NISC ホワイトペーパー：サイバーセキュリティリスクマネジメントを始めるために：ランサムウェア

こんにちは、丸山満彦です。

NISCがランサムウェアについてのホワイトペーパー（クイックスタートガイド）を公表しています。。。NISTIR 8374 ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイルとも関連したものです。。。

● NIST - ITL

・2022.02.24 White Paper Getting Started with Cybersecurity Risk Management: Ransomware

・[PDF]

IDENTIFY	識別
Maintain hardware and software inventories. It’s important to understand what computer hardware and software is used by your enterprise. These are frequently the entry points of malicious actors who engage in ransomware attacks.  This information helps remediate vulnerabilities that could be exploited in ransomware attacks and is also very useful in recovery. An inventory can be as simple as a spreadsheet. Software inventories should track software name and version, devices where it is currently installed, the last patch date, and known vulnerabilities.	ハードウェアとソフトウェアのインベントリーを管理する。企業で使用されているコンピュータのハードウェアとソフトウェアを把握することは重要です。これらは、ランサムウェア攻撃を行う悪意ある行為者の侵入口となることが多いからです。この情報は、ランサムウェア攻撃で悪用される可能性のある脆弱性を修正するのに役立ち、また復旧にも非常に有効です。インベントリは、スプレッドシートのようなシンプルなものでよい。ソフトウェアのインベントリには、ソフトウェアの名前とバージョン、現在インストールされているデバイス、最終パッチ適用日、既知の脆弱性などを記録しておく必要があります。
Document information flows. Knowing what type of information your enterprise collects and uses is vital, but so is understanding where data is located and flows, especially when contracts and external partners are engaged. Construct a record of information flows (e.g., connections among devices/internet protocol addresses) to help enumerate what information or processes are at risk if the attackers move laterally within an environment.	情報の流れを文書化する。企業がどのような情報を収集し、使用しているかを知ることは重要ですが、特に契約や外部パートナーが関与している場合は、データがどこにあり、どのように流れているかを理解することも重要です。情報の流れの記録（デバイス間の接続やインターネットプロトコルアドレスなど）を作成し、攻撃者が環境内で横方向に移動した場合に、どの情報やプロセスが危険にさらされるかを列挙するのに役立てます。
Identify the external information systems to which your enterprise connects. In case of a ransomware event, you need to plan how you will communicate with partners and identify possible actions to temporarily disconnect from external systems. Identifying these connections will also help put security controls in place (e.g., access rights) and indicate areas where controls may be shared with third parties.	企業が接続している外部情報システムを特定する。ランサムウェアが発生した場合、パートナーとの通信方法を計画し、外部システムとの接続を一時的に解除するための可能なアクションを特定する必要があります。また、これらの接続先を特定することは、セキュリティ管理（アクセス権など）を実施し、第三者と管理を共有する可能性がある領域を示すのに役立ちます。
Identify critical enterprise processes and assets. What are your enterprise’s activities that absolutely must continue in order to be viable?  This could be maintaining a website to retrieve payments, protecting customer/patient information securely, or ensuring the data your enterprise collects remains accessible and accurate. This information is essential to understanding the true scope and impact of ransomware events – and is vital in contingency planning for future ransomware events, emergency response, and recovery actions. Having this information in advance allows enterprises to prioritize resources. If you rely on an industrial control system (ICS), include its critical functions.	企業の重要なプロセスや資産を特定する。企業が存続するために、絶対に続けなければならない活動は何でしょうか。例えば、支払いを受け取るためのウェブサイトの維持、顧客/患者情報の安全な保護、企業が収集するデータへのアクセスと正確性の確保などが考えられます。この情報は、ランサムウェアの真の範囲と影響を理解するために不可欠であり、将来のランサムウェアのイベント、緊急対応、および回復措置のための危機管理計画に不可欠なものです。このような情報を事前に入手することで、企業はリソースの優先順位を決めることができます。産業用制御システム（ICS）に依存している場合は、その重要な機能を含めてください。
Establish cybersecurity policies that spell out roles and responsibilities. These should clearly describe expectations for how your enterprise’s cybersecurity activities – including actions by employees, contractors, and partners – will protect your information and systems and support critical enterprise processes. Cybersecurity policies should be integrated with other enterprise risk considerations (e.g., financial, reputational).	役割と責任を明確にしたサイバーセキュリティポリシーを制定する。このポリシーには、従業員、請負業者、およびパートナーによる行動を含め、企業のサイバーセキュリティ活動がどのように情報とシステムを保護し、重要な企業プロセスをサポートするかについての期待が明確に記述されている必要があります。サイバーセキュリティ方針は、他の企業リスク (財務、風評など) と統合して検討する必要があります。
PROTECT	防御
Manage access to assets and information. If you do nothing else, limit access to physical and computerrelated assets and associated facilities to authorized users, processes, and devices – and manage access consistent with the risk to critical activities and transactions.	資産や情報へのアクセスを管理する。物理的資産やコンピュータ関連資産、関連施設へのアクセスを許可されたユーザー、プロセス、デバイスに限定し、重要な活動や取引に対するリスクと整合性のあるアクセスを管理します。
Start by creating unique accounts for each employee and ensure that users have access only to information, computers, and applications needed for their jobs. Choose standard user accounts versus accounts with administrative privileges wherever possible. Authenticate users by strong passwords or multi-factor techniques before they are granted that access.	まず、従業員ごとに固有のアカウントを作成し、業務に必要な情報、コンピュータ、アプリケーションにのみアクセスできるようにすることから始めます。可能な限り、管理者権限を持つアカウントではなく、標準的なユーザーアカウントを選択します。アクセス権を付与する前に、強力なパスワードや多要素技術でユーザーを認証します。
Since most ransomware attacks are conducted remotely, controlling remote access is vital to maintaining the integrity of systems and data files to protect against malicious code insertion and data exfiltration. Restrict access to official networks from personal devices. Tightly manage and track physical access to devices, whether it is a laptop computer or a critical component of an industrial control system (ICS).	ランサムウェアの多くは遠隔操作で行われるため、悪意のあるコードの挿入やデータの流出を防ぐには、システムとデータファイルの完全性を維持するためのリモートアクセスの制御が欠かせません。個人所有のデバイスから公式ネットワークへのアクセスを制限します。ノートパソコンや産業用制御システム（ICS）の重要なコンポーネントなど、デバイスへの物理的なアクセスを厳密に管理し、追跡します。
In larger or more complex organizations, network segmentation or segregation can limit the scope of ransomware events by preventing malware from proliferating among potential target systems. This is particularly important for critical ICS functions, including Safety Instrument Systems (SIS).	大規模または複雑な組織では、ネットワークのセグメント化または分離により、ターゲットとなり得るシステム間でマルウェアが増殖するのを防ぐことで、ランサムウェアのイベント範囲を制限することができます。これは、安全機器システム（SIS）を含む重要なICS機能にとって特に重要です。
Manage device vulnerabilities.  Regularly update the operating system and the applications on your computers and other devices to protect them from attack. Keep them fully patched! If possible, enable automatic updates. Block access to ransomware sites. Consider using software tools to scan devices for additional vulnerabilities and remediate vulnerabilities with high likelihood or impact. Properly configuring change and update processes can help to discourage replacement of code with products that contain malware or do not satisfy access management policies.	デバイスの脆弱性を管理する。パソコンなどのデバイスのOSやアプリケーションを定期的にアップデートし、攻撃から守ります。パッチは常に万全に可能であれば、自動更新を有効にする。ランサムウェアのサイトへのアクセスをブロックします。ソフトウェアツールを使用して、デバイスの脆弱性をスキャンし、可能性や影響が大きい脆弱性を修正することを検討します。変更と更新のプロセスを適切に設定することで、マルウェアを含む製品やアクセス管理ポリシーを満たさない製品へのコードの置き換えを阻止することができます。
Educate and train employees and other users. Regularly train and retrain all users to be sure that they are aware of enterprise cybersecurity policies and procedures and their specific roles and responsibilities – and make it a condition of employment. Training those responsible for hardware and software installation, configuration, and maintenance is key, but equally important is training all users to always use antivirus software, to install only if they are approved by the organization, click only on verified links, to connect only to secured networks, and not to connect devices to public charging stations. Users should know that their access to official networks from personal devices is restricted. Most ransomware attacks are made possible by users who engage in unsafe practices, administrators who implement insecure configurations, or developers who have insufficient security training.	従業員やその他のユーザーの教育・訓練を行う。すべてのユーザーが企業のサイバーセキュリティ方針と手順、および各自の役割と責任を認識していることを確認するために、定期的に訓練と再訓練を行い、それを雇用の条件とします。ハードウェアとソフトウェアのインストール、設定、保守の担当者を訓練することも重要ですが、ウイルス対策ソフトウェアを常に使用すること、組織が承認した場合のみインストールすること、検証済みのリンクのみをクリックすること、安全なネットワークにのみ接続すること、公共の充電ステーションにデバイスを接続しないことをすべてのユーザーに訓練することも同様に重要です。個人所有のデバイスから公式ネットワークへのアクセスは制限されていることを認識する必要があります。ランサムウェア攻撃の多くは、安全でない行為を行うユーザー、安全でない設定を行う管理者、セキュリティ訓練が不十分な開発者によって引き起こされます。
Protect your devices – securely.  Consider installing host-based firewalls and other protections such as endpoint security products. Apply uniform configurations to devices and control changes to device configurations. Disable device services or features that are not necessary to support mission functions. Ensure that there is a policy and a way to dispose of devices properly. These measures protect against installing ransomware and they also protect against data leaks.	デバイスを安全に保護する。ホストベースのファイアウォールや、エンドポイントセキュリティ製品などの導入を検討します。デバイスに統一された設定を適用し、デバイスの設定変更を制御する。ミッション機能のサポートに不要なデバイスのサービスや機能を無効にします。デバイスを適切に廃棄するためのポリシーと方法を確立します。これらの対策は、ランサムウェアのインストールを防ぎ、データ漏洩からも保護することができます。
Protect sensitive data.  Your organization likely stores or transmits sensitive data, so you should manage your information and records (data) consistent with your risk strategy to protect the confidentiality, integrity, and availability of information. Use integrity checking mechanisms (like digital signatures) to verify software, firmware, and information integrity and detect tampered software updates that can be used to insert malware.	機密データを保護する。あなたの組織は機密データを保存または送信している可能性が高いので、情報の機密性、完全性、可用性を保護するために、あなたのリスク戦略と一致する情報と記録（データ）を管理する必要があります。デジタル署名などの完全性チェック機構を使用して、ソフトウェア、ファームウェア、情報の完全性を検証し、マルウェアの挿入に使用できる改ざんされたソフトウェア更新を検出します。
Conduct regular backups. Ensuring availability of data can reduce ransomware impacts. This includes the ability to maintain offsite and offline data backups, as well as testing the mean time to recovery and system redundancy. Many operating systems have built-in backup capabilities; software and cloud solutions are also available to automate backups. It’s good practice to keep one frequently backed up set of data offline. Regular backups that are maintained and tested are essential to timely and relatively painless recovery from ransomware events. Secure backups and keep them offline so they cannot become corrupted or be deleted by ransomware or by an attacker.	定期的なバックアップを実施する。データの可用性を確保することで、ランサムウェアの影響を軽減することができます。これには、オフサイトおよびオフラインのデータバックアップを維持する能力、回復までの平均時間やシステムの冗長性のテストが含まれます。多くのOSにはバックアップ機能が組み込まれています。また、バックアップを自動化するソフトウェアやクラウドソリューションも提供されています。頻繁にバックアップを取るデータの1つをオフラインで保存しておくのは良い習慣です。ランサムウェアからタイムリーかつ比較的容易に復旧するためには、定期的なバックアップの維持とテストが不可欠です。ランサムウェアや攻撃者によってバックアップが破損したり、削除されたりしないように、バックアップを安全に保管し、オフラインにしてください。
DETECT	検知
Test and update detection processes. Develop and test processes and procedures for detecting anomalous events such as unauthorized entities and actions on the networks and in the physical environment, including personnel activity. This includes determining the impact of events that can inform response and recovery priorities for a ransomware attack.	検知プロセスをテストし更新する。ネットワーク上や物理環境における不正なエンティティや行動（人の動きを含む）などの異常なイベントを検出するためのプロセスや手順を開発し、テストする。これには、ランサムウェア攻撃への対応と復旧の優先順位を知らせることができるイベントの影響度を判断することも含まれます。
Larger or more complex organizations should acquire and install Security Information and Event Management (SIEM) solutions that include multiple sources and sensors to improve network visibility, assist in the early detection of ransomware, and aid in understanding how ransomware may propagate through a network. These tools need to generate and record (log) activity. Logs are crucial to identifying anomalies in computers and applications; they record events such as changes to systems or accounts as well as communication channels. Consider using software tools that can aggregate these logs and look for patterns or anomalies from expected network behavior.	大規模または複雑な組織は、ネットワークの可視性を向上させ、ランサムウェアの早期発見を支援し、ランサムウェアがネットワークを通じて伝播する方法を理解するために、複数のソースとセンサーを含むセキュリティ情報およびイベント管理（SIEM）ソリューションを取得し、導入する必要があります。これらのツールは、アクティビティの生成と記録（ログ）を行う必要があります。ログは、コンピュータやアプリケーションの異常を特定するために非常に重要です。ログには、システムやアカウントへの変更などのイベントや通信チャネルが記録されます。これらのログを集計し、予想されるネットワーク動作のパターンや異常を探すことができるソフトウェア・ツールの使用を検討してください。
Train staff. Staff should be aware of their roles and responsibilities to detect and report within your organization and to external authorities. That requires training and retraining.	要員を教育する。要員は、組織内および外部当局への検出と報告の役割と責任を認識する必要があります。そのためには、訓練と再訓練が必要です。
Know expected data flows.  If you know what and how data is expected to flow for your enterprise, you are much more likely to notice when the unexpected happens – and unexpected is never a good thing when it comes to cybersecurity. Unexpected data flows might include customer information being exported from an internal database and exiting the network. If you have contracted work to a cloud or managed service provider, discuss with them how they track data flows and report, including unexpected events.	想定されるデータの流れを知る。企業にとって予想されるデータの流れを知っていれば、予期せぬ事態が発生したときに気づく可能性が高くなります。予期せぬデータの流れとは、顧客情報が社内のデータベースからエクスポートされ、ネットワークから外部に流出するような場合です。クラウドやマネージド・サービス・プロバイダーに業務を委託している場合は、予期せぬ事象を含め、データの流れをどのように追跡し、どのように報告しているかについて、プロバイダーと話し合ってください。
Quickly communicate and determine the impact of cybersecurity events. Timely communication of anomalous events is essential to taking remedial actions before a ransomware attack can be fully damaging. If a cybersecurity event is detected, your enterprise should work quickly and thoroughly to understand the breadth and depth of the impact. Seek help. Communicating with appropriate stakeholders and with law enforcement (e.g., FBI) will help keep you in good stead with partners, oversight bodies, and others (potentially including investors) and improve policies and processes.	サイバーセキュリティ事象の迅速な伝達と影響度を把握する。ランサムウェアの攻撃で十分な被害が出る前に改善策を講じるには、異常事態のタイムリーな伝達が不可欠です。サイバーセキュリティの事象が検出された場合、企業は、その影響の広さと深さを理解するために迅速かつ徹底的に取り組む必要があります。支援を求める。適切な利害関係者や法執行機関（FBI など）とコミュニケーションを取ることで、パートナー、監督機関、その他（投資家も含む）との関係を良好に保ち、ポリシーとプロセスを改善することができます。
RESPOND	対応
Develop response plans. Like many other things, ransomware response starts with planning, including coordinating plans with internal and external stakeholders. Focus on procedures for immediate mitigation and containing the ransomware event and determining its impact.	対応計画を策定する。他の多くの事柄と同様に、ランサムウェアの対応は、社内外の関係者との計画の調整を含む、計画から始まります。ランサムウェアの事象を直ちに緩和・封じ込め、その影響を判断するための手順に重点を置きます。
Coordinate with internal and external stakeholders. Include all key stakeholders and external service providers. Maintain a handy, up-to-date list of internal and external contacts for ransomware attacks, including law enforcement, legal counsel, and incident response resources. Priorities include preemptive messaging and agreement on how to stem the spread of misinformation. Stakeholders can contribute to improvements in planning and execution.	社内外の関係者と調整する。すべての主要なステークホルダーと外部のサービスプロバイダーを含めます。法執行機関、法律顧問、インシデント対応リソースなど、ランサムウェア攻撃に関する社内外の連絡先の手軽な最新リストを維持します。優先順位としては、先制メッセージや、誤報の拡散を食い止める方法についての合意などがあります。ステークホルダーは、計画と実行の改善に貢献することができます。
Test response plans. Testing helps to make sure each person knows their responsibilities in executing the plan. The better prepared your organization is, the more effective the response is likely to be. This includes knowing any legal reporting requirements or required information sharing.	対応策をテストする。テストは、計画を実行する上で各人が自分の責任を理解していることを確認するのに役立ちます。組織がよりよく準備されていればいるほど、対応はより効果的になる可能性があります。これには、法的な報告要件や必要な情報共有について知っておくことも含まれます。
Update response plans. Testing the plan (and executing it during an incident) inevitably will reveal needed improvements.  Be sure to update response plans with lessons learned.  This will minimize the probability of future successful ransomware attacks and help to restore confidence among stakeholders.	対応策を更新する。計画をテストする（そしてインシデント発生時に実行する）ことで、必然的に必要な改善点が見えてきます。教訓を生かして対応策を更新してください。これにより、今後ランサムウェアの攻撃が成功する確率を最小限に抑え、ステークホルダーの信頼を回復することができます。
RECOVER	復旧
Make contingency plans. Like response, recovery from ransomware events begins well before an event with contingency planning. In this case, your enterprise should plan for restoration of systems capabilities and correction of vulnerabilities. Focus on procedures for immediate mitigation of the ransomware event, determining the event’s impact, and notifying stakeholders.	コンティンジェンシープランを立てる。ランサムウェアからの復旧は、対応と同様、発生するかなり前からコンティンジェンシー・プランを立てることから始まります。この場合、企業は、システム機能の復旧と脆弱性の修正を計画する必要があります。ランサムウェアの事象を直ちに緩和し、事象の影響を判断し、関係者に通知するための手順に重点を置いてください。
Communicate with internal and external stakeholders.  Recovery depends upon effective communication.  Your recovery plans need to carefully account for what, how, and when ransomware event information will be shared with various stakeholders so that all interested parties receive the information that they need, but no inappropriate information is shared.	社内外の関係者とコミュニケーションをとる。復旧は、効果的なコミュニケーションに依存します。復旧計画では、ランサムウェアのイベント情報を、いつ、どのように、どのような関係者と共有するかを慎重に検討し、関係者が必要な情報を受け取り、かつ不適切な情報が共有されないようにする必要があります。
Manage public relations and company reputation. When developing a ransomware recovery plan, consider how you will manage public relations so that your information sharing is accurate, complete, and timely – and not reactionary.	広報と会社の評判を管理する。ランサムウェアの復旧計画を策定する際には、情報共有が正確、完全、かつタイムリーであるように、また反動的でないように、広報をどのように管理するかを検討してください。
Test and update recovery plans. Testing the execution of recovery plans will improve employee and partner awareness and highlight areas for improvement. Always update plans with lessons learned.	復旧計画をテストし、更新する。復旧計画の実行をテストすることで、従業員やパートナーの意識を向上させ、改善すべき点を明らかにすることができます。教訓を生かして計画を常に更新します。

 

---

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.26 NISTIR 8374 ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル

・2021.09.10 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル

・2021.06.11 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル（暫定草案）