ランサムウェア対策、ストレージやクラウドへのバックアップでは足りない

ランサムウェア攻撃において、犯罪者はデータを暗号化して、復号を条件に身代金を要求する。よって、暗号化されたデータのバックアップがあれば、犯罪者の要求に屈する必要はない。

しかし、ランサムウェア攻撃を受けて、事業の復旧に時間がかかっているケースは多い。例えば、2021年10月末にランサムウェア攻撃を受けた徳島県つるぎ町立半田病院。同病院のインシデントに関する調査報告書によると、同病院が診療を再開できたのは翌年の1月であり、事業の復旧までに3カ月を要している。しかも、データ復旧会社へ支払った金額は7,000万円に及ぶ。

ランサムウェア攻撃が大きく報道されるようになって数年経っているが、被害が収まる様子はない。バックアップの重要性は古くから言われていることであり、大抵の企業は何らかの形で、データをバックアップしているはずだ。

なお、バックアップにはいろいろな方法がある。せっかくデータをバックアップしていても、暗号化される直前のデータを完全に復旧しなければ、事業の継続に支障を来す。

日本オラクル事業戦略統括事業開発本部シニアマネジャー,CISSP 大澤清吾氏は、「データベースのランサムウェア対策は見落とされがち。実際、警察庁の調査によると、バックアップからデータを復元できた割合は19％に過ぎないことがわかっている。従来のバックアップ手法では、ランサムウェア攻撃を受けた時にデータを復旧することは難しい」と指摘する。では、ランサムウェア対策として、どのような形でバックアップをとればいいのだろうか。

日本オラクル事業戦略統括事業開発本部シニアマネジャー,CISSP 大澤清吾氏

ストレージ・バックアップ、クラウド・バックアップの弱点

データをバックアップする際、データの保存先として、ストレージもしくはクラウドを利用するケースが多いだろう。しかし、大澤氏は、いずれの手法もランサムウェアに対するデータ保護として不十分と指摘する。

ストレージ・バックアップは、以下の5点のリスクを抱えている。

攻撃者が簡単にアクセス可能
データの搾取
データ破壊
バックアップ時点までの復旧
手動でのリカバリ検証が必要

大澤氏は、ストレージ・バックアップについて、「バックアップを取得した後、本番のデータベースをコピーして立ち上げて、動作をチェックする必要がある。このタスクを行うことで、コストが増えるとともに、パフォーマンスに影響を与える」と話す。

一方、クラウド・バックアップは、ストレージ・バックアップと異なり、「攻撃者を近づけない」「指定期間削除が不可能」という長所がある。しかし、「データベースの暗号化は選択」「バックアップ時点までの復旧」「手動でのリカバリ検証が必要」という課題があるという。

こうしたストレージ・バックアップ、クラウド・バックアップが抱える課題を解決するバックアップ手法として、オラクルが提案するのが「Zero Data Loss Autonomous Recovery Service」だ。

ランサムウェア対策という観点から見たバックアップ手法の違い

ランサムウェア対策としてデータベースを保護する重要性

「Zero Data Loss Autonomous Recovery Service」は、Oracle Cloud Infrastructure（OCI）で実行するOracle Database向けのフルマネージド型データ保護サービスだ。

大澤氏は、ランサムウェア対策として、データべースを保護するべき理由として、以下を挙げた。

データベースには価値の高い情報が格納されている
目標復旧時点（RPO：Recovery Point Objective）を最小化できる
目標復旧時間（RTO：Recovery Time Objective）を最小化できる
大量のデータベースが格納されているデータベースを保護することで、情報システムを復旧できる

大澤氏が参加しているデータベース・セキュリティ・コンソーシアムで行った調査によると、回答者の半数以上はRPOとRTOの目標時間について、障害発生時点から30分以内を希望している。

しかし、前述したように、ストレージ・バックアップとクラウド・バックアップでは、バックアップ時点までのデータしか復旧できない。また、ファイルバックアップの場合、データを複製したタイミングまでしか復旧できず、RPOも大きくなる。これに対し、「Zero Data Loss Autonomous Recovery Service」は破壊直前までのデータの復旧が可能であり、RPOも障害発生時点となるという。

ランサムウェア攻撃を受けてもデータを被害直前の状態に戻せるか？

なぜ、「Zero Data Loss Autonomous Recovery Service」はランサムウェアの被害を受けても、直前の状態に戻せるのか。

それは、同サービスはリアルタイムでデータベースの更新ログを取得し、最新のデータを保存しているからだという。加えて、データが取り込まれた際、リカバリ検証や修正が内部で行われる。

警察庁の調査によると、ランサムウェア攻撃の被害を受けた企業・団体がバックアップを利用してデータを普及できなかった理由の19％が「データが古い、欠損等で復元失敗」だったという。つまり、データをバックアップしただだけでは手落ちであり、取得したデータの完全性を担保する必要がある。同サービスでは、バックアップの再検証を周期的に行う。

さらに、OCIはデフォルトでデータベースの格納データの暗号化を行っているため、「Zero Data Loss Autonomous Recovery Service」でバックアップしたデータはすべて暗号化されている。よって、データが窃取されたとしても、解読できないという。

サイバー攻撃において、攻撃側に対し、防御側は劣勢だ。今や、ランサムウェア攻撃もどの企業がターゲットになってもおかしくない状況にある。事業継続、ランサムウェア対策として、今一度、自社のバックアップ体制を見直すよい機会ではないだろうか。