Contents
技術編より
1. whois
5.3 バックアップ 事業継続に必要なシステムとデータのバックアップは、RaaS 対策でも最も重要である。 対象となるシステム及びデータ、世代管理、復旧方法等はデータ管理プロセスの中で、決定されるべきである。 ◼ 組織のデータ管理プロセスの確立 組織のデータの特性に基づいた管理プロセスを確立し、実行する。これにデータの場所、デバイ ス、ネットワーク経路、機密度、暗号化、知る必要に基づくアクセス制限(これにはドキュメン ト、ファイル、データベース、アプリケーション、クラウド、サービス等での認証と読取、書込、 変更、削除などの操作権限が含まれる)、バックアップの方法、場所と復元及びその権限、保存期 間、世代管理、法定要件、データのラベリング、データの生成、送信、変更、廃棄に関する要件を まとめる。 ◼ 知る必要に基づくアクセス制御 組織のデータ管理プロセスに基づき、バックアップに対して知る必要に基づくアクセス制御を設定 する。これにはファイル、データベース、アプリケーション、クラウド、サービス等でのアクセス 権限と、読取、書込、変更、削除などの操作権限、ログの取得、バックアップ及び復旧の権限設定 が含まれるが、必要最小限でなければならない。 ◼ バックアップデータの暗号化 組織のデータのバックアップと復旧プロセスに基づき、バックアップデータを暗号化する。組織が 必要とする世代の復旧が実際にテストされ、手順書が確立されていなければなら
- 36 - を行うと、手掛かりを失いフォレンジックに失敗する場合がある。この場合、データの漏洩なども確認でき なくなる可能性がある。初動については、必ず専門家の助言を受けつつ実施する。 ◼ ネットワークの停止 VPN 機器の停止、インターネットの全回線遮断、もしくは接続を許可するホワイトリストを適用す る。コンピュータの電源は遮断しない。 ◼ パスワードの変更 パスワードを窃取された場合に備え、封じ込め時に VPN やドメインアカウント、その他サービス で利用しているパスワードを即刻変更する。 パスワードの変更やログイン履歴を確認し、ログを保全する。 ◼ 封じ込めができた後に攻撃者の排除 侵害機器やアカウントを回復する。 グループポリシーの変更、ユーザやセキュリティグループの変更、追加、削除などを確認し、不審 なアカウントは無効にする。 フォレンジック業者の指示のもと、フォレンジックに備え必要な機器の保全を実施する。 ◼ 全事象の記録 確認された事象や設定措置、実施時刻等は、すべて対策本部で一元的に管理する。
6.3 復旧
封じ込め、攻撃者の排除の後、原因の解明、残っているマルウェアの排除などが必要となる。 また、バックアップからの復旧、監視が必要となる。 ◼ フォレンジックの実施 フォレンジックによる検体の確保、検体に基づくアンチウイルスのパターン作成、データ流出の確 認を実施する。 ◼ アンチウイルスによるマルウェアの排除 検体に対応したパターンを配布し、マルウェアを排除する。ただし、BIOS、UEFI が侵害された場 合は、再感染するため、初期化を実施する。 ◼ バックアップからの復旧 手順書に基づくバックアップからの復旧を実施する。また、バックアップに含まれなかったデータの復元を実施する。 ◼ ダークウェブの監視 ランサムウェア被害の場合、データが漏洩する可能性があるため、ダークウェブの監視を開始する。 状況に応じてフォレンジック業者に依頼する。 ◼ 手順等の見直し 復旧が済んだ時点で、速やかに手順書等の見直しを行い更新する