ランサムウェアは「入口防御の穴」と「横移動の見逃し」、そして「復旧の遅れ」が重なったときに甚大化します。CISAの#StopRansomwareやNISTのランサムウェアRMは、外部公開RDPの廃止とフィッシング耐性MFA、東西トラフィックの可視化、侵入後の即時隔離、そして定期的な復旧訓練を共通の骨子としています。本稿はその骨子に沿って、①攻撃面の削減 ②東西監視 ③侵入後の封じ込めに分け、すぐ回せるKPIと実運用で詰まりやすい点を具体的に示します(一次資料の根拠を併記)。CISANIST Publications
① 脆弱端点の削減(Attack Surface)
-
資産台帳を自動化し、未管理端末はNAC/MDMで遮断(“未管理=0”をKPI)。
-
外部公開RDP/SMB/SSHはゼロ。どうしても必要ならVPN+フィッシング耐性MFA(パスキー/AAL2)を必須化。NIST
-
高危険パッチSLA:重大7日以内、ゼロデイは24時間以内。
-
ローカル管理者権限を廃止、PAMでRMM/特権ツールを保護(最近RMM特権狙いのフィッシング増加)。ITmedia
② 東西トラフィック検査(Detect/Inspect)
-
データセンター/仮想基盤にNDRセンサー(SPAN/TAP)、DNS/HTTP/SMB/TLSの可視化。
-
重要ゾーンはマイクロセグメント化し、横移動の振る舞い検知を有効化。
-
CISAのStopRansomware推奨に沿って多層のDefense-in-Depthで監視点を増やす。CISA
③ 侵入後検知と隔離(Respond/Block)
-
EDR/XDR⇄NDR⇄NGFWを連携し、自動隔離/IOC封止をプレイブック化(初動5分以内に端点隔離)。CISA
-
サービスアカウント異常・ハニートークンで“正当アカウント悪用”を検知。
-
3-2-1-1-0バックアップ(オフライン/Immutable含む)+四半期ごとの復旧演習。NISTのランサムウェアRMで“計画の定期テスト”を要求。NIST Publications
運用KPI(最短で追う数値)
-
外部公開RDP=0、未管理端末=0、重大パッチ7日内適用率≥95%、EDRカバレッジ≥98%。
-
復旧RTO:1週間以内を目標(2025年調査で“1週間以内復旧”が半数超)。Cyber Security Asean
参考(記事の数値と最新アップデート)
CISA #StopRansomware Guide(最新版, 2025/03):SMB監視、MFA、IDS/EDR運用、ログ保持など詳細手順。CISA
-
NISTIR 8374(Ransomware Risk Management):**「バックアップを守り、復元テストを定期実施」**を明記。NIST Publications
-
NIST 800-63B(AAL2/パスキー関連)+国内技術解説:条件を満たすパスキーはAAL2相当での運用が可能。pages.nist.govnri-secure.co.jp
-
RMM悪用の注意喚起(CISA/NSA/MS-ISAC):正規RMMの悪用事例と対策。CISAU.S. Department of War
-
Sophos State of Ransomware 2025:平均復旧コスト$1.53M、身代金支払い49%、53%が1週間以内で復旧。2024版の$2.73Mから改善。SOPHOSAxios
FAQ(実装のつまずきどころ)
-
Q. RDPゼロが難しい部門があります。最小の妥協案は?
A. 例外機はVPN後段+パスキーMFA+時間/発信元制限+録画付きジャンプサーバ。月次で例外棚卸し。CISA -
Q. 東西監視はどこから?
A. AD/PowerShellの拡張ログ+SMB/DNSの可視化から着手→次にNDRセンサーをDC/仮想基盤の要所へ。CISA -
Q. 復旧演習の頻度は?
A. 四半期で“完全復元”をリハーサル(代表システムでRTO測定)。NISTは復元テストを推奨。NIST Publications
用語ミニ解説
-
AAL2:NISTの認証保証レベル。条件を満たすパスキーなどで達成可。pages.nist.govnri-secure.co.jp
-
NDR:ネットワークの東西/南北トラフィックを行動分析し検知・対応する仕組み。IBM
-
3-2-1-1-0:3コピー/2メディア/1オフサイト/1オフライン(またはイミュータブル)/0エラーでの復元確認。Veeam Software
-
