押さえておきたいEC企業のランサムウエア対策。「復旧の予行演習」「平時のデータ管理」できてますか? 備えのポイント
出版大手のKADOKAWAが攻撃を受け、長期間に渡り「ニコニコ」のサービス停止を余儀なくされるなど、国内でもランサムウエアによる被害が多発している。ウェブでビジネスを手掛ける通販企業にとっても他人事ではない。どんな対策をすべきなのか。そして、攻撃を受けてデータが暗号化されてしまったら何をすればいいのか。ヴィーム・ソフトウェアでソリューション・アーキテクトを務める高橋正裕氏に聞いた。
最悪の事態に備えるため必要なアクションとは
企業の大小に関係なく無差別攻撃
――ランサムウエアを巡る最近の動向は。
どこかの企業や組織を標的とした攻撃というよりは、無差別に狙っているという感じがある。なので、企業の大小はあまり関係ない。攻撃側からすると「侵入できる隙があったから侵入した」ということであり、それが大企業のドアか零細企業のドアかということは、入ってみるまでわからない。
鍵のかかっていない入口から侵入され権限奪取、そして自由に攻撃されてしまうというのは、昔からの一般的な攻撃の流儀。最近はVPNのぜい弱性を突かれるケースが多いが、他にも侵入経路は考えられるし、「VPNのセキュリティーには気を付けているから大丈夫」というわけではない。もちろん、メールの添付ファイルを開いたらランサムウエアに感染することもありうる。
自然災害でデータが失われることも。データ保持は長期間で
――バックアップが重要になる。
ランサムウエア対策でどのくらいの期間バックアップデータを保存しておけばいいかというと、1~2週間ではなく、最低でも1か月、平均でも40日前のデータから戻さないといけないケースが多い。
そのため当社でも「できるかぎり長期間のデータをバックアップとして保存しておいたほうがいい」と助言している。最近はランサムウエアが取り上げられることが多いが、地震や自然災害でデータが失われることもあるので、会社の継続性を踏まえて事前にプランを立てておく必要があるのではないか。
身代金を払わずに済むための事前準備
――最悪のパターンを想定しておく必要がある。
東日本大震災の原子力発電所の事故を考えればわかると思うが、絶対起きないということはない。最悪の事態が起きてしまったときのことを考える必要がある。
たとえば、通販ならビジネスが止まったら売り上げがゼロになってしまう。その場合、電話やファクスでの注文で乗り切ることを考える必要もあるだろう。バックアップならどこまで保存しておいて、きちんと戻せることを確認しておく。
40日間取っておくとしたら、50日前のデータが必要になったとしても、それは想定外なので、次のアクションを考える、などといったものだ。
ランサムウエアで攻撃されてしまったとしても、バックアップがあるならワンクッション置けるのでクールダウンできる。
一番良くないのは、準備を何もせずに攻撃を受けて「どうしよう」となり、変なことをしてシステムが戻せなくなってしまう。もしくは払わなくてもいい身代金を支払ってしまう。
大切なのは「ビジネスを止めない」「情報を持ち出されない」
――あまりセキュリティー対策に予算を避けない中小の通販企業も少なくない。何をすべきか。
たとえば通販事業者の場合、システムが暗号化されたら商品データや顧客リストも使えなくなり、ビジネスが止まってしまう。攻撃者はそこを引き換えに身代金を要求するわけなので、絶対にバックアップは重要。
もう1つ、情報流出に関しては、何かしらの痕跡があるはずなので、監視ツールを入れるべきだろう。ビジネスが止まらないようにすること、そして情報を持ち出されないようにすること、という2点は考慮する必要がある。
ただ、近年はサーバーにクレジットカード情報は残しておらず、たとえばメールアドレスの流出だけならそこまで大きな問題にはなりにくい。そのため、一番重要なのはバックアップだろう。
バックアップだけでは不十分。データはリストアしよう
――攻撃者はバックアップも狙ってくる。
バックアップデータに関しては、攻撃者がアクセスできないような場所、つまりオフラインで保存しておく必要がある。
攻撃された際に、最初に壊されるのはアンチウイルスで、次がバックアップ。なので、すぐにアクセスできる場所以外にも保存しておく必要があるし、できれば「ゼロトラスト(何も信頼しないことを前提としたセキュリティー対策)」の考えに基づき、全く違う認証を使うとさらに安全。社内に通販サイトがあるならクラウドに、クラウドにあるなら別のクラウドに保存したい。
また、たとえば家に泥棒が侵入した場合、警察が現場検証をするからすぐに現場には入れないわけだ。データセンターも一緒で、暗号化などのトラブルがあったら同様に封鎖されてしまうので、そこにバックアップがあってもすぐには取り出せない。
データを取っておけば、通販サイトを別に立ち上げて復活できる。ただ、データがあってもそれをきちんと復旧できるかどうかは別。バックアップを取っておくだけで安心しているケースは多い。
システムやデータを確実に復旧できることを確認しておけば、復旧までの目安や算段がたつ。当社では、復旧するための予行演習は、その後のプロセスを確認するために「バックアップしたデータは必ずリストア(編注:バックアップからデータを復元すること)してほしい」と伝えている。
明暗を分けるのは平時のデータ管理
――身代金を支払う企業も少なくないようだが。
身代金を支払うかどうかは経営判断になる。ただ、支払ったところでシステムを戻せるかどうかはわからない。まずはデータ保護に力と金をかけて、暗号化されたときに身代金を支払うかどうかは、その会社次第ということになるのではないか。
現場は「データは○日分保護してあり、いつまでに復旧できる」という情報をすぐに出せるようにしておいた方がいい。それがわかれば、上層部も「それなら支払わなくていいか」となるかもしれない。
ただ、攻撃されてからそれを調べるのは無理。データをきちんと管理しておいて、平時からこうした情報発信について考えておくべきだろう。
※画像、サイトURLなどをネットショップ担当者フォーラム編集部が追加している場合もあります。
※見出しはネットショップ担当者フォーラム編集部が編集している場合もあります。
「通販新聞」について
「通販新聞」は、通信販売・ネット通販業界に関連する宅配(オフィス配)をメインとしたニュース情報紙です。物品からサービス商品全般にわたる通販実施企業の最新動向をもとに、各社のマーチャンダイジング、媒体戦略、フルフィルメント動向など、成長を続ける通販・EC業界の情報をわかりやすく伝え、ビジネスのヒントを提供しています。
このコーナーでは、通販新聞編集部の協力により、毎週発行している「通販新聞」からピックアップした通販・ECのニュースや記事などをお届けしていきます。
→ 年間購読を申し込む(通販新聞のサイト)
→ 通販新聞の過去記事を読む(通販新聞のサイト)
→ 通販新聞についてもっと詳しく知りたい