ランサムウェアは減少、それでもリスクは変わらない ― 保護するには?
2025 年 9 月 5 日 Iratxe Vazquez 著
ランサムウェア攻撃の数が減少傾向にありますが、リスクがなくなったわけでははなく、この種の攻撃がいまだ破滅的な脅威であることに変わりはありません。ニュースを見ていると、安心してしまいそうになります。ベライゾンによる最新の DBIR レポートによれば、ランサムウェア攻撃の数は 15% 減少したとのことです。しかしサイバーセキュリティの分野で働く我々は、この数字がすべてではないことを知っています。問題の本質は、攻撃がどれだけ頻繁に起こるかではなく、攻撃が生じた際に何が起こるのか、ということです。
ランサムウェア攻撃は、ビジネスの継続性に対してダイレクトで致命的なインパクトを与えるのが常です。たった数秒で大量の情報の暗号化がされ、サービスは長期的に阻害され、経済的な被害や、評判への被害がもたらされます。今日では、悪意あるリンクを何気なくクリックしただけで、あるいは少し設定が間違っているだけで、ランサムウェアは、従来の防衛手段では防ぐことが不できないような方法であっという間にネットワークを水平移動します。つまり、攻撃を検出するだけでは足りず、鍵はいかにその実行を防ぐか、ということになります。
リアクティブ(事後的)な対応というのはすでに時代遅れです。企業の環境は今日、随所に散在しており、クラウドアプリケーションへの依存も強めているため、プロアクティブな保護措置が要となります。組織は、そのようにダイナミックでリスクの高い状況下で、いかにしてインフラストラクチャを保護できるのでしょうか。
アプリケーションが実行される際は常に評価を行い、すべてのステップで保護を
サイバーセキュリティの分野では、特にランサムウェアに関して「信頼」はしばしば「リスク」と同義です。したがって、すべてのアプリケーションはまず脅威であるという前提で評価され、安全であると明示的に検証されたものだけが実行を許可されるべきです。この考え方に沿って、エンドポイントセキュリティを強化し、ランサムウェア攻撃のリスクを低減するため、以下のような 3 つの重要な要素を考慮する必要があります。
- クラウドからの継続的な監視
エンドポイントにデフォルト拒否ポリシーを適用することで、安全であると明示的に検証されていないすべてのプロセスを自動的にブロックします。これは単に「悪意がないように見えるもの」を許可することを超えたアプローチで、その時点で安全であると積極的に分類されたアプリケーションのみを実行します。この手法は、アップデートを行なった後に正規のアプリケーションが挙動を変える可能性がある、サプライチェーン攻撃のような脅威に対して特に不可欠です。これを踏まえ、各アプリケーションの状態をリアルタイムで監視・分類・更新できるクラウド技術を備えることが、攻撃を行動に移される前にブロックするための鍵となります。 - AI による自動分類 ― チームを疲弊させないためのゼロトラスト
エンドポイント上で実行されるすべてのアプリケーションやプロセスを手動で分類することは、現実的には不可能であり、疲労やミス、セキュリティ侵害につながります。そのため、WatchGuard EPDR および Advanced EPDR に含まれるゼロトラストアプリケーションサービスは、このプロセスを人工知能とクラウド上で常に分析することによって自動化します。この検証はクラウドからリアルタイムで実行され、複数の機械学習モデルを組み合わせた AI ベースの自動分類サービスにより、各実行ファイルを静的・動的・文脈的な観点から多角的に分析します。さらにこの分類システムは、専門家による人間のレビューによって補強されるため、最適な精度と信頼性を確保しています。
未分類、または不審なプロセスは実行前に自動的にブロックされます。手動による介入や大量のアラートは発生しません。これにより感染リスクを低減し、水平移動を防ぎ、セキュリティチームが真に重要なインシデント対応に集中できるようにします。ウォッチガードのゼロトラストアプローチは、「危険そうでないものは信頼する」という原則に基づくのではなく、「安全であることが証明されたものだけを許可する」という原則に基づいています。 - 迅速な復旧と最小限の影響
アプリケーションに関しては、エンドポイント上で信頼されていないプロセスを自動的に監視・分類・防止・ブロックする「ゼロトラストモデル」により、ランサムウェアのような脅威を、影響を及ぼす前の段階で阻止することが可能です。AI によって 100% 管理・自動化されたウォッチガードのゼロトラストアプリケーションサービスは、IT およびセキュリティチームに過度な負担をかけることなく、プロアクティブな保護を実現します。これにより、運用上の負担を軽減し、継続的な保護を確保し、プロアクティブなセキュリティを推進して効率的な検知と対応を行うことが可能です。
さらに、ランサムウェアからの復旧メカニズムも、堅牢なエンドポイントセキュリティ戦略を構築する上で重要です。たとえば、Shadow Copies を使用すれば、攻撃発生時にファイルの自動コピーが生成されるので、以前の状態に復元できるようになります。
ランサムウェアはサイバーセキュリティ脅威の中でも継続的で、かつダメージの大きい脅威です。ランサムウェアからの保護を最大化することを目指す場合、WatchGuard EPDR および Advanced EPDR は、予防・検知・対応を高度に組み合わせた最適なソリューションを提供します。ゼロトラストアプローチと AI ベースの自動化によって攻撃が実行される前にブロックし、感染やダウンタイムのリスクを低減し、インシデントの特定・封じ込め・緩和を大幅に迅速化します。
一瞬の判断が結果を左右する環境においては、プロアクティブで自動化された保護こそが決定的な差を生み出します。