「全ての組織が実行するべき」とされる政府公式ランサムウェア対策ツールを使ってみた
アメリカ最大の石油パイプライン運営企業・Colonial Pipelineや、世界最大の食肉業者・JBSなど、日常生活に深く関わる企業がランサムウェア攻撃の対象となる事件が多発しています。そんな中、アメリカ合衆国国土安全保障省のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)がランサムウェア対策ツール「Ransomware Readiness Assessment (RRA)」を2021年6月30日にリリースしたので、実際に使ってみました。
https://us-cert.cisa.gov/ncas/current-activity/2021/06/30/cisas-cset-tool-sets-sights-ransomware-threat
Release Ransomware Readiness Assessment CSET v10.3 · cisagov/cset · GitHub
https://github.com/cisagov/cset/releases/tag/v10.3.0.0
???? ???? Our new CSET Ransomware Readiness Assessment module gives you the keys to lock down your networks and keep malicious cyber actors away. Download our ransomware self-assessment tool: https://t.co/HCcDAEMPYT #Ransomware #Cybersecurity pic.twitter.com/oATxi4eQDF— Cybersecurity and Infrastructure Security Agency (@CISAgov) June 30, 2021
現地時間の2021年6月30日にリリースされたRRAは、ランサムウェア攻撃への対策状況を評価してくれるツールで、CISAのサイバーセキュリティ評価ツール「Cyber Security Evaluation Tool(CSET)」の一部として公開されています。CISAによるとRRAはセキュリティ対策の成熟度に関係なく、全ての組織で役立つように設計されているとのこと。加えてCISAは「私たちは、全ての組織がRRAによるランサムウェア対策評価を受けることを強く推奨します」と述べ、ランサムウェア攻撃への対策強化の重要性を強調しています。
実際にRRAを使うには、CSETの公式配布ページにアクセスし、「Download CSETStandAlone.exe」をクリックしてインストーラーをダウンロードします。
次に、ダウンロードしたCSETのインストーラーをダブルクリックして起動します。
CSETをデスクトップにインストールするか尋ねられるので「はい」をクリック。
ライセンス条項に同意するチェックを入れて「Install」をクリック。
CSETのインストールには、他のソフトウェアのインストールが必要な場合もあります。今回は「SQL Server」のインストールダイアログが表示されたので「Next」をクリック。
ライセンス条項に同意するチェックを入れて、「Next」をクリックします。
次に、「Install」をクリック。
SQL Serverのインストールが完了したら「Finish」をクリックします。
今度は「Microsoft Internet Information Services(IIS)」のインストールを求められるので、ライセンス条項に同意するチェックを入れて「Install」をクリック。
IISのインストールが完了したら「Finish」をクリックします。
最後に、CSETのインストールダイアログが開くので「Next」をクリック。
免責事項を読んでチェックを入れたら「Next」をクリック。
すると、インストール先の選択画面が表示されます。今回はそのまま「Next」をクリックしました。
次に、インストールをクリック。
インストールが完了したら「Finish」をクリックして……
「Close」をクリックしてセットアップを終了します。
インストールが完了したら、RRAを実行してランサムウェア対策評価を行うべく、スタートメニューからCSETを検索して実行します。
CSETを実行すると、ブラウザでCSETの管理画面が開くので、「Start New Assessment」をクリックして評価を作成します。
評価の作成画面が表示されたら、作成する評価の名前・日付・施設名・都市を入力し、Assessment OptionからRRAが含まれる「Maturity Model」を選択して「Next」をクリック。
次に、組織の名前や種類、保護する資産の価値などを入力し、「Next」をクリックします。
すると、評価可能なモデルが表示されるので……
ランサムウェア対策状況評価モデルの「Ransomware Readiness Assessment」を選択して「Next」をクリックします。
チュートリアルが表示されたらスクロールしながら読み進めて……
画面下部の「Next」をクリックします。
すると、「データのバックアップ」「ウェブブラウザの管理とDNSフィルタリング」「フィッシングの防止と認知」といった、ランサムウェア対策に必要な措置がカテゴリ別にズラリと表示されます。
それぞれのカテゴリの中には、複数の質問項目が用意されているので、「Yes」「No」のいずれかを選択していきます。例えば、「データのバックアップ」カテゴリには「重要なデータをバックアップし、少なくとも30日間は復元を行える環境が整っていますか?」「データのバックアップは毎年テストされていますか?」といった質問が並んでいました。
全ての質問に回答したら、「Next」をクリックします。
すると、カテゴリごとのランサムウェア対策達成率が棒グラフで表示されます。今回RRAを実行して環境では、「データのバックアップ」「ウェブブラウザの管理とDNSフィルタリング」カテゴリでは100%対策できていますが、「ネットワークの監視」「パッチやアップデートの管理」「アプリケーションの整合性チェックおよび許可リストの作成」「リスクマネジメント」の4つのカテゴリでは50%しか対策できていないことが分かりました。
画面左側のメニューから「Performance Summary」を選択すると、こんな感じにランサムウェア対策の達成率を重要度別に確認することも可能です。
さらに、左側のメニューから「Reports」をクリックして「RRA Report」をクリックすると……
ランサムウェア対策状況をまとめた詳細なレポートを出力することができます。
RRAはあくまでランサムウェア対策の状況を評価するツールで、「RRAをインストールすればランサムウェア攻撃を受けなくなる」というわけではありません。しかし、RRAを用いることでランサムウェア対策に必要な多くの措置を確認できるので、組織のランサムウェア対策状況を確認して今後の対策につなげるために有用なツールだと感じました。