バックアップは、ランサムウェア被害からの復旧に不可欠なツールですが、より広範なデータ管理ソリューションの一環として、ランサムウェアやその他マルウェアからの攻撃阻止にも貢献します

サイバー犯罪において最も懸念される脅威の1つはランサムウェアのまん延です。最近では、大企業でなくても攻撃を受ける可能性があります。すべての企業・組織は、潜在的な標的であり、ランサムウェアからデータを保護することは、マルウェア対策の重要な要素です。最悪の事態が発生した場合に迅速に復旧できるよう、堅牢なバックアップ体制を整えておく必要があります。しかし、バックアップを取っているから安心というわけではありません。事態はそんなに簡単ではありません。

攻撃者は、データがどこに保存されているのかを知っています。

攻撃者は愚かではありません。彼らは、企業がデータを定期的にバックアップしていることを知っています。また、ほとんどの企業が、悪意のあるデータ暗号化に対して「保険」をかけるには、バックアップが最善の方法であると考えていることも知っています。さらには、多くの企業が、オンラインでバックアップを保存していることも知っており、これらの多くが、パブリッククラウドプラットフォームや、Dropbox、OneDrive、Google Driveなどのクラウド同期サービスを利用しています。同様に、多くの災害復旧ソリューションは、ネットワーク上のデータストアへのアクティブ/アクティブ レプリケーションを使用しています。しかし、ランサムウェアは現在、本番データだけでなく、これらすべてのリソースを日常的に標的にしているため、被害者が最も必要としているときに、バックアップやDRシステムも暗号化されていて使えないことに気づくことがますます多くなっています。

このような傾向を受けて、企業は即座にバックアップポリシーを見直し、英国では多くの企業が、最近更新されたNational Cyber Security Centreのガイダンスに従っています。そこでは、ランサムウェア攻撃を軽減するためにオフラインのバックアップを持つ必要性が強調されています。しかし、多くのランサムウェアに関するアドバイスと同様に、バックアップは最後の手段であり、攻撃から回復するときにしか使用できないという前提に立っています。実際には攻撃を防ぐために使用できるにもかかわらず、です。

予防は治療よりも優れています。

これを実践する際には、バックアップとマルウェア対策の両方を、包括的なデータ管理戦略の中核とすることが最善のアプローチとなります。

同様に、必要なデータ管理製品にはさまざまな機能があり、場合によっては基本的なバックアップ/リストア以上のことができない製品もあることを理解しておく必要があります。それを使ってはいけないと意味ではありませんが、危険にさらされている場合もあります。今ご使用のツールで対応できないのであれば、他のツールを探してみるのもよいでしょう。

問題は、単純なバックアップとリストア以外にどのような機能が必要かということです。残念ながら魔法の法則はありませんが、必要な機能リストを作成する時、下記3つの質問について考えてみることをお勧めします:

バックアップをスキャンできますか?

プロアクティブな脆弱性スキャンはマルウェア対策の第一歩ですが、稼働中の本番システムや、大規模な分散型インフラストラクチャで共有されている資産(NASアプライアンスなど)をスキャンすることは容易ではありません。バックアップのスキャンであれば、システムの可用性に影響を与えずに実行でき、また、バックアップは中央に保管されていることが多いので、複数のエンドポイントでの大規模なスキャンを管理する必要がないことから、あまり問題なく行えます。

しかし、ここで重要なのは、単にバックアップをスキャンしてマルウェアが含まれていたら破棄できるというツールの話ではありません。マルウェアや潜在的な脆弱性が検出されたときに、アラーム通知を行い、先制的なアクションを取る手段になっていることが重要です。

バックアップをロックダウンできますか?

バックアップをテープに保存し、オフサイトの倉庫に保管していた時代は終わりました。ランサムウェアの対策には、復旧のスピードや容易さとセキュリティのバランスを考慮した多層的なアプローチが必要です。そのため、多くの企業・組織が、オフラインコピーだけでなく、自動複製ツールを使用してスナップショットを作成しています。犯罪者は今日、その手法を進化させ、攻撃の一環としてバックアップを削除または暗号化することを狙っています。しかしながら、これを回避する方法があります。バックアップは、マウント、変更、または削除できない変更不可の(ロックされた)状態で保存する必要があります。すべてのバックアッププログラムがこの機能をサポートしているわけではありませんが、多くのバックアッププログラムがこの機能をサポートしており、より広範なデータ管理プラットフォームを使って実装することもできます。

簡単に、迅速に、大規模に復旧できますか?

リカバリは複雑で時間のかかるプロセスであり、特に組織が複数のクラウドとオンプレミスのデータ ストアにまたがる大規模なハイブリッドインフラストラクチャに依存している場合はなおさらです。 ここでは、大規模なリカバリを可能にし、迅速な目標復旧時点 (RPO) と短時間の復旧時間目標 (RTO) の両方に重点を置くツールが不可欠であり、優先的に使用する必要があります。こうしたツールがなければ、リカバリに数日、あるいはそれ以上の時間がかかり、ビジネスの失敗につながる可能性があるからです。

もちろん、他にも考慮すべき要素や答えはたくさんあります。特にランサムウェア攻撃はますます巧妙になっており、データ管理戦略を常に見直すことが不可欠です。万能な解決策はありませんが、どのようなアプローチを選択したとしても、健全なデータ管理を基本とし、すでに述べたように、本番データ保存環境からバックアップを分離できる多層防御のアプリケーションが必要です。

さもなければ、身代金を支払うこともできますが、根本的な問題の解決にはならず、後になって行うランサムウェア対策により多くの資金を投入することになります。

著者:岩上 純一(いわかみ じゅんいち)
Cohesity Japan 代表取締役社長

ネットアップの代表執行役員社長やSAPジャパンの製造業担当バイスプレジデント、日本IBMの製品部門の事業部長などの要職を歴任し、テクノロジー業界で30年以上の経験を持つ。ビジネス課題の解決と業績向上のためにテクノロジーを活用するさまざまな顧客企業やパートナーと親密な関係を構築。これまで培ってきた幅広いITインフラの経験と市場に関する知識を活かして、国内企業がデータからより多くの価値を引き出せるようにし、データの保護、安全、規制準拠を確実にすることを支援している。