わずか数分で完了!? ランサムウェアに効くクライアント・バックアップの新常識

セキュリティ対策だけではランサムウェアを完全に防げない

国内外で猛威を振るう、ランサムウェア。その脅威は、個人ユーザーだけでなく企業規模にまでおよび、企業からの被害報告件数が急増している。新たな亜種が生まれるたびに凶悪化が進み、感染リスクが高まっている印象だ。なかには未知のマルウェア検知技術といったセキュリティ対策では、ランサムウェアの進化にスピードが追いつかないケースもある。つまり、入り口対策や検知対応、エンドポイントセキュリティなどといったセキュリティ対策に力を入れていたとしても、巧妙化し続けるランサムウェアを100%防御することは不可能なのだ。

どうしたらランサムウェアによる被害を受けずに済むのか―― そこで重要になるのが、ランサムウェアの侵入を前提とした対策だ。ランサムウェアによる攻撃は、感染したPC内のファイルを暗号化して読み取れなくするといったものである。そのため、ランサムウェアに感染することを前提としクライアントPCのバックアップをとっておけば、ランサムウェアに感染した場合でも、すぐに感染前の状態に戻すことができるのだ。

すでに、PC内の重要なファイルやフォルダのみのバックアップを行っている人は多いかもしれない。システム全体のバックアップをとるには膨大な時間がかかるため、失っては困るものだけを優先的にバックアップしていく方法だ。また、定期的に行うフルバックアップに、日々の増分/差分バックアップを組み合わせるという方法も広く行われている。フルバックアップにはそれなりの時間と負荷がかかるため、なるべくPCを使っていない間にバックアップしていくわけだ。

だが、こうしたバックアップはランサムウェア対策としてはあまり有効ではないという。バックアップ・リカバリー・ソリューションを提供するストレージクラフトテクノロジー(以下、ストレージクラフト)で技術営業部 テクニカルセールススペシャリストを務める小寺亮氏は、その理由についてこう説明する。

「最近のランサムウェアは巧妙化し、攻撃があったこと自体を悟られないようにしています。潜伏期間もあるため、週次や月次のように定期的にフルバックアップを取り直している場合、感染したことに気づかないままフルバックアップを取ってしまい、感染前の状態を失ってしまうこともあります。また、感染したPCからランサムウェアを完全に駆除することは、ほぼ不可能といっていいでしょう。システム全体をバックアップしていないかぎり、PCを元の状態に戻すことはできないのです」(小寺氏)

バックアップの常識を覆す! イメージバックアップソフトの進化とは

バックアップに対して、「時間がかかる」「システムに負担がかかる」というイメージをもっている人が多いのではないだろうか。実際、ファイル数やフォルダ数が多ければ多いほど、それらをバックアップするための時間は長くなる。最近では、写真や動画などファイル自体の容量も増えており、数百件のファイルをコピーするだけで数時間かかってしまうことも珍しくない。

そのため、重要なファイルは異なるディスクや共有ストレージに保存しておき、夜間などにまとめてバックアップする方法がとられることが多い。しかし、それでもバックアップ時間は伸びる一方で、時間内に終わらないこともある。

ストレージクラフトのシニアセールスマネージャーである山本知基氏は、多くの企業がバックアップの運用方法に頭を悩ませてきたと話す。「コンピュータに詳しい人ほど、バックアップには膨大な時間がかかることを知っています。時間がかかるので、バックアップするファイルを選別したり、バックアップの運用を工夫したりして、なんとかして所要時間を短縮しようとするわけです。また多くの企業では、クライアントPCのバックアップはほとんど行われていません。アプリケーションが動作しているときにはバックアップが取得できなかったり、パフォーマンスに負荷がかかったりするためです。さらに、取得したバックアップがうまく復元できないことも大きな課題でした」

こうしたバックアップの常識を覆すものとして急速に注目度を高めているのが、イメージバックアップソフトだ。イメージバックアップではPC全体をまるごとイメージとしてバックアップするため、今までのファイルバックアップよりもさらに時間がかかり、制約が多いように思える。

ランサムウェア対策でバックアップソフトに求められる4つの要件

ランサムウェア対策でバックアップソフトに求められる要件は大きく4つあるという。下記にて詳しく紹介していこう。

【ポイント1】ユーザーに負荷を与えない

まず、ユーザーに負荷を与えないことだ。従来からのバックアップでは、使用中のファイルがバックアップできないことやアプリケーションを止める必要があること、システムに負荷がかかることなどが課題であった。

ランサムウェア対策としてバックアップが有効であると分かっていても、こうした懸念点によりバックアップを行うまで踏み出せずにいる人も少なくないだろう。そのため、ユーザーに負担をかけないことはもちろんのこと、PCの使用中でも気づかないうちにバックアップを取得できることが重要なのだ。

【ポイント2】きめ細かく、長期にわたる世代を管理できる

2つ目は、きめ細かく、長期にわたる世代を管理できることだ。もしランサムウェアに感染した場合、PC内のファイルを感染する直前の状態に戻すことが理想であり、そのためには1日数回、さらには1時間というきめ細かい単位でバックアップすることが望ましい。

さらに、ランサムウェアに感染したとしても該当ファイルを開いてみないと気づけなかったり、ランサムウェアには潜伏期間があるため感染発覚まで数日から数週間かかったりするケースもあるという。きめ細かい世代を数週間、数カ月という長期にわたって保持していくことで、そうしたランサムウェアにも対応できるようにすることが必要だ。

【ポイント3】ファイル単位で簡単に復元できる

3つ目のポイントは、簡単に復元できることだ。バックアップしたデータを正しくリストアできることはもちろん、開けなくなったデータをファイル単位で戻せるか、いかに簡単・迅速に復旧できるかということがカギになる。

ランサムウェアには、拡張子を変更するタイプのほか、ファイル名自体を変更して元のファイルをわからなくするタイプもある。システム全体をすぐに戻せない場合でも、必要なファイルだけを短時間で復旧できることが重要だ。

【ポイント4】確実に復旧できる

最後は、確実に復旧できることだ。バックアップはデータを取得して終わりという運用になりやすく、そのデータが壊れていないかなどわざわざ確認する機会は少ないだろう。

たとえ小まめにバックアップをとっていたとしても、いざデータを復旧させようと思ったときにはバックアップデータが壊れていて元に戻せないことがある。確実にファイルを復元できるかどうかは、バックアップソフトの絶対条件と言っていい。

これら4つの要件を満たしたバックアップソフトが、ストレージクラフトの「ShadowProtect SPX」だ。

「ShadowProtect SPX」がランサムウェアに効く!?

ShadowProtect SPXは、クライアントPCにインストールして、ユーザー自身がバックアップ運用を行うことができる製品だ。はじめにシステム全体のイメージバックアップを作成しておけば、ファイルに変更があるたびにその更新分のみのデータを取得し、常に最新のバックアップを保持し続けることができる。小寺氏のPCでは、1時間に1回、ShadowProtect SPXが自動的にバックアップを行っているのだが、1回あたりのバックアップサイズは数百MBのため2分程度でバックアップが完了していた。

「変更分のバックアップは数分程度で行われるため、日々のバックアップ運用が劇的に変わったという声を多数いただいています」(小寺氏)

変更分のデータ取得は最短で15分ごとから行うことができ、バックアップデータの保持期間は最大で120カ月まで設定可能だ。万が一、ランサムウェアに感染した場合には、15分前の状態から、最大10年前の状態にまでさかのぼって、システムをまるごと復旧できるわけだ。

バックアップやリストアの実行は、GUI画面で簡単に設定できる。必要なフォルダを戻す際は、ドライブからローカルディスクにドラッグ&ドロップするだけという驚きの簡単さだ。また、バックアップサーバーなどを必要としないため、管理面からみても導入しやすい。

さらに、物理と仮想環境、クライアントとサーバーを問わず利用でき、リストア先がバックアップ元と異なる機種、異なるメーカーであった場合でも問題なく復元できるのも大きなポイントだ。

*　　*　　*

日に日に脅威を増すランサムウェアの対策として、新しい常識に沿ったバックアップ運用の仕組みはますます求められている。本稿をきっかけに、自社のバックアップ運用についていま一度見直してみてほしい。

(マイナビニュース広告企画：提供 ストレージクラフトテクノロジー)

[PR]提供：ストレージクラフト