#東京都 #港区 #ランサムウェア #復旧戦略 #オンプレAD

ランサムウェア時代のオンプレミスAD復旧戦略

近年、ランサムウェア攻撃は組織のITインフラに深刻な脅威をもたらしています。特にオンプレミスのActive Directory（AD）が暗号化されたり破損したりする事例が増加しています。ADは組織のITにおいて中心的な役割を果たしているため、その復旧に長期間がかかると、事業継続計画に甚大な影響を及ぼします。

AD破損のリスクと復旧の課題

被害を受けた環境では、攻撃の初期段階で何が変更されたのかを把握できず、適切な復旧方針の判断が遅れることが多いです。その結果、復旧作業が長引くリスクが高まります。Microsoftが提供する標準的なAD復旧手続きは非常に複雑で、最大で数十の工程が必要です。これにより、復旧にかかる時間は数日から数週間にも及ぶことがあります。

判断遅延の要因

標準ログだけではAD内で行われた変更を十分に把握することが難しく、いつ、どの端末で、何が変更されたのかを特定するのが困難です。例えば、攻撃者がどのような操作を行ったのかを追う際、正常な運用の変更と不審な行動を見分けることすら難しいのです。このような「変更が見えない」状態が、復旧作業の遅延や不確実性を引き起こしています。

Change Auditorによる可視化の重要性

このウェビナーでは、ADの不正変更をリアルタイムで検知・追跡可能なツール、Quest Change Auditorの活用法についても紹介します。このツールは以下のことを実現します：

• - 誰が、いつ、どの端末から、何の変更を行ったかの把握
• - 標準ログでは把握できないADの属性変更の完全可視化
• - 不審な操作をリアルタイムでアラート
• - 誤操作で削除されたオブジェクトを簡単に復元するための情報提供

Change Auditorを使用することで、ランサムウェア攻撃の初動判断が迅速化され、不必要な巻き戻しや誤復元のリスクを減少させることができます。

RMADによる復旧の自動化

さらに、ウェビナーでは、手動で実施されることが多い複雑なフォレスト復旧を自動化し、迅速に行うためのRecovery Manager for Active Directory（RMAD）の方法もご紹介します。手動復旧と比べて、RMADを使うことで復旧プロセスの時間を5倍以上短縮することが可能です。

• - Change Auditorの監査履歴を利用して復旧ポイントを迅速に特定
• - ランサムウェア攻撃が発生しても迷うことなく復旧を開始するための体制づくり
• - 誤操作で削除されたユーザーアカウントやグループ、OUをピンポイントで迅速に復旧する

これらを終了することで、ADの変更可視化と高速復旧を組み合わせて、攻撃が発生した際の「検知 → 判断 → 復旧」を一貫して強化することが可能になります。

主催と協力機関

このウェビナーは、クエスト・ソフトウェア株式会社が主催し、株式会社オープンソース活用研究所とマジセミ株式会社が協力しています。

マジセミ株式会社は、今後も参加者の役に立つウェビナーを開催していく予定です。過去のセミナー資料や今後のセミナーの情報は、公式サイトからアクセス可能です。

関連リンク

サードペディア百科事典: 東京都 港区 ランサムウェア 復旧戦略 オンプレAD

Wiki3: 東京都 港区 ランサムウェア 復旧戦略 オンプレAD