Maersk、NotPetyaからの復旧のためにITインフラ全体を再構築 - サイバーレジリエンス事例研究

サイバー攻撃からの回復を乗り切るために、今すぐ統一リカバリープレイブックを構築しましょう。. 組織のレジリエントなIT基盤、明確なオーナーシップ、そして人、プロセス、テクノロジーを網羅した計画から恩恵を受けるために 回復 侵害が発生した際に迅速に。.

2017年8月、Maersk社はNotPetyaの攻撃を受け、グローバルITネットワークと輸送システムを停止せざるを得ませんでした。その瞬間から、チームは最小限のダウンタイムで数千台のサーバーを再構築し、データフローを再構築し、業務を復旧させる必要がありました。公的な見積もりでは、直接的な損失は約3億ドルとされ、回復費用もほぼ同程度に上りました。それは、かつては不可能と思われたゼロからの再構築という難題でした。.

再構築は、クラウドファーストのアーキテクチャ、標準化されたテクノロジースタック、および復旧時間を短縮するための自動化という、白紙の状態から始まりました。脆弱な、特注のツールを、地域全体で使用できるモジュール式コンポーネントに置き換えました。この取り組みでは、セキュリティと運用を連携させるためのメドックフレームワークを採用し、クリティカルなサービスの復旧時間を短縮し、将来の衝撃に耐えうる、スケーラブルで競争力のあるITプラットフォームの基礎を築きました。この設計は、将来の混乱を克服し、事業部門のオンライン状態を維持するのに役立ちます。.

テクノロジーとオペレーションが交わる場所で、Maerskはセキュリティを重視した文化と、統制の取れたインシデント対応を構築しました。サプライチェーン全体でベンダー、内部チーム、パートナーを連携させ、顧客と出荷の継続性を確保しました。そのエコシステムには、宅配業者やFedExとの連携も含まれており、ネットワークの一部がオフラインの場合でも、流れを止めないようにしました。.

通常、再構築は人、プロセス、そしてパートナーにかかっています。あなたのチームでは、重要なシステムの特定、バックアップの検証、四半期ごとの復元訓練の実施に注力してください。リソースがどこに使われているかを明確に把握し、予算がリスク軽減に沿っていることを確認してください。また、サプライヤーや物流パートナーも巻き込み、エンドツーエンドのチェーンを強化してください。なぜなら、レジリエンスはテクノロジー、人、パートナーが協力し合う場合に持続するからです。.

NotPetya の影響と修復のマイルストーン

即時対応：影響を受けたセグメントを数分以内に隔離し、クリーンなバックアップに切り替え、厳格なガバナンスと毎日のアップデートコールにより段階的な再構築を開始します。 これにより、影響を受けていない側のオペレーションを継続しながら、封じ込めと確実な復旧パスに集中できます。.

1. 検知後数分以内：封じ込めと水平展開の遮断、不要不急なサービスの停止、危険なリモートアクセスの無効化、侵害された認証情報の取り消し、そして出荷業務で使用されるデータの消失を防ぐための、重要な資産のスナップショット作成。.
2. 巨大企業への2017年7月の警鐘：州のサイバーセキュリティを最優先事項とし、重点分野において部門横断的なチームを連携させ、スネーブをマッピングして攻撃パターンとギャップを特定し、最初の更新されたインシデント対応計画を発行し、短いアップデート電話でリーダーシップに情報を伝達する。.
3. 評価と計画：輸送側で使用されるインベントリアセットの評価、重要度による分類、セグメント化されたネットワークとセキュアバイデフォルトのベースラインを備えた、完全に再構築されたバックボーンの設計、顧客への影響を最小限に抑える移行パスの準備。.
4. 設計と再構築：モジュール化された、回復力のある設計でコアITスタックを再構築。設計コントロールは、最小特権、アクセスに対するMFA、厳格なパッチ適用サイクル、および強化された監視を重視。サイバーセキュリティは業界全体の優先事項となり、サプライヤーのリスク管理も導く。.
5. 移行とテスト：ダウンタイムを避けるために並行移行を実行する。切り替え後数分以内にデータ整合性を検証する。再構築された環境で2週間以内にエンドツーエンドテストを完了させ、関係者との間で明確な進捗状況報告を維持する。.
6. 運用強化: セキュリティオペレーションセンターの配備、ランブックの更新、定期的な訓練の実施、およびパートナーとの連携維持。クリティカルレーンにおけるリスクの低減、統制を満たさない一般的なツールの交換またはサンドボックス化、レガシーな依存関係を排除して全体的なフットプリントを削減。.
7. 成果と学び：MTTRの改善と可視性の向上、NotPetyaによる影響は、業界全体にサイバーセキュリティの衛生管理と回復力のあるアーキテクチャへの投資を促す警鐘となり、再構築されたプラットフォームは、より高い信頼性と明確なリスク管理状況の下で、出荷業務をサポートする。.

NotPetya アウトブレイク、停止期間、緊急封じ込めのタイムライン

最初の1時間以内に影響を受けたネットワークを隔離し、オフラインバックアップに切り替えて迅速に復旧すると同時に、すべてのサイトに対する明確な封じ込め計画を文書化してください。.

NotPetyaの発生は2017年6月下旬、ウクライナのネットワークで始まり、侵害されたmedocアップデートに遡ります。そこから、感染は世界中に広がり、ワームのような伝播と、組織全体を水平移動させるWindowsの脆弱性を介して、追加のネットワークに侵入しました。maersk Lineのオペレーターであるmaerskは、ドメインコントローラー、ファイル共有、ERPサービスがダウンし、海運およびロジスティクス業務が停止することに気づきました。数時間で、アジアからヨーロッパ、アメリカまで、各地のオフィスが重要なシステムへのアクセスを失い、ウクライナのmedocエコシステムにおける単一のサプライチェーンの弱点が、いかに多くの事業分野に影響を与え、業界に大きな混乱をもたらすかを浮き彫りにしました。.

停止期間はサイトによって異なりました。多くの部門で基幹ITサービスが約10日間停止し、出荷業務はその後2週間かけて徐々に再開されました。7月上旬までに、電子メールと主要なアプリケーションが復旧し始め、7月中旬までにほとんどのバックオフィス業務がある程度回復しました。その速度は、バックアップ、ネットワークセグメンテーション、およびチームが予約、マニフェスト、船舶の引き渡しのためにオフラインプロセスにどれだけ迅速に切り替えられたかによって異なりました。この状況は、上流の問題が多くの機能に影響を与え、世界中の業務に影響を与える可能性があることを示しています。.

緊急封じ込めと再構築は、厳格なシナリオに沿って進められました。会長は迅速な国境を越えた対応を呼びかけ、チームは水平展開の阻止、外部アクセスの遮断、そして重要なタスクのためのオフラインバックアップへの依存という手順を実行しました。Maerskは、堅牢で区分化された防御線と、将来のリスクを軽減するための最新のインシデント対応計画を備え、ITバックボーンをゼロから再構築しました。この事態はmedocのようなサードパーティ製ソフトウェアのリスクを浮き彫りにし、snabesや業界の同業他社に、競争優位性のために、回復力対策の強化、サイバー衛生の強化、業務のギャップを埋めることを促しました。多くの人が、事件後、自社の海運ネットワークの回復が早くなり、業界全体として緊急封じ込めと回復力に関するより強固なベースラインに到達したと指摘しています。.

IT基盤の再構築：アーキテクチャの見直しとセキュリティ強化

まずは具体的な行動から始めましょう。レガシーサーバーを置き換え、最新のスケーラブルなイメージをインストールし、多層防御のセキュリティ体制を構築します。ガバナンス担当者を任命し、管理されたパイロット運用を行い、ダウンタイムを数時間ではなく数分に抑える計画を確実に実行します。このアプローチにより、明確な結果が得られ、レジリエンスに集中できます。リスクを軽減し、組織全体で継続的なサービスを確保することに焦点を当てるべきです。.

• すべてのサーバー、計算ノード、ストレージ、およびネットワークデバイスをインベントリし、重要なワークフローをマッピングし、依存関係のラインと単一障害点を特定します。.
• オンプレミスとクラウドリソース間のドキュメントデータフローを把握し、依存関係を追跡して、見落としを防ぎます。.
• リスクに基づいてシステムを優先順位付けします。顧客向けアプリを最優先にし、次に内部ツール、クラスタごとの移行日数目標を設定し、期限付きのマイルストーンで進捗状況を追跡します。.
• ガバナンスチェアを確立し、進捗状況を確認し、必要に応じてスコープを調整するための週次電話会議を実施する。.
• ビジネス継続性に影響を与えずに、中断を回避するためのロールバックパスを含む計画。.

• ポリシー側で水平展開を制限し、最小特権を強制するために、ネットワークをセグメント化します。.
• モノリシックなサービスを切り離されたコンテナ化されたワークロードに置き換え、イメージと構成のベースラインを標準化し、古いサーバーを廃止します。.
• シングルサインオン（SSO）、多要素認証（MFA）、および特権アクセス管理でIDを統合し、既存のディレクトリサービスと連携します。.
• 集中型ロギングおよびモニタリングスタックを導入し、データが取り込まれ、インデックス化され、検索可能であることを保証して、根本原因分析を迅速化します。.
• ドリフトを解消するため、クリーンな環境で重要なサービスを再インストールする計画を立て、更新されたベースラインを適用し、非推奨のコンポーネントを安全に廃止する。.

• 固定されたパッチ管理ケイデンスを実装する：月次スキャン、重大な欠陥に対する24～48時間以内の緊急パッチ適用；自動チェックで成功を検証。.
• 構成ベースライン（CIS STIGまたはベンダー同等物）を適用、未使用機能を無効化、監査を強制。.
• エンドポイントへのEDR導入、ネットワークエッジへのIDS/IPS導入、そしてマイクロセグメント化されたファイアウォールルールにより、露出を最小限に抑えます。.
• ログの一元化、SIEMの確立、誤検知を減らすためのアラート閾値の設定、およびランブックを用いたアラートの定期的な検証の実施。.
• バックアップの強化：暗号化されたオフサイトコピーと復元テストの実施、四半期ごとのDR訓練の実施とRPOの検証。.

1. 0～14日目：ディスカバリー、インベントリ、リスク登録、ターゲットアーキテクチャ、移行計画の最終決定。関係者との週次ガバナンスコールを設定。.
2. 15～30日目: コアサーバーとOSイメージの再インストール、ベースライン構成、ネットワークセグメンテーションとIDの強制の開始、バックアップの有効性の確認。.
3. 31～60日目：ワークロードを新しいイメージに移行。MFA、PAM、ゼロトラストポリシーを導入。CI/CDパイプラインを更新。最小限のダウンタイムでパイロットカットオーバーを実施。.
4. 61～90日目：ハードニングの検証、DRドリルおよび図上演習の実施、ランブックの最終化と運用チームへの引き渡し、MTTRおよび稼働率の改善の測定。.

メトリクスとアウトカム：重大なイベントに対する検出と対応の目標時間15分以内。コアサービスのMTTRは2時間以内。新しいバックボーンの最初の90日間における稼働率99.9%以上。バックアップのリストアは訓練中に1時間以内。四半期ごとのDR検証で準備状況を確認済。構成のずれや誤りによるインシデントが大幅に減少。今回の警鐘は、多くの企業が規律ある自動化によってレガシーのギャップを克服できることを証明している。サーバーの再インストール時間が著しく向上。経験から、追加された自動化、テスト済みのランブック、明確なオーナーシップラインが、ストレス下でも信頼性の高いサービスを促進することがわかる。.

この警鐘は、自動化と明確なオーナーシップがなければ、手動メンテナンスがボトルネックになることを企業に認識させます。ガバナンスの強化と訓練された実践により、チームに必要なものが提供されます。それは、問題から解決策へ数日以内に移行できる、堅牢で反復可能なプロセスです。重要なのは、サービス品質、迅速な復旧、継続的な改善であり、アーキテクチャはスピードと信頼性でそれをサポートします。.

データ保護：バックアップ、リストアテスト、およびデータ整合性チェック

イミュータブルなバックアップを実装し、NotPetyaのようなインシデント後の迅速な復旧を検証するために、毎月リストアテストを実施します。マースクでは、このアプローチにより損害を削減し、ダウンタイムを短縮しました。サイバー攻撃時の露出を制限するために、バックアップのコピーをオフラインおよび別のネットワークセグメントに保管します。.

詳細なバックアップ手順は、多くのシステムにわたってデータを保護します。バージョン管理されたスナップショット、オフラインヴォールト、および自動化された整合性チェックを使用します。手動での復元訓練を実施し、クリーンな環境での再インストール手順ですべてのサービスが復旧することを確認する必要があります。.

データ整合性チェックでは、チェックサム、ビット単位の比較、エンドツーエンドの検証を使用して、リカバリされたデータをオリジナルと比較検証します。不一致が見つかった場合、チームは顧客に影響が及ぶ前に、データレプリケーションまたはランサムウェア対策のギャップを修正します。.

シッピングネットワーク全体のフルリストアをリハーサルする：データベース、ファイルストア、および宅配便マニフェストのようなシッピングドキュメントなど。この演習は、リモートサイトで中断が発生した場合でも、サービスの継続性を維持します。.

自動バックアップの頻度を設定し、毎週手動で検証すること。NotPetyaからの警鐘は、テクノロジーの選択、プロセス、およびガバナンスが、重要なデータを保護するために整合していなければならないことを改めて認識させるものとなった。.

Maerskは、バックアップだけでは回復力が保証されず、復旧の俊敏性が重要であると認識しました。WannaCryのシナリオテストを実施し、ネットワーク、エンドポイント、およびクラウド層がデータ損失なく再接続することを確認してください。.

議長は、データ保護の未来は、プロアクティブなテストと明確なオーナーシップにかかっていると述べています。ライブイベントの前に、チームがバックアップ、リストア、整合性チェックを検証するサイクルに入りましょう。.

時間の経過とともに、IT、輸送、サービスチームの努力により、より連携の取れた保護スタックが構築されました。現在では多くの安全対策が連携して、損害を防ぎ、必要に応じて再インストールを迅速化することができています。.

ネットワークとアイデンティティ：セグメンテーション、IAMコントロール、および特権アクセス

厳格なネットワークセグメンテーションを直ちに実装し、手動での封じ込めなしに侵害を抑制します。サーバー、アプリケーション、データストアを別々のゾーンに分離し、すべてのワークロード境界にポリシーを適用します。マイクロセグメンテーションを追加し、アイデンティティ主導のルールを適用し、ファイアウォールとホストベースの制御を通じて東西トラフィックを監視します。メーラー・マースクの場合、再構築されたITネットワークは、コアサービス、ビジネスアプリケーション、および外部インターフェースを3つのゾーンにグループ化し、セグメンテーションを自動的にテストし、数分以内に分離を検証しました。.

IAM制御は、最小特権と迅速かつ制御されたアクセスを優先します。RBACとJust-In-Time（JIT）特権アクセスを実装し、すべての管理者セッションにMFAを要求し、共有アカウントを無効にし、自動ローテーションで認証情報を保管庫に格納します。オンプレミスとクラウドのワークロード全体にポリシーを均一に適用して、すべての特権アクションが監査可能になるようにします。これらの対策により、攻撃対象領域が減少し、環境全体でのアップデートサイクルがサポートされます。NotPetya後の教訓から、IDとネットワークの変更が強化されました。.

特権アクセス管理は、管理者とサービスアカウントに対する制御を強化します。PAMソリューションを使用して、認証情報を保管し、キーをローテーションし、サーバーとアプリケーションに対する最小特権を強制し、セッション記録付きのジャンプホストを必須とします。動的特権にスネーブを使用してタグ付けし、特定の操作へのアクセスをマッピングし、委員長が四半期ごとのレビューとチーム全体のポリシー順守を確実に実施するようにします。.

監視とガバナンスは、このアプローチ全体をまとめるものです。ログを一元化し、異常な試みに対するリアルタイムのアラートを強制し、定期的なアクセス監査を実施します。人事異動後のアクセス権取り消しに関する SLA を確立し、再構築のマイルストーンと規制要件に沿った変更不可能な証跡を維持します。.

リーダーシップ・ナラティブ：CEOの洞察、ステークホルダー・コミュニケーション、事業回復軌道

提言: 経営幹部向けに、数分おきに最新情報を提供する緊急連絡回線を確立し、意思決定は単独の責任者とし、顧客やパートナーの不安を軽減するために、公開サービス状況ページを作成することを推奨します。.

CEOは、NotPetyaインシデントを単なるITの問題としてではなく、悪意のある活動に対するレジリエンスのビジネス・テストとして再構築した。リスクについて率直に語ることで、CEOはリーダーシップを統合し、意思決定サイクルを短縮し、顧客と主要サービスの保護にチームの焦点を当て続けた。このアプローチは、私たちが研究していたWannacry型の脅威を認識し、準備と対応の心構えを導くことにもなった。.

ステークホルダーとのコミュニケーションは、統制の取れた実践となりました。取締役会、経営陣、主要パートナーに対し、簡潔で事実に基づいた最新情報を提供しました。現状を説明し、サービス復旧までの時間、損害対策、製品ラインへの影響予測について説明しました。もしそのような更新情報が存在しなかったらどうなるか想像してみてください。コミュニケーションラインは曖昧になり、信頼は損なわれるでしょう。明確なコミュニケーションラインは憶測を減らし、すべてのステークホルダーとの信頼関係を構築しました。.

復旧の軌跡：巨大データセンターを含むコアインフラを、更新されたサーバー、新たなネットワークセグメンテーション、強化されたバックアップを用いて再構築しました。作業は昼夜を問わず行われ、ダウンタイムを数日から数時間、そして重要な時間帯には数分にまで短縮しました。並行作業ストリームが復帰を加速させることを発見し、冗長回線と障害耐性サービスアプローチを追加することで、製品リリースを再開し、顧客向けサービスを制御された順序でオンラインにすることができました。この再構築されたバックボーンは、企業の将来に向けた体制を整え、同様の発生による損害を制限します。.

教訓と行動：モジュール化されテスト済みのインシデント対応プレイブックを実装し、サプライチェーンのショックを回避するための堅牢なベンダーリスクプログラムを確立しました。これは、インシデントがFedExのようにパートナー全体に波及する可能性があることを認識したためです。チームはサイバー空間におけるサイバー脅威を管理するためのトレーニングを受けました。そして、すべてのリーダーがITレジリエンスとビジネス価値の関連性を理解するようにしました。監視、検出、そして迅速な意思決定ラインを追加し、将来の危機が長期的な混乱に発展するのを防ぎました。焦点は顧客、製品、およびサービスラインに当てられ、明確な進歩と継続的な改善が見られ、将来の備えのために多くの具体的なステップが文書化されました。.