国際海運会社は、多くの場合オフラインであるか、衛星接続が限られている大規模な船舶を管理しています。乗組員が船のコンピュータにアクセスできる同社は、内部データの損失を防ぐために、船が海上にあり接続がない場合でも、マルウェアやその他のセキュリティリスクに迅速に対処する方法を模索していました。
課題
船は一度に何か月も海上にいることがあるため、独特の環境を表します。インターネット接続は断続的で、多くの場合、帯域幅は限られており、高価です。乗組員はサイバーセキュリティの訓練を受けていないことが多く、マルウェアやランサムウェアを含む危険なデバイスを機内に持ち込むことになる可能性があります。確立された内部プロセスのため、他の問題を発生させずに外部デバイスをブロックすることはできません。このようなデバイスは通常の運用にも不可欠であり、さまざまな不測の事態が発生した場合には即座に交換される可能性があります。マルウェアまたはランサムウェアに感染した場合、応答時間が非常に重要ですが、船舶は不利な条件や孤立した場所を航行することが多いため、リアルタイムにアクセスできることはほとんどありません。
同社は 3 か月間にわたり、IBM Security QRadar EDR を使用して、 24 ランサムウェア攻撃
他の数十の攻撃を追跡し、修復することでデータ損失を回避。
解決策:
一連のランサムウェア攻撃により船舶に深刻な問題が発生した後、海運会社は IBM に自社のインフラストラクチャを保護するよう依頼しました。最初の衛生検査では、多数の船舶がすでに RAT、トロイの木馬、リバース シェルなどのさまざまなマルウェアに感染していることが判明しました。特定された感染はすべて評価され、除去されました。その後、IBM Security QRadar EDR ソフトウェアは、企業の仕様に合わせて再設定されました。インターネット接続がない場合でもデータの損失がないようにしながら、事業継続のリスクを最小限に抑える必要がありました。 日常業務に不可欠な衛星接続が飽和状態になるのを避けるために、データ転送も最小限に抑える必要がありました。
衛生チェック
最初のデプロイメント後、QRadar EDR はさまざまな異常な動作に直ちにフラグを立て、迅速に対処して修正しました。マルウェアの大部分は乗組員によって持ち込まれたものでしたが、他のインスタンスはインターネットに接続されたエンドポイントからダウンロードされたコンテンツに由来していました。脅威ハンティング キャンペーンが開始され、リモート オペレーターが接続して制御するのを待っているいくつかの「休眠」マルウェア インスタンスが明らかになりました。それらも修復され、7日間の観察期間が続きました。 さらなる異常がないことを確認した後、IBM は、最適なデータ使用とビジネス中断のリスクの低さという社内パラメータ内で動作するようにプラットフォームを再構成しました。
日常業務
船舶管理を一元化するために、IBM と船舶会社は、会社の主要拠点にセキュリティ ダッシュボードを設置しました。船内のネットワークが統合され、インターネットにアクセスできるエンドポイントは1つだけであるため、IBMは、乗組員のデバイスを含むすべてのエンドポイントがQRadar EDRのデータ(それ以外には何もない)をメイン・ベースに配信できるように、セキュアなチャネルを作成しました。
船舶がオフラインになる予定がある場合、ランサムウェアはデータを危険にさらす可能性のある唯一の悪意のある媒体であるため、船舶会社は QRadar EDR のランサムウェア保護機能を有効にします。RAT またはトロイの木馬による感染は、接続がないため、直ちに影響を与えることはありません。他のすべての行動はローカルにアーカイブされた追跡データによって監視され、インターネット リンクが再び利用可能になった直後に配信されます。
その後 3 か月にわたって、この運送会社は QRadar EDR を使用して 24 件のランサムウェア攻撃を阻止し、数十の異なる脅威 (主に RAT) を追跡および修復し、データの損失を防ぎました。このソリューションがなければ、船舶の運航に支障をきたし、乗組員にとって好ましくない状況で重要なデータが利用できなくなり、船舶の遅延を招き、コストのかかる緊急対応作業が必要になっていたでしょう。
© Copyright IBM Corporation 2023.日本アイ・ビー・エム株式会社 〒103-8510 東京都中央区日本橋箱崎町19-21
米国製作、2023年1月
IBM、IBMロゴおよびibm.comは、世界中の多くの管轄区で登録されたInternational Business Machines Corporationの商標です。その他の製品名およびサービス名はIBMまたは他社の商標である可能性があります。IBM の商標の最新リストは、 ibm.com/trademarkで入手できます。
本書は最初の発行日時点における最新情報を記載しており、IBMにより予告なしに変更される場合があります。IBMが事業を展開している国であっても、特定の製品を利用できない場合があります。
引用または説明されているすべての事例は、一部のクライアントがIBM製品を使用し、達成した結果の例として提示されています。実際の環境でのコストや結果の特性は、クライアントごとの構成や条件によって異なります。お客様のシステムおよびご注文のサービス内容によって異なりますので、一般的に期待される結果を提供することはできません。本書の情報は「現状のまま」で提供されるものとし、明示または暗示を問わず、商品性、特定目的への適合性、および非侵害の保証または条件を含むいかなる保証もしないものとします。IBM製品は、IBM所定の契約書の条項に基づき保証されます。
適切なセキュリティー慣行に関する声明:完全に安全であるITシステムまたは製品は、ないものと考えてください。また、不適切な使用やアクセスを、効果的かつ完全に防止できる単一の製品、サービスまたはセキュリティー対策もありません。 IBMでは、いずれの当事者による不正行為または違法行為によっても、いかなるシステム、製品もしくはサービスまたはお客様の企業に対して影響が及ばないことを保証することはありません。