脅威の検知から自動バックアップまで自動化

こうした要素を備えたサイバーレジリエンスを実現するための具体策として、Cohesityは自社のデータ保護プラットフォームと、シスコシステムズの「Cisco XDR（Extended Detection and Response）」等との連携を進めている。

Cohesityは独自の専用OSと「一度書いたデータは二度と上書きできない」イミュータブルファイルシステムを採用。ランサムウェアによるバックアップデータの暗号化を防いでいる。そこに、Cisco XDRによる脅威検知・対処の自動化を組み合わせることで、脅威検知時の対応自動化やリアルタイムバックアップを可能にしている。

Cohesityが提供するサーバーレジリエンス強化

具体的な仕組みは次の通りだ。

Cisco XDRは、ネットワークやクラウド、EDR（Endpoint Detection and Response）など多様なログを収集し、AIで相関分析することで脅威を検知する。シスコ APJC XDRセールスリードの平岡龍弘氏によれば、1日に5000億件ものセキュリティイベントを処理する脅威インテリジェンス「Talos」を基盤としており、「財務への影響を考慮してインシデントの優先度をスコアリングすることで、最も重要なインシデントに焦点を当てることが可能だ」。

Cisco XDRの機能

この脅威スコアが一定の水準に達した場合に、Cohesityのプラットフォームと連携して自動バックアップを実行。これにより、「攻撃によってデータが破壊される直前の“クリーンなデータ”をリアルタイムで確保する」ことができる。従来は手動で行っていた作業を自動化することで、運用負荷を軽減。復旧の遅れを排除できる。

医療機関がランサムウェアに狙われやすい理由

こうした利点から、Cohesityとシスコの連携ソリューションを導入したのが、前橋赤十字病院だ。平岡氏は、医療機関にはランサムウェアに狙われやすい理由があると話した。

前橋赤十字病院の事例概要

1つは、人命に関わるデータの価値が高いこと。もう1つが、ITシステムが複雑で、かつ多数の医療機器メーカーと接続しており、「この穴を突いて攻撃が行われる」。また、電子カルテシステム等ではベンダー指定の構成以外はサポート対象外となるため、EDRなどのエンドポイントセキュリティ製品の導入が困難であるという。

そこで、前橋赤十字病院は、Cisco XDRによりネットワーク側での振る舞い検知を可能にすることで、EDRに頼らない脅威検知を実現。脅威を検知した際には、Cohesity側と連携して自動的にバックアップを実施したうえで、セキュアインターネットゲートウェイサービス「Cisco Umbrella」とも連携して、有害なアクセス先については、ブラックリストに追加してアクセスを遮断する。

前橋赤十字病院における脅威検知と対応

これらの仕組みの導入により、前橋赤十字病院ではインシデント発生時の対応が自動化されることで準備や体制構築の負担が軽減されたという。

Cohesityが3200名を対象に行ったグローバル調査によれば、82%もの企業が過去12カ月以内に身代金を支払っていることがわかった。日本企業に限れば、ほぼすべての企業がデータ復旧の遅延を経験。11%が1週間以上の復旧時間を擁しており、被害を受けた企業の88%が身代金を支払っている。バックアップの脆弱さや準備不足は明白であり、Cohesityとシスコはさらなる機能拡充を進め、日本企業のサイバーレジリエンス強化に貢献していく考えだ。