ランサムウェア防止を迅速に展開する

Note

このガイダンスは、新しい情報が利用可能になると更新されます。

ランサムウェアの保護を提供し、強要攻撃を軽減することは、これらの攻撃の影響が大きく、組織が攻撃を受ける可能性が高くなるため、大規模および小規模な組織にとって優先事項です。

Note

ランサムウェア定義が必要な場合は、こちらの概要 を参照してください

ランサムウェア保護を今すぐ設定する

ランサムウェアや恐喝の多くの形態から組織を最適に準備する方法に関する具体的な手順。

このガイダンスは、優先順位付けされたフェーズで編成されています。 各フェーズは、個別の記事にリンクします。 優先順位は、これらの壊滅的な攻撃を回避または軽減するために、通常のセキュリティと IT の優先順位をオーバーライドする緊急性を前提にして、各フェーズで可能な限り迅速にリスクを軽減するように設計されています。

The three phases to protecting against ransomware

このガイダンスは、指定された順序で従う必要がある優先順位付けされたフェーズとして構成されていることに注意してください。 このガイダンスを実際の状況に最も合うように調整するには、次のことを行います。

  1. 推奨される優先順位に従う

    各フェーズを、最初に、次に、そして後で行う作業の開始計画として使用し、最も影響の大きい要素を最初に行います。 これらの推奨事項は、侵害を想定するゼロ トラスト原則を使用して優先されています。 これにより、攻撃者が 1 つ以上の方法で環境に正常にアクセスできるものとします。これにより、ビジネス リスクを最小限に抑えることに集中できます。

  2. プロアクティブで柔軟である (ただし 、重要なタスクをスキップしないでください)

    3 つのフェーズのすべてのセクションの実装チェックリストをスキャンして、前すばやく完了できる領域とタスクがあるかどうかを確認します (たとえば、既に利用されていないが、迅速かつ簡単に構成できるクラウド サービスにアクセスできます)。 計画全体を見るときは、バックアップや特権アクセスなどの非常に重要な領域の "完了をこれらの後の領域とタスクが遅らせない" ことに注意してください。

  3. いくつかの項目を並行して実施する

    一度にすべてのことを実施しようとすると、かなり大変になりますが、一部の項目は自然に並列的に実行できます。 異なるチームのスタッフが同時にタスク (バックアップ チーム、エンドポイント チーム、ID チームなど) に取り組む一方で、フェーズの完了を優先して進めることができます。

実装チェックリストの項目は、技術的な依存関係の順序ではなく、優先順位付けの推奨順序になっています。 チェックリストを使用して、必要に応じて組織内で機能するように、既存の構成を確認および変更してください。 たとえば、最も重要なバックアップ要素では、一部のシステムをバックアップしますが、これらはオフラインや変更不可でないかもしれず、あるいは完全なエンタープライズ復元手順をテストできないかもしれず、あるいは Active Directory Domain Services (AD DS) ドメインコントローラーなどの重要なビジネスシステムや重要な IT システムのバックアップがないかもしれません。

Note

このプロセスの追加の概要については、Microsoft セキュリティのブログ記事「ランサムウェアを防止し、回復するための 3 つの手順」 (2021 年 9 月) を参照してください。

フェーズ 1: 復旧計画を準備する

このフェーズは、次のようにすることで、ランサムウェアの攻撃者からの金銭的インセンティブを最小限に抑えることを意図しています。

  • システムにアクセスして混乱させたり、重要な組織のデータを暗号化または破損したりすることを非常に困難にする。
  • 身代金を支払わずに攻撃から組織が回復することを容易にする。

Note

多数またはすべてのエンタープライズ システムを復元することは困難な作業ですが、提供されるかどうかもわからない回復キーを得るために攻撃者に支払い、攻撃者が作成したツールを使用してシステムやデータを回復するという代替策は、はるかに悪いやり方です。

フェーズ 2: 被害の範囲を制限する

特権アクセスの役割を使用して複数のビジネス クリティカルなシステムにアクセスするための攻撃者の作業が、非常に困難になるようにします。 攻撃者が特権アクセスを取得する能力を制限することにより、組織への攻撃から利益を得ることがずっと困難になり、諦めて立ち去る可能性が高くなります。

フェーズ 3: 侵入を困難にする

この最後の一連のタスクは、侵入に対する摩擦を生みだすために重要ですが、より大きなセキュリティの取り組みの一環として完了するまでに時間がかかります。 このフェーズの目的は、さまざまな共通のエントリ ポイントでオンプレミスまたはクラウド インフラストラクチャへのアクセスを取得しようとする攻撃者の作業をはるかに困難にすることです。 これらのタスクは多数存在するため、現在のリソースを使用してこれらの作業をどれほど速く完了できるかに基づいて、作業を優先順位付けすることが重要です。

これらの多くはよく知られていて、簡単にすぐ実行できますが、"フェーズ 3 での作業によって、フェーズ 1 と 2 の進行が遅れないようにする" ことが非常に重要です。

ランサムウェアの保護の概要

また、"ランサムウェアから組織を保護しよう" のポスターを使用して、ランサムウェア攻撃者に対する保護レベルとしてのこれらのフェーズの概要とその実装チェックリストを確認することもできます。

The

次のステップ

Phase 1. Prepare your recovery plan

フェーズ 1 から開始して、身代金を支払うことなく組織が攻撃から回復できるように、組織を準備します。

その他のランサムウェア リソース

Microsoft からの重要な情報:

Microsoft 365:

Microsoft Defender XDR:

Microsoft Azure:

Microsoft Defender for Cloud Apps:

Microsoft セキュリティ チームのブログ記事: