ランサムウェア攻撃を防ぎきることはできない。防御だけでなくレジリエンスが重要 ー ビジネス継続のために見落としがちな5つのポイント

「バックアップを取っていれば安心」は幻想だった——。

ランサムウェア被害に遭った企業のうち、バックアップからの復旧に失敗した企業は75％にのぼる。その多くは「バックアップ自体が暗号化されていた」という盲点を突かれたことが要因であった。
これからのランサムウェア対策に必要なのは、防御だけでなく「被害を最小化し早く立ち直る力」だ。そこで重要となるのが、データを守る「最後の砦」となるストレージ対策である。

NetAppは2025年1月28日、109シネマズプレミアム新宿にて年次イベント「NetApp INSIGHT Xtra Tokyo」を開催。同社シニアソリューションアーキテクトで、山口大学客員准教授でもある小原 誠氏が、ランサムウェア対策で見落としがちな5つのポイントとストレージにおけるデータ保護策について解説した。

• 

  (登壇者)
  ネットアップ合同会社 ソリューションアーキテクト部 シニアソリューションアーキテクト / 国立大学法人 山口大学 客員准教授
  小原 誠氏

AIの進化により日本でも増加するランサムウェア攻撃

小原氏はまず、警察庁が公表している国内のランサムウェア被害状況について説明。2020年から徐々に増加し、現在も高い水準で推移していることを示した。その背景にはコロナ禍での在宅勤務拡大に伴い、VPNなど社外からのアクセス経路が増えたことがある。「日本は海外に比べて攻撃が少なかったのは言語の壁があったため。しかしAI翻訳の登場で、その壁も低くなっています」と小原氏は言及する。

• 

現在のランサムウェア攻撃は、メール添付ファイルからの単純な感染ではなく、VPNの脆弱性や漏洩した認証情報を利用して侵入し、長期間潜伏後に攻撃を仕掛ける“標的型侵入攻撃”が主流になっている。さらに攻撃者は、データの暗号化だけでなく窃取・暴露なども組み合わせた“多重脅迫”を行うケースが増えているという。

バックアップがあっても復旧できないケースが約75%

警察庁の統計によると、VPN経由での侵入が半数近くを占め、侵入経路の機器にパッチを適用していたケースが50%、ウイルス対策ソフトで検出できなかったケースが72.4%にのぼるという。「侵入をもれなく直ちに検出して防げることが一番良いいのですが、現実的にはそうはいきません。侵入されることを前提とした対策を考えなければなりません」と小原氏は強調する。

さらに重大な問題として、バックアップからの復旧に失敗したケースが75%あり、その67.6%はバックアップ自体も暗号化されていたことが挙げられる。これには2つのパターンがあるという。

1つは、バックアップファイル自体が暗号化されたケース。もう1つは、すでに暗号化されていたデータをバックアップしていたというケースだ。

「気づかないうちに暗号化が進み、データやファイルの世代管理によって健全なバックアップが消失してしまうケースがあります。単にバックアップを取っているだけでは、ランサムウェア対策としては不十分です」(小原氏)

サイバーレジリエンスの重要性

小原氏は従来のサイバーセキュリティが「防御」中心だったのに対し、「サイバーレジリエンス」という考え方の重要性を説いた。これは「被災してしまうことを前提にして、いかに被害を最小化し早く立ち直るか」というアプローチだ。

「防災と減災の両方が大事です。これまでのサイバーセキュリティは防災を中心に考えられてきましたが、減災も合わせて考える必要があります」(小原氏)

小原氏は米国立標準技術研究所(NIST)が策定したサイバーセキュリティフレームワークを引用して説明。このフレームワークは「識別」「防御」「検知」「対応」「復旧」という5つの機能と、それらを束ねる「統制」で構成されている。

従来のセキュリティ対策が「防御」に偏りがちだったのに対し、NISTフレームワークでは攻撃を受けた後の「対応」と「復旧」、つまりレジリエンス(復元力)の要素を明確に取り入れているのが特徴だ。小原氏はこれを「1.備える」「2.影響を小さくする」「3.早く復旧する」の3段階に整理し、特にストレージはデータ保護の「最後の砦」として重要な役割を担うと強調した。

• 

ランサムウェア対策で見落としがちな5つのポイント

小原氏は、ランサムウェア攻撃からデータを守るために押さえるべき5つのポイントを解説した。

• 

1. 最小権限の原則と権限保護

必要最小限の権限のみを与えることと、権限の悪用・誤用を防ぐことが重要だ。特に管理者権限は大きな被害を引き起こす可能性があるため、保護が必須となる。

NetAppでは、ネットワーク分離ができるようストレージを仮想的に切り分ける機能(SVM:Storage Virtual Machine)、ロールベースのアクセス制御、多要素認証に加え、複数管理者検証(MAV:Multi-Admin Verification)機能を提供。管理者による破壊的操作を実行する際に、別の管理者の承認を必要とする仕組みを実現している。

2. ログの取得と保全

ログは原因調査だけでなく、影響範囲の特定と復旧のためにも必要となる。NetAppでも、管理ログとユーザーアクセスログの両方を取得し、改ざん・消去から保護する機能を備えている。

3. 保護された複数世代のバックアップ

バックアップにおいては、エアギャップ(隔離・遮断)と書き換え保護(WORM)が重要だが、リストアの容易さも考慮すべきである。テープバックアップは安全性が高い反面、復旧作業が非常に煩雑になる点に注意が必要だ。

NetAppは、NetApp ONTAPの一部の機能として、特許取得済みの「Snapshot(スナップショット)」技術を提供。小原氏によれば、この技術は世界で初めてNetAppが開発し、現在では業界標準となっているものだ。従来のバックアップとは異なり、Snapshotは瞬時に取得でき、容量効率にも優れている。

特に注目すべきは管理者でも書き換え・消去できない「Tamperproof-Snapshot」機能だ。これは保存期間を設定することで、その期間内は管理者権限を持つユーザーでも書き換えや消去ができない仕組みになっている。また、別筐体・遠隔地へのバックアップ「SnapMirror」では、Snapshotをネットワーク経由で別の場所に転送し、ネットワークを遮断することでエアギャップを実現できる。

4. 攻撃の早期検知

暗号化されたデータをバックアップしても意味がないため、早期検知が重要となる。NetAppのストレージに標準搭載されている「NetApp ONTAP ARP(Autonomous Ransomware Protection)/AI」機能は、ストレージ自体がAI機能で異常アクセスを検知し、自動的にバックアップを取得する。英国のセキュリティテスト会社SE Labsの評価では検知率99%、誤検知回避率100%、総合評価AAAを獲得している。さらに、別売のSaaS「DII-SWS(NetApp Data Infrastructure Insights – Storage Workload Security)」を使えば、ユーザー単位の検知・遮断も可能だ。

5. 素早く柔軟に実行できるリストア

ランサムウェア攻撃からの復旧では、単純に全データを戻すのではなく、暗号化前のデータを特定して復旧する必要がある。また、現場保存と業務復旧の両立も課題となる。

NetApp ONTAPでは、個別ファイルのリストア機能「SFRS(Single File Snap Resore)」や、現状を残したまま別環境に復元できる「FlexClone」機能などを提供している。

統合管理を実現するBlueXP Ransomware Protection

さらに、これらの機能を統合的に管理するコンソール「NetApp BlueXP Ransomware Protection」もSaaS型で提供。ワークロードの特定からデータ保護設定の適用、攻撃検知、バックアップ、リカバリまでを一元管理できる。

• 

小原氏は最後に「ランサムウェア攻撃を完全に防ぎきるのは現実的には難しい状況です。防御力(防災)と復元力(減災)を両輪で考え、5つのポイントをおさえたデータ保護策が重要となるでしょう」とまとめた。また、NetAppでは多くの企業、自治体などから高評価を得ている無償のワークショップやハンズオンセミナーも提供しており、担当営業・SEを通じて相談できるとのことだ。

ランサムウェア対策は、もはやエンドポイントやネットワークだけの問題ではない。攻撃者の標的はデータそのものであり、その「最後の砦」となるストレージの役割が重要性を増している。小原氏が示した5つのポイントは、多くの企業が見落としがちな視点を含んでおり、単なる防御策を超えた包括的なデータ保護の必要性を浮き彫りにしている。今後は、攻撃される前提で、早期検知と素早い復旧を可能にする仕組みを備えたストレージインフラを構築することが、ビジネス継続性を確保するための鍵となるだろう。

[PR]提供：ネットアップ