昨今、日本でランサムウェアの被害が増加しています。警察庁に報告があった、企業・団体等におけるランサムウェア被害の件数を見てみると、2021年下半期は、2020年下半期と比べて約4倍になっています。データという組織の重要な資産を、サイバー攻撃の脅威から確実に保護する必要性が高まっています。
そうした中、アナリティクスと実用的なデータインサイトを活用することで、自社のデータについてより深く知ることができ、それによりインテリジェントに管理することができます。データ分析は、重要な機密ファイルをより安全に保護する上で重要なツールなのです。
データ保護に有効なデータを分析するには、クラウド、SaaS、オンプレミス、仮想、物理、アプリケーション、ファイルデータなど、データ全体を見渡すことができ、現状の評価や潜在的な脅威への対応が可能なツールが必要です。
そこで、データ解析とそこから得られるインサイトを活用して、データを保護し、脅威に対応するための方法を紹介します。
ゼロトラスト戦略を支えるデータ解析の活用
昨今、企業ではテレワークの普及に伴い、従業員は社外で働くようになり、データもこれまで以上に社外に広がっています。こうした状況で有効なセキュリティの概念として、ゼロトラスト・セキュリティに注目が集まっています。ゼロトラスト・セキュリティとは、すべてを信頼することなく、その安全性を検証するという考え方です。
では、データのインサイトやアナリティクスは、どのようにゼロトラスト・セキュリティをサポートするのでしょうか。その答えは簡単で、データ分析によって、データがどこにあり、誰がそれにアクセスし、そのデータが適切に保護されているかどうかという情報を得ることができます。
オープンにアクセスできるファイルを保護する
ゼロトラスト戦略の中心的な要素の一つは、データへのアクセスを管理することです。特にオープンにアクセスできる機密データファイルを検出し、対処することが重要です。
上記の画面では、完全にオープンなアクセス性 (Linuxでは777 perms) を持つファイルの詳細がレポートされています。このようなファイルは、どのユーザーも閲覧可能であり、削除、操作、または悪意のある意図で使用することができます。
こうしたファイルを保護するには、誰が何をできるかを制限するために、アクセスレベルを制限することが重要です。もちろん、このレベルの分析は、オープンなファイルに限定されるものではありません。あらゆる種類のアクセスの組み合わせに対してレポートを作成し、必要に応じて不適切なパーミッションやコントロールを修正することが求められます。これらの権限問題に対するレポートも重要ですが、迅速に修正できることが、被害を防ぐためにも重要です。
孤立しているファイルを保護する
自社の環境に対するデータアクセスを保護するもう一つの重要な方法は、孤立しているファイルを見つけることです。こうしたファイルは、組織の一員でなくなったユーザーやグループがかつて所有していたため、公開されている可能性があります。
そこで、ファイルアクセス許可の修正と同様に、これらのデータセットに所有権を割り当て、データセットをロックすることで、その中の機密データや重要なデータが不適切にアクセスされるリスクを軽減することができます。
攻撃対象領域を減らす
最後に、攻撃対象領域を減らすことで、サイバー攻撃に対する全体的なリスクを軽減することができます。 データ解析と洞察により、環境内の重複、冗長、または不要なデータセットに関連するデータスプロールを排除することができます。
データが特定されたら、アーカイブするか、安全な場所に移すか、あるいは単にデータを削除するかを選択します。不要なデータを取り除くことで、リスクを軽減することができます。
データインサイトを活用してサイバー攻撃の影響を評価
よく耳にする言葉かもしれませんが、サイバー攻撃に関しては、残念ながら「もし起こったら」ではなく「いつ起こるか」が問題です。遅かれ早かれランサムウェアのインシデントに直面すると考えていれば、事前に対応策と復旧計画を準備することができます。その対応策の一環として、攻撃によって受けた影響を評価する必要があります。
- どのようなシステムに影響があったのか
- それらのシステム内のどのようなデータが流出した可能性があるのか
- それらのファイルの中に機密情報や重要な業務データが含まれていなかったか
上記を知ることで、データ侵害、流出、そして攻撃者がファイルの暗号化を解除するだけでなく、機密データをインターネットに公開しないように支払いを求める「二重脅迫型ランサムウェア」の脅威を評価することができます。
脅威を警告するだけでなく、どのファイルやシステムが影響を受けたか、そしてそのファイルに機密データが含まれているかどうかを迅速に把握し、対応することが肝要です。可能な限り早期に警告を行うために、バックアップデータに異常がないかスキャンするだけでなく、潜在的な脅威がないかライブ環境を積極的に監視することが求められます。
このような知識と早期警告があれば、トリアージの優先順位付け、復旧作業の適切な指示、脅威への迅速な対応が可能になります。提供される分析とデータインサイトは、潜在的な侵害の評価、重要なデータの流出、およびインシデントの影響の全体的な範囲に関する重要な情報を提供します。
このように、自社のデータをより深く理解することで、データへのアクセス方法をよりインテリジェントに制御し、ゼロトラスト・ポリシーを適用して潜在的な脅威を迅速に低減することが可能になります。データ分析を、サイバーセキュリティ計画の一環としてとらえることが重要になってきているのです。