ランサムウェアによる被害が相次ぐなか、物理サーバーや仮想インフラのデータをクラウドへセキュアに退避させるといった対策が広がりながらも、バックアップ環境やBCP環境を見直す必要性が高まっている。6月9日に開催されたWebセミナー「TECH+ セキュリティ - 専門家とベンダーの対話 第12回 運用現場の選択肢」にて、ヴィーム・ソフトウェア システムエンジニアリング本部 ランサムウェア対策 ソリューションスペシャリスト 熊澤祟全氏が、バックアップおよびレプリケーションによるランサムウェア対策について解説した。

データレプリケーション&プロテクションの領域でVeeamが選ばれる理由

ヴィーム・ソフトウェア システム エンジニアリング本部 ランサムウェア対策 ソリューションスペシャリスト 熊澤祟全 氏

ヴィーム・ソフトウェア システム
エンジニアリング本部 ランサムウェア対策
ソリューションスペシャリスト 熊澤祟全 氏

熊澤氏はまず、Veeamのソリューションについて紹介した。2022年下半期、VeeamはIDCの調査で初めてデータレプリケーション&プロテクションのサービスプロバイダーとして世界1位に選出された。熊澤氏は、Veeamが選ばれる理由として、まず幅広くバックアップが取れることをあげる。Veeamのソリューションは、各社の物理サーバーやクライアントPC、クラウドの仮想マシン、Microsoft 365のデータ、コンテナ環境、NASなど、あらゆる環境のバックアップに対応している。 もう1つは、安全で信頼性の高いデータ保護アプローチだという。バックアップにおいては、3つのコピー、2種類のメディア、1つのオフライン環境にデータを保管するという「3-2-1ルール」が知られているが、Veeamではこれを拡張した「3-2-1-1-0ルール」を提唱している。2つめの「1」は不可変的なコピー。たとえばランサムウェアによるバックアップの消去や暗号化に対処するものだ。「0」は復元時の検証でエラーが0となることを表している。

  • データ保護アプローチ「3-2-1-1-0ルール」

    データ保護アプローチ「3-2-1-1-0ルール」

Veeamでは、基本的にはOSを丸ごとイメージバックアップすることを推奨している。熊澤氏によると、復旧時に仮想マシンの異なる環境への移行を簡単にするためだという。たとえば物理サーバーで保管していたバックアップを仮想基盤へ移行する、クラウドで動いていたシステムをバックアップからオンプレへ移行するといったことが可能となる。バックアップファイルさえ残っていれば、まったく新しいインフラを用意して復旧することができるというわけだ。
「どこかにバックアップファイルが保管されていて、新たに立ち上げる先があれば復旧に困りません。また、OSイメージバックアップをすると、OSやアプリケーション、ミドルウェアのログが残るため、後で調査をする際にも役に立ちます」(熊澤氏)

  • オブジェクトストレージからのバックアップデータ復旧

    オブジェクトストレージからのバックアップデータ復旧

Veeamの基本構成要素とインスタントリカバリ機能

Veeamの基本構成要素は、Veeam Backup Server、Backup Proxy、Backup Repositoryからなる。Backup Proxy、Backup Repositoryはライセンスによらず複数登録することも可能だ。

  • Veeam基本構成要素

    Veeam基本構成要素

物理サーバーの場合、Backup Serverに管理された状態でエージェントを利用できる。また、エージェントはスタンドアロンでも動かせるので、内蔵ディスクや外付けストレージ、NAS等でもBackup Serverが管理しているリポジトリに対してバックアップを送ることができる。
「バックアップを取った後のファイル、アプリケーションはすべて同じ仕組みで動いています。仮想マシンのバックアップであっても物理マシンのバックアップであっても、同じようなものができあがると考えていただいて良いでしょう」(熊澤氏)

リストアに関して、SQL Database、Oracle Database、Active DirectoryなどのアプリケーションはVeeam側で対応済みであり、トランザクションログなどもVeeamでコントロールして取得できる。また、時間を指定してチェックポイント単位で復元することも可能だ。Active Directoryのユーザーやグループを抜き出してリストアし、バックアップ元の場所に上書きまたは別名で戻すこともできる。 ランサムウェア対策として有効なのが、インスタントリカバリ機能だ。仮想マシンやデータベース、NASのバックアップデータから直接仮想マシンを起動させることができる。これにより、ランサムウェア感染が発覚した際に、いつ感染し暗号化されたのか確認していくことができる。
ポイントは、裏でバックアップデータと起動中の更新データをマージしながら本番ストレージにリストアできるため、迅速に起動できる点にある。熊澤氏は「すべてをリストアして立ち上げようとすると非常に時間がかかるが、インスタントリカバリではだいたい30秒程度で立ち上がります。また、バックアップは読み取り専用の不変ストレージに入っていればそのまま残ります。仮想マシンを起動したまま更新しつつ、バックアップデータをマージしてバックグラウンドでリストアすることが可能です」と説明する。

ライセンスは別になるが、Veeam Recovery Orchestratorという機能もある。これは、バックアップデータから正しくリストアできるか定期的に確認し、有事の際にはSLAに則った自動でのリストアを達成するプラットフォームとなる。

ランサムウェア対策に有効な訓練&ウイルスチェック環境

Veeamにおいてランサムウェア対策のメインとなるのが、バックアップデータの改変防止機能だ。Linuxベースのリポジトリを用意し、イミュータブルフラグを利用して更新削除処理不可とするというもので、rootへのアクセスを抑止し、SSHなどのリモート接続を切り、Veeamの通信だけが通るようにすることで対策可能となる。

リポジトリに入っているバックアップファイルをファイルのままウイルスチェックできる機能もランサムウェア対策として有効だ。仮想マシンを立ち上げることなくウイルスチェックができるため、もし問題が見つかった際にはネットワークを無効にして立ち上げるか、あるいは捨てるという対策を打つことができる。またVeeamには、バックアップ対象のCPU負荷やバックアップファイルのサイズ、イミュータブルの設定などに変動があった際に検知できる機能もあるため、ランサムウェア攻撃の監視に役立つ。

なお、ランサムウェア感染からの復旧タイムラインは、バックアップファイルが無事かどうかの確認が必要なため、一般的な障害とは状況が異なる。バックアップファイルは強化リポジトリに入れておき、仮想基盤にセキュアリストアウイルスチェック環境、インスタントVMリカバリ環境を用意しクリーンなバックアップができる環境を構築しておく必要がある。こうした構成があれば、復旧に向けた調査や訓練にも使うことができる。

  • ランサムウェア対策 訓練&ウィルスチェック環境

    ランサムウェア対策 訓練&ウィルスチェック環境

またVeeamでは、ランサムウェア対策セキュリティアセスメントサービスも提供している。同サービスでは、リモートデスクトップやVPNなどの脆弱性、報告先の監督官庁など基本的な部分の確認も推奨しているという。 あらゆる観点からの対応が必要となるランサムウェア対策。バックアップソリューションが進化してきているなか、ぜひ一度、基本的なところも含め、改めて見直してみてはいかがだろうか。

関連リンク

・Veeam Software ホームページ
ランサムウェアからのデータの復元ソリューション
お問い合わせ
 Tel:0120-394-029 (平日 9:30-17:30)

[PR]提供:ヴィーム・ソフトウェア