ページの本文へ

Hitachi

ゼロデイ脆弱性、ゼロデイ攻撃に備える ― JP1 ランサムウェア対策とデータ保護 感染防止から迅速な復旧まで、多層的な防御でビジネスを守り抜く

  • [サービス] JP1 Cloud Service/Endpoint Management
  • [製品] JP1/IT Desktop Management 2、JP1/秘文、JP1/NetBackup

※JP1 Cloud Service/Endpoint Managementは、 JP1/IT Desktop Management 2とJP1/秘文の機能を提供します

巧妙化するランサムウェアへの対応は、いまや事業継続をも左右する、重要な経営課題です。
"Claude Mythos(クロード・ミュトス)"に象徴されるAIの飛躍的な進化は、IT運用を自律化させる一方で、
脅威そのものの進化も加速させています。
未知の脆弱性を突く攻撃、バックアップを無力化する侵入―
従来の延長線上にある対策では、守りきることはできません。

JP1は、脆弱性対策、データの直接保護、AIによる異常検知といった多層防御と、
感染前の状態への速やかなデータ回復を支援。
人手に依存しない自律的なデータ保護のあり方を提示し、
ビジネスの継続性を強固に支えます。

ランサムウェア対策の課題

情報セキュリティにおいて第一の脅威である、ランサムウェアによる被害。

機器の脆弱性を突いた侵入や、正規アカウントの悪用などの手口は巧妙化し、Claude Mythos(クロード・ミュトス)のような極めて高性能なAIモデルが攻撃側に悪用されてしまうと、ゼロデイ脆弱性や複数の脆弱性を組み合わせた攻撃チェーンによる侵入リスクがさらに高まります。
近年では、ひっそりと侵入し業務サーバだけでなくバックアップデータそのものを攻撃して回復不能に陥れるケースが増加するなど、攻撃手法も高度化しています。

「バックアップを取得するだけ」の対策では、バックアップサーバやバックアップデータが感染被害に遭うと感染前の状態に戻すことができなくなるため、ビジネスの継続性を維持することが困難になってしまいます。

ランサムウェア対策の課題

JP1 ランサムウェア対策の全体像

ランサムウェア対策は、感染前の防御および、感染後の検知・対応・復旧フェーズと多岐に渡ります。
JP1では、「脆弱性対策」、「アクセス制御と暗号化抑止」、「感染前に戻すためのバックアップ」の対策に
有効なソリューションを提供しています。

JP1 ランサムウェア対策の全体像

1脆弱性対策
  • IT資産の機器情報を自動収集 / 脆弱性に関連する機器を抽出 / 対策版の配布と適用確認
2アクセス制御・暗号化抑止
  • 機密データやOS管理領域へのアクセスを禁止し、情報を保護
  • ランサムウェアが機密データを暗号化する際のエントロピー(複雑さ)を検出し、暗号化を防止
3感染前に戻すためのバックアップ
  • 保護領域での保管や多世代管理によるバックアップデータの保護
  • バックアップデータのマルウェアスキャン結果から回復すべきバックアップデータを判定
  • バックアップデータの汚染を検証し、迅速にデータを復旧

1脆弱性対策

早期特定と対処の迅速化を支援する

ぜい弱性情報抽出支援ソリューション
JP1 Cloud Service エンドポイント管理 | JP1/IT Desktop Management 2

公開された脆弱性と自社のIT資産を人手で紐づける作業には、膨大な手間がかかります。
IT資産の定期的な棚卸しだけでは情報を最新に保つことが困難であり、対策が必要なソフトウェアの特定に時間がかかることが、
対処を遅らせる要因となっていました。

JP1は、公的な脆弱性対策情報ポータルである「JVN」のデータと、
IT資産の表記揺れを補正する「ソフトウェア辞書」を組み合わせることで、この問題を解消します。
PCから収集したバラバラなソフトウェア名称をソフトウェア辞書で共通基準のCPE情報へと変換し、
JVNのリストと自動照合することで、正確かつ迅速な特定を可能にします。

*
JVN(Japan Vulnerability Notes)は、JPCERT コーディネーションセンターと独立行政法人情報処理推進機構(IPA)が共同で運営している脆弱性対策情報ポータルサイトです
*
CPE(Common Platform Enumeration)は、製品を識別するための共通のプラットフォーム名の一覧です
重要リスクの即時特定
収集した資産情報とJVNサイト情報を照合し、CVSSv3スコアで「緊急(9.0〜10.0)」「重要(7.0〜8.9)」と判定された対処すべき端末を抽出します。
情報の揺らぎを吸収
ソフトウェアを識別する共通基準であるCPE情報を活用し、プログラム登録名称の揺らぎを吸収して正確な引き当てを実現します。
対策の効率化
脆弱性が関連する機器を自動で特定し、関連URLを参考に対策プログラムを入手、対象端末への配布から適用確認までを迅速に支援します。
*
CVSS(Common Vulnerability Scoring System)は、脆弱性の深刻度を評価するための指標です。深刻度スコアは、0(低)〜10.0(高)の数値でレベル分けして示されます

脆弱性対策

*
ぜい弱性情報抽出支援ソリューションは、JP1 Cloud Service エンドポイント管理または、JP1/IT Desktop Management 2と組み合わせて利用します。
*
ソフトウェア辞書の収録範囲に基づき、Windowsアプリケーションを主な対象としています。Linuxアプリケーションなどは現時点では対象外となります。

2アクセス制御・暗号化抑止

データを守るためのアクセス制御・暗号化抑止

JP1 Cloud Service エンドポイント管理|JP1/秘文

情報漏えいのリスクは、データの紛失・盗難や内部不正、マルウェア感染による情報窃取まで多岐に渡ります。
万が一マルウェア対策製品が検知に失敗しても、
JP1はファイル保護の2つの機能で、大切なデータを暗号化から守り、感染後の被害を最小化します。

ファイルアクセス制御機能

許可プログラム*1以外のプログラムが機密ファイルにアクセスすることを禁止。クライアントPCの内蔵HDDや外部メディア、ファイルサーバ上の機密ファイルを保護できます。

アクセス制御・暗号化抑止01

*1
電子署名の付与されたプログラムやユーザーで個別に許可されたプログラムなど
*2
許可プログラムでもそのプログラムを起動している親プログラムが禁止プログラムである場合は機密ファイルへのアクセスを禁止

万が一クライアントPCやファイルサーバが
マルウェアに感染しても、

マルウェアに機密データを見せません。

ランサムウェアによる暗号化抑止機能

ランサムウェアが機密データを暗号化する際のエントロピー(複雑さ)を検出し、暗号化を防止。マルウェアとしての実態を持たないファイルレス攻撃対策も可能です。

アクセス制御・暗号化抑止02

*3
実行ファイルを使用せず、PowerShellのスクリプトなどを使用して、メモリー上で不正なコードを実行する攻撃

万が一クライアントPCやファイルサーバが
マルウェアに感染しても、

データの暗号化を防いで保護します。

ファイルアクセス制御
許可された正規プログラム以外の、親プログラムの安全性が確認できないプロセスによる機密ファイルへのアクセスを禁止します。
暗号化抑止
(エントロピー検知)
ファイルが暗号化される際に発生する「データの複雑さ(エントロピー)」を検出し、書き込み処理をブロックします。
ファイルレス攻撃への対応
PowerShellのスクリプトなどを使用し、メモリー上で不正なコードを実行する攻撃に対しても、暗号化抑止機能が有効に働きます。

3感染前に戻すためのバックアップ

感染前に戻すための実行性の高いバックアップ管理

JP1/NetBackup

最新の脅威に対して「バックアップを取っていれば安心」という考え方は、もはや通用しません。
巧妙化するランサムウェアの脅威に対応するには、バックアップに対する考え方を根本から改める必要があります。

従来のバックアップの問題点

  • 3-2-1ルールやネットワーク隔離など、データを物理的に残すことを主眼とした対策でした。
  • 「データさえ残っていれば元に戻せる」という考え方で、バックアップしたデータがウイルスに汚染されていないかを確かめる仕組みが欠けていました。

ランサムウェアの攻撃の変化

  • 現在の攻撃は、復旧を不可能にするためにバックアップデータそのものを狙って破壊や暗号化。感染したまま汚染データを保存し続けることになります。
  • そのため、いざ復旧しようとしても「どのデータが安全か」が分からず、リストアとウイルススキャンを何度もやり直すことになります。

いま求められる対策

  • 「ランサムウェア感染を100%防ぐことは難しい」との前提で、いかに早期にバックアップの異変に気付くかに着目。
  • 感染したバックアップデータの検知と迅速な通知、さらに感染していないバックアップデータをすばやく見つけ出し、回復作業を効率よく行うための仕組みが求められます。

バックアップ/リストア全体像

バックアップ/リストア全体像

  • 日々のバックアップ運用はJP1のジョブ管理で企業カレンダーや業務スケジュールに合わせて行います。
  • バックアップで発生したアラート情報(マルウェア検出、異常検知)をJP1のシステム管理で一元管理し、関係者に自動通知します。
  • 携帯電話やビジネスチャットで通知する場合は、JP1の通報管理を使います。
  • 通知内容からアラート発生日時を特定し、スムーズな回復作業につなげます。
*
JP1のジョブ管理とは、以下のサービスおよび製品です
[サービス] JP1 Cloud Service/Job Management
[製品] JP1/Automatic Job Management System 3(JP1/AJS3)
*
JP1のシステム管理とは、以下のサービスおよび製品です
[サービス] JP1 Cloud Service/System Management
[製品] JP1/Integrated Management (JP1/IM3)
*
JP1の通報管理とは、以下のサービスです
[サービス] JP1 Cloud Service/Notification Management

AIによるふるまい検知

AIによるふるまい検知

AI・機械学習を用いて、以下の観点から統計的なズレ(異常な偏差)を検知し、関係者へ通報します。

バックアップデータのサイズ・ファイル数 / バックアップジョブの所要時間 / 重複排除率の低下(暗号化による影響) / ランサムウェアに関連する拡張子の有無 など

確実な復旧地点の特定

確実な復旧地点の特定

バックアップ履歴にマルウェアスキャン結果を表示します。どの世代が健全かをひと目で判別できるため、リストアとスキャンを繰り返す無駄な工数を排除し、回復作業を最短化します。

まとめ

巧妙化するランサムウェア攻撃に対し、
JP1は「防御・検知・復旧」の各フェーズで
人手への依存を抑制する自律的なデータ保護を実現します 。

脆弱性の自動特定
IT資産と脆弱性情報を自動で照合し、対策が必要な端末を抽出。侵入の隙を狭めます。
データの直接保護
不審なプロセスによるアクセスを遮断し、データの暗号化挙動を検知してブロック。万が一の侵入時も被害を最小化します。
迷わない迅速な復旧
AIがバックアップの異常を検知し、健全なデータを特定。リストアの試行錯誤をなくし、最短での業務再開を支援します。

JP1は、データ保護運用の確実性を引き上げ、
限られたリソースを本来注力すべきITサービスの価値向上へと還元する、
新たな運用のあり方を創出します。

お問い合わせ

ランサムウェア対策とデータ保護に関連するソリューションのさらに詳しい情報については、お気軽に下記のフォームよりお問い合わせください。

お問い合わせフォーム(日立オープンミドルウェアに関するお問い合わせ)

お問い合わせ内容の記載例:

【お問い合わせ対象】

  • ぜい弱性情報抽出支援ソリューション
  • JP1 Cloud Service エンドポイント管理
  • JP1/IT Desktop Management 2
  • JP1/秘文
  • JP1/NetBackup

【お問い合わせ内容】

  • ランサムウェア対策とデータ保護について、詳しくお知りになりたい内容を記入してください