類、バックアップの周期、世代管理の方法、バックアップデータを保存した媒体を端末及びサーバ装置やネットワークから切り離して保管すること等を考慮して対策を講じることが強く求められる。

（出典）医療情報システムの安全管理に関するガイドライン 第 5.2 版（案））

ネットワークから切り離された媒体保存を推奨しているので、システム担当者の方は時代錯誤だよと戸惑うかもしれませんね。

オフラインバックアップの必要性

しっかりと対策を講じているから当社は大丈夫だよ。と思う方もいらっしゃるかもしれませんが、前述の病院ではネットワークを介してバックアップ保存していたデータも被害にあわれたそうです。貴社は本当に大丈夫でしょうか？

以前の不特定多数をターゲットにして、嫌がらせ目的でウィルス感染させていた時代と違い、現在は特定の企業の脆弱性を狙って巧妙に攻撃してきます。
どんなに対策を講じても１００％の安全保証はありません。
大丈夫は何もしない事と同義語で、大丈夫ではない時に備えて何をすれば良いのか、どのようにリスク軽減を図ることができるのか、常にＰＤＣＡサイクルで対策を講じていくしかないと言えるでしょう。

昨今はシステムをオンプレミスからデータセンターやクラウド環境に移行するケースが増えていますが、データの保存義務は契約書に記載無ければシステム事業者やクラウド事業者にはありません。
この機会に、契約内容を確認されてみるのも良いかもしれません。今時テープ装置なんか持っていないケースも多いかもしれませんが、ＨＤＤやＮＡＳを利用しつつ、重要なシステムに関しては、データ消失時を想定して、適切な世代・種類・方法等を改めて検証し、安心して眠れる夜を迎えたいものです。

まとめ

現在スマートフォンの普及、クラウドやIoT技術の発達により、社内のITインフラ環境は様変わりしました。しかしそれに合わせてサイバー攻撃の手口も日々進歩しており、現在ではそれを完全に防ぐのは非常に困難です。
攻撃を防ぐ対策を講じることは勿論、実際に攻撃を受けた際に素早い回復をするため、会社としてインシデント発生時の対応策を講じる必要があります。

当社ではオフラインバックアップに使えるサービスとして「バックアップメディアの保管・集配」をご用意しております。その他サイバーセキュリティ対策に関するご相談も承っておりますので、お気軽にお声がけください。