2026/02/10 いわさ 3⼤クラウドから学ぶクラウド上での ランサムウェア対策 

⾃⼰紹介 2 

ランサムウェアとは 

● ランサムウェアとは、「Ransom（⾝代⾦）」と「Software（ソフトウェア）」 を組み合わせた造語です。 ● 感染したパソコンに特定の制限をかけ、その制限の解除と引き換えに⾦銭を要求 する挙動から、このような不正プログラムをランサムウェアと呼んでいます。 [ランサムウェア対策特設ページ | 情報セキュリティ | IPA 独⽴⾏政法⼈ 情報処理推進機構] より ランサムウェアとは 4 

3⼤クラウドのランサムウェア対策 5 クラウド ドキュメント 特徴 AWS Well-Architected Framework FSI Lens (FSISEC11) ⾦融グレードの厳格な防御戦略がベース Azure Ransomware Protection in Azure 「侵害される前提」での徹底した復旧プロセス Google Mitigate Ransomware Attacks Best Practices エコシステム全体での防御とIaCによる⾃動化 

今⽇のLTの⽬的 6 Step 1: 共通アプローチ 3社すべてに共通している対策。最低限、絶対に対 応しなければならないラインと考えることができる Step 2: 各社独自の推奨事項 各クラウドの独⾃の対策。共通アプローチに加えて 対策することが出来る。他クラウドへの横展開もで きるかも 

Step 1: 共通アプローチ 

3⼤クラウドの共通アプローチ 8 1. 不変バックアップ 攻撃者が「削除」も「変更」 もできないデータを確保する (Immutable Backup)。 2. アイデンティティ保護 MFA（多要素認証）の強制 と、権限の最⼩化 (Identity Protection)。 3. 脅威検知 AI/MLを活⽤した⾃動監視とア ラート (Threat Detection)。 

共通アプローチ①: 不変バックアップ 9 Write Once, Read Many (WORM) 管理者権限があっても削除できない仕組み（Vault）を使うことがどのクラウドサービスでも推奨されています。 Cloud Service Feature / Key Mechanism AWS AWS Backup Vault Lock (論理的エアギャップ) Azure Azure Backup Immutable Vault (不変コンテナー) Google Cloud Backup and DR Backup Vault (不変性ポリシー) 

共通アプローチ②: アイデンティティ保護 10 クラウドへの主要な侵⼊経路である「認証情報」の保護 IAMロール‧短期認証情報 「多くの被害は静的IAMキー の漏洩から始まる」 パスワードレス‧MFAの強制 「パスワード攻撃が全体の 99.9%を占める」 Workload Identity / Titan Key 「フィッシング耐性のあるMFAの 利⽤」 which account for 99.9% of the volume of identity attacks we see in Microsoft Entra ID Azure features & resources that help you protect, detect, and respond to ransomware attacks Because many ransomware events arise from unintended disclosure of static IAM access keys, AWS recommends that you use IAM roles that provide short-term credentials, rather than using long-term IAM access keys FSISEC11: How are you protecting against ransomware? Mandate multi-factor authentication for all users through Cloud Identity and use phishing-resistant Titan Security Key. Mitigate ransomware attacks using Google Cloud 

共通アプローチ③: 脅威検知 11 侵⼊後の活動を機械学習を活⽤した検出サービスで「早期発⾒」し、暗号化される前に遮断 Amazon GuardDuty: EBSスキャンでのマルウェア検知、S3への不審なAPI監視。 Azure Defender: XDRによる統合監視、Kill Chain分析。 GCP Security Command Center: 攻撃パスのシミュレーション、データの異常検知。 

Step 2: 各社独⾃の推奨事項 

AWS: AI/MLワークロード保護 13 安全なプロンプトとプロンプトカタログを実装し、ユーザー⼊⼒を検証するとともに、モデル操作の可能性を監視し、レスポンス フィルタリングメカニズムを適⽤します。 ● Protection against ransomware now includes securing AI models, model registries, prompts, prompt catalogs and training data from manipulation or compromise. ● For AI workloads, implement secure prompts, prompt catalogs and validate user inputs while monitoring for potential model manipulation and enforcing response filtering mechanisms. FSISEC11: How are you protecting against ransomware? 生成AIや機械学習データも、ランサムウェアの標的で保護対象であると言及されている 

Azure: 復旧テストと Rapid Ransomware Recovery 14 全システムダウンからの復旧能力を検証する 攻撃者は復旧⼿順書や管理システムも破壊します。 ⼿順書を物理的に印刷して保持する。 ● Test 'Recover from Zero' Scenario ‒ test to ensure your business continuity / disaster recovery (BC/DR) can rapidly bring critical business operations online from zero functionality (all systems down). Conduct practice exercises to validate cross-team processes and technical procedures, including out-of-band employee and customer communications (assume all email/chat/etc. is down). ● It's critical to protect (or print) supporting documents and systems required for recovery including restoration procedure documents, CMDBs, network diagrams, SolarWinds instances, etc. Attackers destroy these regularly. Prepare for a ransomware attack Rapid Ransomware Recovery マイクロソフトは、迅速なランサムウェア復旧サービスを提供しています。このサービスでは、IDサービスの復旧、修復と 強化、監視の展開など、あらゆる分野で⽀援を提供し、ランサムウェア攻撃の標的となった企業が可能な限り短期間で通常 の業務に戻れるよう⽀援します。 Rapid Ransomware Recoveryサービスは、Microsoft Incident Responseチームによってのみ提供されます。 

Google: エコシステム統合 15 標的型メールに対する防御 Gmail のセキュリティ サンドボックスを使⽤して、組織をマルウェアから保護 セキュリティ サンドボックスと呼ばれる安全かつ分離された環境で、受信メールの添付ファイルをスキャンし、組織に危害 を及ぼすことなく添付ファイル内のマルウェアを特定 Google Safe Browsing 既知のフィッシングサイトやマルウェアサイトのリストをリアルタイムでチェック Googleにダウンロードしたファイルの詳細なスキャンを依頼してマルウェアやウイルスをチェックするオプション サイトへのアクセス時に未知の攻撃から保護 リスクレベルに基づいてカスタマイズされた保護 

まとめ 

● 基本的な対策：不変バックアップ、アイデンティティ、脅威検知 ● +α：AI、復旧訓練、IaC まとめ 17 

No content