- ホーム>
- 【2026年最新】マルウェア対策で情シス担当者が押さえるべき3つの方法
公開日:2026.03.18(水) 更新日:
【情シス向け】マルウェア対策の実務設計と運用ポイント
マルウェア対策は「侵入を防ぐ」だけでなく、「侵入されても止める・対処する」まで設計して初めて実務で機能します。
この記事では、情シス部門の実務に合わせて「多層防御の基本」「予防(パッチ・設定・権限)」「従業員教育」「インシデント対応」「監視・検知」「バックアップ戦略」までを、運用に落とせる形で整理します。
はじめに
企業のマルウェア対策は、単発の製品導入や注意喚起だけでは守り切れません。
攻撃側は、メール・Web・脆弱性・認証情報の窃取・取引先経由など複数の入口を組み合わせ、検知されにくい手口で侵入し、社内で横展開してから被害を最大化します。
情シスが主導して「技術・運用・人」の3要素を揃えることで、被害の発生確率と被害規模の両方を下げられます。
進化し続けるマルウェアの脅威
ここ数年の傾向は、単純なウイルス感染よりも「組織を狙った侵害」の比率が上がっています。
特にランサムウェアは、暗号化だけでなく情報窃取をセットにすることで、バックアップがあっても交渉圧力を高める方向へ進化しています。
| 入口の多様化 | メール添付、フィッシング誘導、脆弱性攻撃、リモートアクセス経由など |
|---|---|
| 潜伏と横展開 | 正規ツールや管理機能を悪用し、内部移動してから一気に被害化 |
| 二重恐喝 | 暗号化に加えて情報流出を盾に、事業継続を脅かす |
| 検知回避 | ファイルレスや暗号化通信で痕跡を減らし、発見を遅らせる |
このため、対策は「侵入させない」だけに寄せず、侵入後の検知と封じ込め、復旧までを含めた設計が必要です。
企業が直面する現実的なリスク
マルウェア被害は、セキュリティ担当だけの問題ではありません。
最も現実的なリスクは「業務停止」と「信用毀損」が同時に起きることです。
マルウェア被害を受けてしまった際は、以下のような被害や対応が想定され、通常業務に大きな支障を与えてしまいます。
| 被害・対応 | 内容 |
|---|---|
| 業務停止 | 基幹システム停止、端末の再展開、ネットワーク遮断による全社影響 |
| 情報漏えい | 顧客情報・取引先情報・設計図面・認証情報の流出 |
| 取引影響 | 納期遅延、取引先からのセキュリティ確認、契約条項に基づく報告義務 |
| 復旧コスト | 調査費用、復旧作業、人件費、外部支援、追加投資 |
| 法務・広報対応 | 説明責任、再発防止策の提出、社内外コミュニケーション |
多層防御で入口を減らし、監視と封じ込めで拡大を止め、バックアップと復旧手順で事業継続を担保することが、実務としてのマルウェア対策のゴールになります。
マルウェアの種類と最新の脅威動向
マルウェア対策は「全部に万能な1手」で片付きません。
種類ごとに狙い(暗号化・窃取・遠隔操作)と痕跡の残り方が違うため、優先すべき防御レイヤーが変わります。
情シスとしては、まず「いま企業が食らいやすい型」を押さえ、検知・封じ込め・復旧の設計に落とし込むことが重要です。
ランサムウェアの最新手口
ランサムウェアは2026年現在、いまも企業被害の中心にあります。
特に厄介なのは、暗号化だけで終わらず、周辺の業務まで止めるために「前段の侵入〜横展開」を丁寧にやってくる点です。
| 手口 | 内容 |
|---|---|
| 二重恐喝(暗号化+情報窃取) | バックアップがあっても「流出公開」を盾に交渉圧力をかけられます。 |
| 横展開を前提にした侵害 | 侵入後に権限昇格→AD/認証情報の掌握→共有・サーバーへ波及、という流れが典型。 |
| 運用の穴を突く | VPN・リモート管理・公開サーバーの脆弱性、弱いパスワード、MFA未導入などが入口になりやすい。 |
| バックアップ破壊・無効化 | バックアップサーバーやスナップショット、バックアップ用アカウントを狙って復旧手段を奪います。 |
まとめると、ランサムウェアは「侵入防止」だけでなく、侵入後の横展開阻止(権限・ネットワーク)と復旧設計(バックアップ)が勝負になります。
スパイウェアとトロイの木馬
スパイウェアやトロイの木馬は、派手な暗号化がないぶん発見が遅れやすく、情報漏えい・不正アクセスの起点になりがちです。
スパイウェアは、キーロガー、ブラウザの窃取、画面キャプチャなどから認証情報や機密を抜き取ります。
トロイの木馬は、正規ソフトを装い、侵入後に遠隔操作やマルウェアの導入を可能にしてしまいます。
ここで重要なのは、認証情報の守りです。
MFA、最小権限、端末側の資格情報保護、ログイン監視が弱いと、スパイウェア系は被害が連鎖しやすくなります。
ファイルレスマルウェアの台頭
ファイルレス(Fileless)は、ディスクに実体ファイルを残しにくく、従来型の検知をすり抜けやすい攻撃です。
「OS標準機能」や「正規ツール」を悪用して動くため、許可された操作に見えてしまうのが怖い点です。
| 特徴 | 情シスが押さえるべき対策 |
|---|---|
| メモリ上で実行され、痕跡が薄い | スクリプト実行ポリシーやアプリ制御(許可リスト/ブロック) |
| PowerShellやWMI、正規の管理ツールを悪用しやすい | 不審な管理コマンド実行の監視(EDRが有効) |
| 再起動で消えることもある | 管理者権限の乱用防止(ローカル管理者排除、特権運用) |
ファイルレス対策は「検知が難しいから無理」ではなく、実行面(制御)×監視面(EDR/ログ)×権限面(特権管理)の三点セットで現実的に潰していくことが重要となります。
サプライチェーン攻撃の増加
サプライチェーン攻撃は、ターゲット企業を直接殴るのではなく、取引先・委託先・ソフトウェア更新・SaaS連携など、いわゆる「信頼している経路」を踏み台にする攻撃です。
自社のセキュリティシステムや対策を万全に施していても、外部経由で侵入されると被害が発生します。
サプライチェーンに攻撃される事例
- 取引先のメールアカウントが乗っ取られ、正規のやり取りを装ってマルウェアが届く
- ソフトウェア更新・プラグイン・配布ファイルに不正が混入する
- 委託先のリモート保守アカウントが突破される
情シスがやるべき現実的な対応策
- メール・SaaSなど取引先連携の認証強化(MFA、条件付きアクセス)
- 外部委託の接続ルール(接続元制限、時間制限、監査ログなど)を決める
- 重要データへの到達経路を短くする(ネットワーク分離、権限制御など)
- 検疫・添付制御するなど、「取引先から来た=安全」の思い込みを潰す運用システムを決める
サプライチェーンは完全に予防することが難しい領域です。
だからこそ、入口対策に加え、侵入後に拡大しない構造(分離・権限)と検知(ログ・EDR)が効いてきます。
多層防御による基本マルウェア対策
マルウェア対策の実務は、1つの製品や設定に期待するより、複数の層で「侵入確率」と「拡大速度」を落とすほうが安定します。
情シス視点では、次の4層をセットで整えるのが基本です。
| 端末(エンドポイント) | 侵入・実行・持続化を止める |
|---|---|
| ネットワーク | 横展開と外部通信(C2)を止める |
| メール | 最大の入口を減らす |
| ゼロトラスト | 認証と権限で「侵入前提」の被害を抑える |
エンドポイント保護の実装
端末対策は「アンチウイルスソフトを入れる」だけでなく、更新・設定・運用まで含めて標準化して初めて効果が出ます。
ここでは、情シス担当者が押さえるべき実装ポイントを4つに分けて説明します。
AV/NGAVの標準化
AV(アンチウイルス)やNGAV(次世代型AV)は、全端末に入っていれば安心、ではありません。
重要なのは、全端末で同じ方針・同じ水準で動いている状態を作ることです。
デバイスごとに例外設定が増えると、攻撃者はその穴を狙います。
- 定義ファイル(シグネチャ)の更新が失敗していないかを可視化する
- 定期スキャンの頻度・時間帯を統一し、実行漏れを検知できるようにする
- 検知時の挙動(隔離/削除/ユーザー通知/管理者通知)を標準化する
- 例外設定は申請制にし、理由・期限・承認者を記録して棚卸しする
情シス担当者が目指すべきは、「未導入端末ゼロ」「設定ブレ最小」「例外の棚卸しが回る」の3点です。
EDRの導入・運用
EDRは、侵入後のふるまい(プロセス実行・通信・権限昇格など)を監視し、早期検知と封じ込めを実現する仕組みです。
ランサムウェアやファイルレス攻撃のように、入口対策をすり抜ける前提の脅威では、EDRがあるかどうかで初動の速さが変わります。
- 検知アラートを「誰が」「いつまでに」判断するか(一次対応の責任分界)を決める
- 端末のネットワーク隔離・プロセス停止など、封じ込め操作を即時にできる権限設計にする
- 誤検知の多いルールを放置せず、業務影響と検知強度のバランスを継続調整する
- インシデント時に追えるよう、テレメトリ(端末イベント)の保持期間を現実的に設定する
EDRは導入だけで効果が出るものではありません。
監視の体制(当番・運用時間・エスカレーション先)がないと、アラートが溜まるだけになってしまい有効なマルウェア対策とはなりません。
実行制御(マクロ/スクリプト/アプリ制御)
マルウェアは「実行されてしまう」と脅威にさらされます。
そのため、実行制御は入口対策の次ではなく、感染成立を止める重要レイヤーとして扱うべきです。
- Officeマクロは原則無効化し、例外は申請制にする(部門・端末・期間を限定)
- PowerShellなど管理系スクリプトは利用範囲を明確化し、ログ取得と監視対象にする
- 不審な拡張子(.js/.vbs/.ps1 など)の実行を制限し、メール経由の実行を潰す
- 許可リスト型(アプリケーション制御)を高リスク部署から段階導入する
ここでの狙いは、「ユーザーがうっかり開いても実行されない」状態を増やすことです。
実行制御は現場抵抗が出やすいので、いきなり全社ではなく「会計・人事・経営層PC」など、被害影響の大きい領域から始めるのが現実的です。
端末の標準構成(ゴールデンイメージ)
インシデント対応で最後に効いてくるのは、端末を早く正常な状態に戻せるかです。
ゴールデンイメージ(標準端末構成)は、感染時に初期化や再展開が必要になった場合の復旧速度を大きく左右します。
- OS・必須アプリ・設定(ポリシー)を標準化し、端末差異を減らす
- 端末の再展開手順(配布、初回設定、業務アプリ導入)をテンプレ化する
- 管理者権限が必要な作業を最小化し、再展開後に例外設定を戻し忘れる事故を防ぐ
- セキュリティ設定、更新状況、EDR稼働確認などを復旧後の確認項目チェックリスト化する
ゴールデンイメージがあると、感染端末を「解析に時間をかけて無理に救う」より、隔離→証拠確保→再展開の判断がしやすくなります。
結果として、業務影響の時間を短縮につながるでしょう。
予防的セキュリティ対策
多層防御を組んでも、土台の運用が弱いと簡単に崩れます。
情シス担当者がマルウェア対策の予防でやるべきことは、突き詰めると 「塞ぐ(パッチ)」「見つける(脆弱性管理)」「縛る(権限)」「揃える(設定基準)」 の4つです。
ここを固めると、攻撃の入口が減り、侵入後の横展開もしにくくなります。
定期的なセキュリティパッチ管理
パッチ管理は、最も費用対効果が高い対策の一つです。
ただし「各自が更新してください」では回りません。情シス部門が運用方法を設計することが重要です。
具体的な設計方法について見ていきましょう。
対象範囲を固定する
パッチ管理は「何を更新対象にするか」を明確にすること重要です。
OSだけを追っても、攻撃者はブラウザやPDFリーダー、VPNクライアントなど周辺ソフトの穴を突きます。
そのため、資産台帳に基づき、OS(windows、mac、android、IOS)、ブラウザ、Office、PDF、VPNクライアント、リモートツールなどを標準として定義します。
標準が定義できると、未承認アプリ(野良アプリ)の混入や、更新漏れの温床になりやすいソフトを減らせます。
適用のサイクルを決める
パッチを「気づいたときに当てる」運用システムだと、優先度が曖昧になり、結局遅れます。
現実的には、月次(定例)と緊急(臨時)に分け、緊急時の判断と連絡ルートを用意すると良いでしょう。
月次は業務影響を見込みやすく、利用部門にも周知しやすい一方、緊急は悪用が始まる前に当てる判断が必要です。
緊急適用の条件(公開資産に影響する/既に悪用が確認されている等)を事前に決めておくと、意思決定がブレにくくなります。
検証→配布→確認の流れを作る
パッチ適用の失敗で業務が止まると、次回以降の更新が遅れがちになります。
そのため、いきなり全社配布せず、検証リング(少数端末→部署→全社)で段階展開すると事故が減ります。
最初の少数端末では「業務アプリが動くか」「印刷やVPNなど周辺機能が問題ないか」を重点的に見ます。
問題が出た場合に備えて、ロールバック手順(戻し方)もテンプレ化しておくと、現場の不安を抑えられるでしょう。
適用状況を見える化する
運用が崩れる原因の多くは「未適用が放置される」ことです。
未適用端末や失敗端末を放置しない仕組み(アラート、強制再起動ルール、例外期限)を作ります。
特に、更新は入ったのに再起動待ちで反映されていない端末が抜け穴になりやすいので、再起動ルールは実務上の重要ポイントです。
例外端末を作る場合も、理由・期限・代替策を記録して、定例で棚卸しできる状態にしておくと、例外が増殖しにくくなります。
脆弱性スキャンと評価
パッチを当てるだけでは万全なマルウェア対策となりません。
古い端末、例外設定、野良アプリ、設定不備などが残るためです。脆弱性スキャンは、「どこが弱いか」を客観的に洗い出すシステムとして機能します。
次の4点を抑えると脆弱性スキャンの運用で破綻が起きにくくなります。
スキャン対象を分ける
脆弱性はどこに露出しているかで危険度が変わります。
インターネット公開資産(VPN、Web、メールなど)は攻撃者から常に見えているため、社内資産(端末、サーバー)より優先度を上げて扱いましょう。
公開資産は「見つかった瞬間から狙われる前提」なので、スキャン頻度も高めに設定し、結果の確認と是正を迅速に回せる体制にします。
評価の軸を揃える
危険度をCVSSなどのスコアだけで決めると、現場では優先順位がブレます。
実務では「公開されているか」「悪用が出回っているか」「守る資産に近いか(重要データや認証基盤に近いか)」を軸に加えて、対応順を一貫させます。
同じ高判定でも、公開VPNの脆弱性と、隔離ネットワーク内の端末の脆弱性では緊急度が違うため、評価基準を文章化しておくと判断が速くなりまるでしょう。
修正期限(SLA)を決める
検出結果を放置しないために、修正期限(SLA)をルールとして決めます。
たとえば「重大は○日以内」「高は○週間以内」のように期限を明文化し、例外が必要な場合は理由と代替策、期限延長の承認を残します。
SLAがないと、忙しさを理由に先送りが積み上がり、結果として穴が開いたままの期間が長くなってしまいます。
「検出したら終わり」にしない
脆弱性管理は、検出してレポートを眺めた時点では十分なマルウェア対策とは言えません。
チケット化して担当・期限・完了条件を明確にし、修正後は再スキャンでクローズします。
この「検出→対応→再確認→クローズ」のループが回り始めると、担当者依存が減り、継続運用として安定するでしょう。
従業員教育とセキュリティ意識向上
企業のマルウェア対策は、ツールやソフトの導入だけで完結しません。
感染の入口になりやすいメールやブラウザの操作は、現場の判断に依存するため、情シスのセキュリティ施策として従業員教育が重要になります。
ウイルスやマルウェアによる被害は、情報漏えいだけでなく、システム停止やネットワーク遮断など業務全体に波及します。
そのため、予防と防止を目的に、最新の攻撃パターンや事例を踏まえた教育と報告体制を整え、感染時の対処と対応を速くする設計が必要です。
定期的なセキュリティ研修の実施
研修は、知識としてのセキュリティ理解を増やすだけでなく、マルウェア感染を防止する行動を定着させるために実施します。
特にメール添付のファイルや不審なダウンロード、偽サイト誘導など、現場が迷いやすい方法を中心に扱うと効果が出ます。
研修設計で押さえるべき観点は次のとおりです。
- 最新の攻撃事例や被害事例を使い、メールやファイルの扱い方と確認手順を具体化する
- セキュリティ研修は短時間を複数回にし、未知のパターンでも止まれる判断基準を作る
- ウイルス対策ソフトやソフトウェア更新の重要性を、定義ファイルやパターン更新の意味とセットで説明する
- WindowsやMac、スマホのAndroidやiOSなど、デバイスごとの注意点を分けて伝える
研修のゴールは、マルウェア対策の用語を覚えることではなく、疑わしいと感じた瞬間に手を止め情シスへ相談できる状態を作ることです。
フィッシングメール訓練
フィッシング訓練は、メールを起点にした感染を減らすための実践的なマルウェア対策です。
単にクリック率を下げるのではなく、報告の速さと初動の質を上げると、攻撃の拡大を防止しやすくなります。
運用として意識したいポイントは次のとおりです。
- 訓練は段階的に難易度を上げ、最新の手口を踏まえたメール事例で慣れを作る
- クリック率だけでなく、報告率や報告までの時間を指標にして、対応力を評価する
- マイクロソフトのMicrosoft Defenderなど、既存の保護機能や検知アラートと連動させ、対処方法を一緒に確認する
- 訓練後は、なぜ引っかかったかを責めず、再発防止の方法として具体的な確認手順を共有する
訓練の価値は、現場の弱点を可視化し、メール設定やフィルタ、教育内容を更新していくところにあります。
インシデント報告体制の構築
マルウェア対策は、感染をゼロにするより、兆候を早く拾って被害を小さくすることが現実的です。
そのため、報告体制は情シスのセキュリティ運用の中核になります。
報告体制を作る際は、迷わせない仕組みを優先することが重要です。
- 報告窓口を一本化し、メールやチャット、電話など連絡方法を固定する
- 不審なら報告で統一し、判断を個人に委ねないことで対応を早める
- 受けた側の初動手順を整え、パソコンのネットワーク切り離し、アカウント停止、駆除ツールによる確認などを順番化する
- 報告後は結果をフィードバックし、報告が増える文化を作って被害の拡大を抑える
報告体制の到達点は、疑わしいメールやファイルが見つかった段階で現場が止まり、情シスがシステムとネットワークの保護にすぐ移れる状態です。
インシデント対応計画
マルウェア対策は、予防だけでは終わりません。
感染が起きたときに初動が遅れると、ネットワーク内で攻撃が拡大し、被害が業務停止や情報漏えいに直結します。
そのため情シスは、対応の方法を平時に決め、誰が何をするかをシステム運用として固めておく必要があります。
初期対応の手順
初動の目的は、被害の拡大を止め、証拠を残し、復旧判断を速くすることです。
現場が迷わず動けるように、最初にやることを順番で決めておくと良いでしょう。
初動で優先すべき対応は次のとおりです。
- 該当PCやデバイスをネットワークから切り離し、社内システムやクラウドサービスへの横展開を防止する
- メールの添付ファイルやダウンロードしたファイルなど、感染の起点になりそうな情報を確保し、削除や上書きを避る
- Microsoft Defenderなどの保護機能の検知内容を確認し、定義ファイルやパターン更新状況も合わせて確認する
- 不審なプロセスや通信がある場合は、EDRの隔離機能や端末保護機能を使い、封じ込めを優先する
初動では駆除を急ぎすぎないことが重要です。
不用意に再起動や削除をすると、攻撃の痕跡が消えて原因分析と再発防止が難しくなります。
感染範囲の特定と封じ込め
次に必要なのは、感染が単体のPCで止まっているか、ネットワーク内に広がっているかを見極めることです。
ランサムウェアなどの攻撃は、認証情報を奪ってサーバーや共有フォルダへ展開するため、端末だけ見ていると見落とします。
範囲特定と封じ込めで見るべきポイントは次のとおりです。
- 同一のメール件名や送信者、同じURLを踏んだ端末がないかを確認し、被疑端末を洗い出す
- 認証ログを確認し、未知の場所や不自然な時間帯のアクセス、失敗ログの急増など攻撃パターンを探す
- サーバーやファイル共有、クラウドサービス上で不審なファイル変更や大量暗号化の兆候がないかを確認する
- 影響範囲が広い場合は、ネットワークセグメントの遮断や権限の一時停止で、被害の拡大を防止する
ここで重要なのは、封じ込めを先にして、調査を並行することです。
調査に時間をかけている間に被害が増えると、復旧の時間とコストが跳ね上がります。
データ復旧とシステム復元
復旧の目的は、システムを元に戻すことだけでなく、再感染しない状態で業務を再開することです。
バックアップがあっても、復元先が再び感染すれば意味がありません。
復旧を進めるときに押さえるべきポイントは次のとおりです。
- 復旧は優先順位を決め、重要な業務システムから順に戻す
- バックアップは3-2-1を前提にし、オフラインやイミュータブルなど改ざんされにくい保護を確認する
- 復元後は、OSとソフトウェアの更新、定義ファイル更新、パターン更新を行い、保護機能が有効な状態にする
- 不審なファイルが残っていないか、駆除ツールやEDRで再スキャンし、復旧完了の条件を明確にする
復旧判断では、端末の初期化や再展開が必要になるケースがあります。
ゴールデンイメージがあると、パソコンの再構築が速くなり、業務への影響を抑えやすくなります。
事後分析と再発防止策
復旧後にやるべきことは、原因を特定し、同じ方法で再び攻撃されないようにすることです。
ここを省くと、同じメールや同じ脆弱性から再感染し、被害が繰り返されます。
再発防止で押さえるべき対応は次のとおりです。
- 感染経路を特定し、メール、ブラウザ、VPN、リモートツール、設定不備など原因を分類する
- 侵入を許した脆弱性がある場合は、パッチ適用と設定修正を優先し、再発の防止策として期限を切って対応する
- 監視と検知の改善として、ログの取得範囲やアラート条件を見直し、見逃しを減らす
- 従業員教育を更新し、実際に起きた事例を研修や訓練に反映して、次の攻撃パターンに備える
最後に、対応内容を記録として残し、社内のセキュリティ運用に組み込みます。
この積み上げが、マルウェア対策を継続的に強くするための土台になります。
マルウェア対策におけるバックアップ戦略
マルウェア対策において、バックアップは最後の保険ではなく、事業継続の中核です。
ランサムウェアなどの攻撃では、ファイルの暗号化や削除だけでなく、バックアップそのものが破壊されるケースもあります。
そのため情シスは、バックアップを取るだけでなく、保護と復旧までを含めた設計にする必要があります。
3-2-1ルールの実践
バックアップの基本として、3-2-1ルールを運用に落とし込みます。
3-2-1ルールとは、バックアップをマルウェア対策として機能させるための基本原則です。
少なくとも3つのコピーを持ち、2種類以上の異なる媒体に分け、さらに1つはネットワーク障害やランサムウェアの攻撃が及びにくい場所に保管する対策方法になります。
この形にすると、端末やサーバーが感染しても復旧に必要なデータが残りやすく、業務停止の時間と被害を抑えやすくなります。
実践時に意識すべきポイントは次のとおりです。
- 重要データは最低3世代を保持し、復旧ポイントの選択肢を残す
- 同じ種類のストレージだけに依存せず、異なる媒体や仕組みに分散する
- 少なくとも1つはクラウドなど、ネットワーク上の影響を受けにくい場所に保管する
- バックアップ対象を棚卸しし、業務上重要なファイルやデータベースが漏れていないか確認する
バックアップ戦略は、どのデータを守るかを決めるところから始まります。
重要度が高い情報ほど、復旧時間と復旧手順を具体化しておくことが必要です。
オフラインバックアップの重要性
ランサムウェア対策では、オフラインに近い形でバックアップを守ることが重要です。
ネットワークにつながったバックアップは、攻撃者に見つかると暗号化や削除の対象になりやすいからです。
設計で押さえるべき観点は次のとおりです。
- バックアップ領域へのアクセス権を最小化し、特権アカウントの利用を厳格に管理する
- バックアップサーバーやストレージをネットワーク分離し、端末から直接到達できない構成にする
- 変更不可の保護を活用し、バックアップの改ざんや削除を防止する
- クラウドを使う場合は、設定ミスで公開状態にならないよう、アクセス制御と監査ログを整える
オフラインの考え方は、物理的に切るだけではありません。
攻撃者が同じ認証情報で触れない状態を作ることが、実務としての要点です。
復旧テストの定期実施
バックアップがあっても、復旧できなければ意味がありません。
実際のインシデントでは、復元手順が曖昧だったり、必要なファイルが対象外だったりして復旧が遅れるケースがあります。
復旧テストで押さえるべきポイントは次のとおりです。
- 実際に復元を行い、復旧時間と手順のボトルネックを把握する
- 重要システムは復旧順序を決め、業務再開までの流れをシナリオ化する
- 復元後に再感染しないよう、OSとソフトウェア更新、保護機能の有効化まで含めて確認する
- テスト結果を記録し、次回の運用改善としてバックアップ設定や手順を更新する
復旧テストは、情シスだけで完結させず、業務側の確認も含めると精度が上がるでしょう。
まとめ
情シスのマルウェア対策は一度整えたら終わりではありません。
被害事例や最新の攻撃に合わせて、教育内容、検知ルール、パッチ運用、バックアップ手順を定期的に見直し、継続的に更新することが重要です。
合わせて読みたい
監修者プロフィール
株式会社クロスオーバー
取締役 ITコンサルティング事業部 事業部長
大手SI事業者にて、大規模開発のPMを経験後、日本能率協会コンサルティング(JMAC)に入社し、金融から物流、自治体まで幅広くシステムグランドデザインやシステム化企画、業務分析・改善等の支援に従事。
近年は、JMACのグループ会社であるクロスオーバーにて、メガバンク、政令市、大手アパレル、製造業等におけるシステム再構築やインフラアウトソーシングの案件等のシステム化企画やユーザー側のPMOを中心に支援している。
