前書き
こんにちは!ネットアップでSolution Specialistとして働いている岩井です。
7月22日に京都府舞鶴市のデジタル推進課の皆様のご協力のもと、京都府北部の自治体の皆様に向けて「ランサムウェア防災訓練」をオンサイトにて共同開催しました。この取り組みを是非多くの方々に知っていただきたく、今回の記事を書かせていただきました!
昨今ランサムウェアという単語は、耳にタコができるほど業界を飛び交っております。というのも、残念ながら犯罪者側が有利な状況が存在しいます。ダークウェブでは、この瞬間においても、ランサムウェアキットが月額$100程度で販売されています(なんとサポート付き!)。そのような中で身代金を支払ったとしても、暗号化されたデータが復号できるか否かは犯罪者側の気分次第で決まります。約2/3の被害者は身代金を支払っても、データが完全に復号できずという状況です。一方で、被害に遭われた企業や組織の内、半分以上の方々は、事前に取得したバックアップデータからの復旧に成功しています。このような状況を背景に、ネットアップの技術を活用することで「もっと効率的に!もっと高速にできる!」という点を知っていただきたい、という思いを胸に開催いたしました。
防災訓練ワークショップの内容
実際の防災訓練ワークショップの全体の流れは、このような内容です。午後の約半日間で実施しました。
| 1. 開場・受付 | |
| 2. 座学セッション-1 | ランサムウェア被害の現状 |
| 3. 座学セッション-2 | ランサムウェアへの対策 |
| 4. ハンズオンセッション-1 | 疑似ランサムウェア攻撃の感染・検知 |
| 5. ハンズオンセッション-2 | 攻撃後のデータの復旧作業 |
| 6. ディスカッション | 参加者の自治体のITシステムのAs-Is・To-Beを洗い出し、Next Stepを考える |
| 7. 閉会 |
防災訓練ワークショップ、取り組みの「コア」
ここまで、ワークショップの概要をざっくりと書かせていただきましたが、ネットアップとしては以下の3点を、この取り組みのコアとして据えています。
- ランサムウェアの脅威は、いつ・どこで・誰に対して発生しても不思議ではない、と理解していただく
- アンチウイルスソフトウェアの導入だけで安心することなく、「心がけ」を重視していただく
- いざ!という時に、慌てず・騒がず・落ち着いて、迅速に復旧作業に取り掛かれるために、オペレーションに慣れていただく
冒頭の座学に書かせていただいたように、ランサムウェア攻撃がいかに簡単にできてしまい、「誰にでも訪れる脅威である」という点を理解するために、昨今の技術背景も含めて、最初の座学で参加者にお伝えしました。
そして、この取り組みが「防災訓練」という名を持つように、有事の際に「何をすべきか」を心がけ、オペレーションを理解してもらえるよう、ハンズオンセッションを取り入れました。
オペレーションに慣れるための「ハンズオン」の内容
ハンズオンの内容は以下のようなものです。
~事前準備~
- 各ユーザがアクセスできるフォルダに大量のファイルを作成しておく
~当日~
- 参加者様がランサムウェアをシミュレートするようなプログラムを起動する
- 事前準備で作成したデータファイルが、“速攻で”暗号化されていく
- Cloud Secure(ネットアップのセキュリティ監視ツール)が、感染したユーザーの異常行動を検知し、ユーザの権限を凍結
- 暗号化が途中で止まる
- データファイルの論理的なバックアップイメージである「Snapshot」を元に、暗号化されたファイルを復旧していく
実際に攻撃を受けてから、ファイルを完全復旧する所まで一貫して体験いただきました。一連の流れを体験していただくことによって、有事の際でも迷うことなく復旧のオペレーションに取り掛かかれるようコンテンツを組みました。
今回使用したNetApp製品
- NetApp Cloud Secure
Cloud Secureはネットアップが提供するCloud Insightsの機能の一部であり、ハイブリッドマルチクラウド環境全体を監視できるUBA(User Behavior Analytics: ユーザー行動分析)サービスです。 - Amazon FSx for NetApp ONTAP
AWSが提供している、フルマネージド型のONTAPファイルシステムを用いたファイル共有サービスです。 - NetApp Snapshot
ネットアップが技術特許を取得している、論理的なデータのバックアップイメージです。ポインタ情報のみで完結するため、他のSnapshot技術と比較し、迅速な取得と復元、容量効率に優れた保管が可能です。
開催してみてどうだったか?
今回のランサムウェア防災訓練は、皆様と初めてお会いするとうこともあり、無事終了できるか少々不安もありました。しかしながら、共同開催にご協力いただいた舞鶴市の皆様、ご参加いただいた皆様のおかげで、個人的には大成功だったと思います!参加者の皆様からも、「ランサムウェア感染という貴重な体験ができた」、「自社のデータインフラの改善点が見えてきた」というような、良いフィードバックたくさん頂けました。
新型コロナ禍が収まりきっていない状況ではありますが、オンサイトで開催できたことも成功に大きく関わっていると考えています。リモートでバラバラに取り組むよりも、色々な団体がいて、ワイワイ議論しながらワークショップに取り組むことができた現場の雰囲気は、非常に良かったです!
なにより、参加者の皆様にランサムウェア対する意識を改め、自社システムの改善点を認識いただけたというのが、今防災訓練の一番のポイントになったのではないかと思います。「ランサムウェアに感染したらこういうオペレーションをしましょう」という“企画”だけで終わらせることなく、ネットアップの技術を使うことで復旧作業が効率的に行えることに関心・感動していただけたことが、開催する身としても非常にうれしく感じました。
最後に、興味ある方は、以下フォームから是非お問い合わせください
https://www.netapp.com/ja/forms/sales-contact/
参考:ランサムウェア防災訓練の技術的足回り
https://qiita.com/buriki/items/5eae6542361a6098c066
Figure 1)ワークショップ最中の写真
