医療クラウドにおけるランサムウェア攻撃予防対策(後編)

コメントをどうぞ

前編はこちら

NISTの「重要インフラのサイバーセキュリティを向上させるためのフレームワーク1.1版」(日本語訳:https://www.ipa.go.jp/files/000071204.pdf)では、フレームワーク・コアの機能(Function)として、「特定(Identify)」「防御(Protect)」「検知(Detect)」「対応(Respond)」「復旧(Recover)」を定義している。以下では、CSAが各機能ごとに整理した、医療クラウドならではのマルウェア対策上の留意事項を紹介する。

特定(Identify):

  • 資産、ビジネス環境、ガバナンス、リスク管理、サプライチェーンの特定は、医療機関のサイバーセキュリティプログラム構築の基盤となる。医療機関がクラウド上にデータを保存する場合、ランサムウェア攻撃被害の復旧対策上、データがどこに保存され、その場所でどんな規制が適用されるかを把握しておかないと、データ損失の事態を招きかねない。そのためには、すべての文書や手順、プロセスを確実に文書化しておくことが求められる。

防御(Protect):

  • ランサムウェアに限らずすべてのマルウェアからの防御策として、アイデンティティ/アクセス管理(IDM)が挙げられる。IAMは,クラウド環境における境界の構成上、重要な役割を担っている。医療機関は、最小限特権の原則に従って、特権アカウント利用を厳格に管理する必要がある。絶対に必要でない限り、管理者アクセス権限をユーザーに付与すべきでない。
  • すべてのリモートアクセスに対して、多要素認証を要求すべきである。ファイルやディレクトリ、ネットワーク共有の許可など、アクセスコントロールは、最小限特権の原則に基づいて構成するよう留意すべきである。また、ユーザーが特定のファイルを読み出すだけですむ場合は、ファイルやディレクトリ、共有に書き込むためのアクセス権限を設定すべきでない。
  • ランサムウェアからデータを保護する方法として、バージョニングがある。データは不変であり、いかなる修正も新たなバージョンを生む結果となる。暗号化攻撃は、新たなバージョンを生む結果となるので、バージョニングは、効果的なランサムウェア対策となる。ただし、すべてのプロバイダーがバージョニングを提供しているわけではないので、プロバイダーの可用性を検証する必要がある。
  • クラウドへの定期的なバックアップは、ランサムウェア攻撃からの復旧の効果的な方法となり得る。ただし攻撃が遅延すると、マルウェアが同期サイクルに入り込んでクラウドにコピーされる可能性がある。ランサムウェアの脅威から防御するためには、データ暗号化と準同型暗号の利用を組み合わせて、継続的なデータ管理を可能にして、クラウド上で暗号化し保存する方法がある。そして、クラウドの不変(Immutable)/WORM(Write Once Read Many)ストレージが、ランサムウェアからの新たなリスクに取組む確実な方法となる。
  • 準同型暗号は、暗号化データの継続的な管理を可能にして、標準的な暗号化手法に関連する問題を劇的に低減する一方、継続的なデータのインデックス付け、検索、管理・ガバナンスプロセス全体を保証する。不変/WORMストレージへのデータの書き込みは、バックアップの感染/暗号化を停止させて、感染した企業を復旧させるのに役立てることができる(出典:Tolson, 2020)。

検知(Detect):

  • マルウェア検知、行動に基づく異常検知、侵入検知のすべてがイベント検知に利用される。その目的は、発生しているイベントを検知し、適切な対応を始動させて、攻撃に関する情報をセキュリティチームに提供することにある。
  • エンドポイントセキュリティは、ウイルス対策、マルウェア対策、ランサムウェア対策から構成されるべきである。これら3つはすべて、エンドポイントが完全に保護されていることを保証するために必要である。
  • ユーザーやエンドポイントの活動の継続的モニタリングは、動的に更新された一連の攻撃活動パターンに対する活動記録の流れをマッチングすることによって、悪意のある行動に対する保護を支援する。従って、脅威が特定されると、ランサムウェアの感染拡大を停止させるために、エンドポイントで直ちに分離される。
  • 完全性モニタリングツールは、事業所内のファイルやコンポーネント上で発生した攻撃を検証、理解、評価する能力を提供する。異常な時間、または通常資産に変更を加えないに実行された変更のように、ファイルまたはシステムへの異常な変更が検知された時、セキュリティチームに行動するよう通知するアラートを設定することが可能である。
  • 医療機関は、コンピューターやネットワークへの不正アクセスをブロックする次世代ファイアウォールを使用することが重要である。ファイアウォールは、マルウェアを提供する可能性があるサイトに特に焦点を当てたwebフィルタリングで拡張されるべきである。SSL復号化機能も含まれるべきである。
  • ユーザー/要員が、ウイルスやマルウェアの定義が頻繁に更新されたマルウェア・ウイルスチェッカーを稼働させる時、セキュリティソフトウェアは、ランサムウェアを検知して、ユーザー/要員にその存在を警告する。一度ランサムウェアが検知されると、管理者はそれを隔離・削除することができる。その他の検知技術としては、既知のランサムウェアファイル拡張および/またはファイル名変更のモニタリングがある。

対応(Respond):

  • 対応には、関連するプログラム展開の停止、ユーザーアカウントの無効化、システムの隔離などがある。活動には、ソフトウェアのシステムからの分離、サービスの回復、分析やフォレンジック向けの安全な環境への脅威の複製などがある。
  • 医療機関がとるべき最初のステップは、どのシステムが影響を受けたかを決定し、即座にそれを隔離することである。複数のシステムまたはサブセットが影響を受けたと思われたら、スイッチレベルでネットワークをオフラインにすべきである。インシデント中に個々のシステムを接続しないようにすることは実行不可能な場合がある。もし、ネットワークを一時的にオフライン化することができない場合には、ネットワークケーブルを見つけて、影響を受けたサービスをネットワークから外すか、Wi-Fiから離す必要がある。デバイスが接続を外すことによって隔離できない場合は、電源をダウンする必要がある。
  • 一度感染したシステムが隔離されたら、セキュリティ対応は、ランサムウェアのソースを特定する必要がある。ソースを特定することによって、感染を追跡し、システムを救済しやすくなる。セキュリティ要員は、すべてのツールや実行されているモニタリングからのアラートを注視する必要がある。
  • ログファイルでは、ソースが特定できるいかなる異常もチェックすべきである。また、セキュリティ要員は、ローカルおよびネットワークファイル共有上で、疑いのあるトラフィックやファイル名変更を注視するとともに、クラウドストレージのチェックを忘れてはならない。
  • 感染を追跡することにより、医療機関は、被害の程度を評価することが可能になる。評価の対象には、すべての資産、すべてのデバイスやストレージ、そしてクラウドを入れなければならない。セキュリティ要員は、感染がどこに浸透しているかを確認した上で、ランサムウェア固有の特徴を特定する必要がある。感染取扱の選択肢は、システム感染の特徴に基づいて変わる可能性があり、医療機関には、適切な救済活動をとることが求められる。
  • 次のステップは、影響を受けたシステムの回復・復旧に向けたトリアージと、重要システムの回復に向けた特定と優先順位付け、影響を受けたシステム上に置かれたデータの特性の確認である。回復と復旧は、医療と安全性のために重要なシステムや、それらが依存するシステムを含む、予め定義された重要資産リストに基づいて、優先順位付けされるべきである。
  • セキュリティ要員が、システムの救済策を始めるに際して、以下のようなソリューションがある。
    • クリーンバックアップから回復する。
    • よいバックアップがない/よいバックアップが利用できない場合、医療機関は損失を受け入れて、損失したデータの再作成を試みる
    • 身代金を支払って、データを復号化する鍵の提供を期待する
  • システムが回復され、オンラインに戻す前に、要員は、攻撃者が残した可能性がある隠れたマルウェアがないことを確認すべきである。また、システムがすべてのパッチで更新され、脆弱性対策が行われていることを検証する必要がある。

復旧(Recover):

  • データがクラウド上で保存されている場合、オンサイト・システムとクラウドベースのシステム双方が復旧できる可能性がある。災害復旧計画でクラウドからのデータ回復を求めている場合、バックアップ計画が不変/WORMストレージを利用して、バックアップからデータを回復できるシナリオと、バックアップが複製を利用して、地理的に離れた場所に置くシナリオが想定される。このような場合、クラウドデータも感染していると想定する必要がある。
  • ガートナーによると、データがバックアップから回復できない利用として、以下の3点が考えられるという。
    • 攻撃があったことを誰かが認識する数週間前に、データ/システムが危険にさらされた可能性がある。
    • 数週間古いデータからのバックアップでは有効性が疑わしい。
    • バックアップが生成された時のスキャニングは必ずしも機能するとは限らない。
  • 生産環境に戻す前にデータがクリーンであることを保証する隔離復旧環境(IRE)を医療機関が構築する場合は、以下のようなステップを踏む。
    • データが、完全に隔離されたIRE上に復元される。
    • スキャン1:復元されたデータは、従来型のマルウェア検知ツールでスキャンされる。
    • スキャン2:アプリケーションをIRE上で起動し、それからAI/MLベースのマルウェアスキャニングツールで、異常な行動(例.外簿のコマンドアンドコントロール・サーバーにコンタクトしようと試みる)を探索する
    • 一度データがスキャンされてマルウェアがないと判断された場合、生産環境へ移動させることができる(出典:Gartner, 2021)。
  • 災害復旧は、他の技術と同様にクラウドにおいても不可欠であり、リスクベースのアプローチを利用して設計すべきである。医療機関は、失敗時を想定したクラウドのアーキテクチャを検討すべきである。これらの手法には費用がかかるケースもあるが、データの重要性(例.患者データ)によって必要となる可能性がある。

ランサムウェア攻撃が年々増加するにつれて、壊滅的な影響や出費に至るケースも増えている。特に医療機関の場合、ランサムウェア攻撃は、臨床現場業務や患者安全、レピュテーションに重大な影響をもたらし得るので、予防的なランサムウェア対策に集中することが必要不可欠となっている。

CSAジャパン関西支部メンバー
健康医療情報管理ユーザーワーキンググループリーダー
笹原英司

 

 

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA

*