セキュリティの現場から from バラクーダラボ(279) ゾンビデータ … システムが徐々に蝕まれる恐怖

ゾンビ映画は、白黒の時代から長年ファンを魅了し続けています。現在も、ゾンビをテーマにした映画、ＴＶ番組、ビデオゲームが次々に登場しています。ゾンビのファンかどうかにかかわらず、「生ける屍」のストーリーはテクノロジの世界にも波及しています。

ディザスタリカバリが整備され、テクノロジ環境のセキュリティ保護は万全だとしても、ゾンビの脅威がすでにシステム内部に潜んでいるとしたら、どうでしょうか？皆さまを怖がらせるつもりはありませんが、ゾンビデータは実在のデータであり、この投稿を読んでいるこの瞬間も、貴重なリソースを占有してユーザ環境を脅かそうとしているのです。

テクノロジの世界では、ゾンビはあらゆる形態で潜んでおり、さまざまな名前で呼ばれています。たとえば、インターネット接続されたコンピュータがゾンビになることがあります。このようなコンピュータにハッカー、ウイルス、トロイの木馬が侵入すると、悪意のある処理のリモート実行に利用される危険があります。ほとんどの場合、ゾンビコンピュータの所有者は自分のコンピュータが悪用されていることにまったく気付いていませんから、まさに「ゾンビ」だと言えるでしょう。ゾンビコンピュータのボットネットは、メールスパムをばらまき、サービス拒否（DoS）で悪用されます。

Unixオペレーティングシステムでは、「親」プログラムが起動した後、見捨てられた「子」プログラムをゾンビと呼びます。

また、目的や価値のない膨大なデータ群をゾンビデータと呼びますが、これはほとんどの企業にとって脅威となるデータです。このようなデータは、退職した従業員のデータであることが多く、ビジネス価値はありません。保管しておく理由はないのですが、そのまま保管およびバックアップされ、企業ネットワーク上に存在します。所有者であるユーザはもはや存在しないという点でこのデータはゾンビであり、アクティブではありません（ゾンビデータは、訴訟ホールドの対象データとは異なりますが、訴訟ホールドでは、最初にデータを生成した従業員まで適用されることがあります）。

ほとんどのゾンビデータは、従業員が退職する際に廃棄されるデバイスに格納されているファイルやファイル共有のデータです。さらにほとんどの場合は、データの出所や所有者をかなり簡単に特定できるので、対策を講じやすいといえます。情報管理戦略を採用している企業では、コンプライアンスと情報ガバナンスに対応したポリシーに基づいて、社内に存在するすべてのデータの保管／保持／削除を行います。

ここで最大の頭痛の種になるのが、PSTファイルです。

PSTファイル – ゾンビが出現する悪夢の領域

アクティブなディレクトリシステムからユーザが消去されると、そのユーザが使用していたPSTファイルは、システムで孤立した状態（オーファン）となり、所有者が存在しないファイルになります。実際、PSTファイルはOutlookプロファイルから切断されるとすぐに孤立状態になりますが、多くの場合、元の所有者を突き止めることができます。

ただし、それには時間がかかります。所有者が不明なPSTファイルは数多く存在します。悪名高い「自動アーカイブ」ファイルはその1例であり、これは旧バージョンのOutlookが古いメールのバックアップとして作成するファイルです。PSTファイルはもはや時代後れになってしまったかもしれませんが、誰かがPSTファイルを削除しない限り、システム上にひっそりと存在し続けるのです。

デスクトップの定期バックアップや、退職した従業員のデータ／デバイスの削除では、企業サーバ上にあるレガシーデータのバックアップと転送が行われます。そして、この処理によって問題はさらに深刻化します。

問題は、PSTファイルはそれ自体ファイルではなくコンテナであるという点です。元の所有者との関係が削除されてしまうと、Outlookでその関係をリストアすることはできず、孤立してしまいます。そして、このタイプのゾンビは、次々に増殖する可能性があります。

ゾンビファイルはなぜ生き返るのか？

このように孤立したPSTファイルを調べてみると、まるで自己複製したかのように見えます。ところが、ファイルを複製したユーザにまったく悪意はありません。PSTファイルはOutlook内でファイリングシステムとして便利に利用できるため、ハードドライブ上の別の場所にバックアップしただけなのです。IT部門は毎晩デスクトップバックアップを実行するので、ユーザが複製したPSTファイルはバックアップでさらに複製されます。従業員が退職すると、自分のハードドライブのイメージを企業サーバにダンプするので、ここでもPSTファイルはバックアップされます。退職者の業務を新たに担当する社員には、これまでのプロジェクトを円滑に引き継げるように、退職した社員のメールボックスデータのコピーが渡されます。これにはPSTファイルも含まれています。この時点で、PSTのバックアップコピーが少なくとも4つ存在することになります。

退職した従業員はディレクトリ上に存在しませんから、孤立状態になっていたPSTは、後を引き継ぐ社員に再度割り当てられます。ところが、バックアップコピーは誰にも割り当てられません。新たなIT組織がデータ保持ポリシー全体を抜本的に見直さない限り、ゾンビPSTファイルのバックアップと管理は継続されます。

ゾンビデータへの宣戦布告

ゾンビデータには、問題が2つあります。まず、明らかにストレージが無駄になります。ストレージは「安価」だと言えるかもしれませんが、ゾンビファイルを保存するとなると話は別です。圧縮されず、ビジネス価値もなく、MB単位を超える大容量です。また、特にデスクトップ上に保存されているファイルがバックアップの対象になっている場合は、短期間で複製され、増殖します。さらに、クラウドを含め、どのタイプのストレージにもオーバーヘッドは存在しますから、ストレージリソースのパワーを吸い取ってしまいます。

もう1つの問題は、あまり認識されていないかもしれませんが、より深刻です。ゾンビのPSTファイルは、eディスカバリの対象になることがあります。法的なディスカバリでは、「対象者」、期間、キーワードが明確に要求されます。したがって企業は、誤って関連情報を削除してしまわないように、本来ならば不要なデータも保管するのが一般的です。

IT部門は、保全対象となるユーザに関連するファイルを探さなければなりませんが、すでに退職した従業員が対象になることもよくあります。したがって、すべてのゾンビファイルが検索対象になるのですが、その検索作業は、ディレクトリを読み取るような簡単な作業ではありません。従業員やユーザのファイルを検索して見つかったら保全する、という作業を繰り返します。手間がかかるだけでなく、本来レビューや作成が必要な情報を遥かに上回る量のデータを検索することになるため、コストもかかります。長い時間をかけてeディスカバリや情報開示に必要な情報を探し出すまでは、完全に削除できません。

生き残るにはゾンビの駆除が必要

驚くべきことに、ゾンビデータはかなり簡単な方法で削除できます。まず必要になるのは、ゾンビデータが存在することを認めることであり、次に、検索と削除を実行するテクノロジツールを導入します。ゾンビデータの管理には、大掛かりなPST対策を講じる必要があると考えている企業はたくさんあります。最新のアーカイブソリューションがあれば、PSTファイルの内容はアーカイブとなり、管理作業も格段に簡単になります。クラウドやExchangeの移行、デスクトップの刷新、VDIやBYODイニシアティブなど、戦略的ITプロジェクトを開始する前に、このように厄介なファイルを特定、移行、削除してしまうことをお勧めします。

Barracuda PST Enterpriseのような製品は、ゾンビファイルを含めたPSTの課題を解決する目的で設計されています。PST Enterpriseは複数のルーチンを実行することにより、孤立またはゾンビ状態になったPSTファイルの所有者を的確に特定し、移行、管理、削除できるようにします。また、規定の保管期間が過ぎたため削除できるデータについては、ファイルを自動的に特定し、保持するかどうかを判断できるように、ファイルの内容に関する詳細情報を提示します。

PSTを使用しない企業では、ゾンビデータの特定と削除を的確に実行できるので、このようなデータが復活することはなくなります。

何らかの理由でPSTファイルを使用する場合は、定期的にサーバとファイル共有を検査して孤立したPSTファイルがないかチェックします。これにより、ゾンビファイルに環境が占領されてしまう前に、適切な対応が可能になります。

PST Enterpriseについて詳しくはこちら

※本内容はBarracuda Product Blog 2015年1月27日Zombie Data … Draining life byte by byteを翻訳したものです。