バックアップの仕組みを堅牢化し
ランサムウエアの被害を防止する

　多くの企業・組織が対策を強化しているにも関わらず、ランサムウエアによる被害は減少していない。近年は、バックアップデータを狙う攻撃が顕著になっている。ビジネスを守るためには、バックアップ環境も含めて保護を強化することが不可欠だ。

　ランサムウエア対策を目的としたバックアップで重要と言われるのが「3-2-1ルール」である。これは「3つの異なるコピー」を「2つの異なるメディアで保管」し、さらに「1つをオフサイトで保管」するというものだ。

　「ヴィーム・ソフトウェアは、この3-2-1ルールをもう一歩進めた『3-2-1-1-0ルール』を提唱しています。前述の3-2-1に加えて『改変できないコピーを1つ』作成する、『検証済みのバックアップによってリストア時のエラーをゼロ』にするというものです」と同社の安田 知弘氏は説明する。

　また、同社は高機能なデータ複製・保護ソフトを提供するベンダーとして知られている。同社のソリューションは、「①データ保護」「②脅威の検知」「③データの復旧」の3つの観点でランサムウエア対策に役立つ機能を提供しているという。

　まず①データ保護では、強化Linuxリポジトリによってデータの削除・変更を防止する。管理コンソール上で書き換え禁止期間を設定することで、ランサムウエアによるバックアップデータの暗号化・削除・変更が行えないようにする。そして、リモート通信を独自プロトコルに限定して外部からの侵入を遮断することでリスクを排除するという。

　「オブジェクトストレージのオブジェクトロック機能と連携することで、バックアップデータの暗号化・削除・変更を防止することもできます」と安田氏は述べる。さらに、ランサムウエア攻撃の重要なステップである管理コンソールへの侵入には多要素認証で対抗する。RFC6238による時間ベースのワンタイムパスワードによる2段階認証のほか、データ削除などの重要な操作は、4-eys認証（2人以上で行う認証）を必須とすることで安全性を確保。万一疑わしい操作が行われた場合も、二次特権ユーザーがこれを拒否することができる。

　「加えて当社は、バックアップサーバーがセキュリティーのベストプラクティスに沿って構成されているかを確認するツールも提供しています」と安田氏。これを利用すれば、サーバー内の各種コンポーネントにリスクが存在しないかどうかを簡単に確認できるという。バックアップサーバーの環境を、常に安全な状態に保つことが可能だ。

　データ保護に必要な情報は、ダッシュボードの画面にまとめて表示できる。安全性スコア、脅威の動向を示すマルウエア検出マップ、RPO（目標復旧時点）の異常、日々のSLA成功率など、様々な情報を一目で把握できる。セキュリティー／コンプライアンスを統合的に可視化できるだろう（図1）。

　②脅威の検知では、セキュリティーの問題を早期に発見する手段を提供する。その1つがマルウエア検出機能だ。バックアップを取得するタイミングで、AI／機械学習を用いたインラインスキャンとファイルシステム分析を実施。これによりマルウエアや不審なファイルを検出するとともに、疑わしいと判断したバックアップデータにマークを付けることで、安全なバックアップデータを識別できるようにする。

　「また、バックアップ後のデータに対しても、いつでもマルウエア検出を行うことが可能です」（安田氏）。ウイルス対策ソフトやYARAルール（マルウエアを検知・識別・分類するパターンファイル）でスキャンを行い、最も日付が新しいクリーンなリストアポイントを洗い出す。そうすることで、感染したバックアップデータが再度本番環境にリストアされることを防ぐという。

　サードパーティのセキュリティーツールとの連携にも対応しており、攻撃の初期段階でランサムウエア感染に備えたアクションを取ることができる。例えば、他社ツールが検知したインシデントの情報を基に、感染したバックアップデータにマークを付けたり、影響を受けそうな仮想マシンを被害が出る前にバックアップしたりすることができるのだ。

　「監視レポートサーバー『Veeam ONE』も、リアルタイム監視に基づくランサムウエアのアラートを上げられます。『CPU負荷上昇時のストレージI/OやネットワークI/Oがおかしい』『増分バックアップ時の増分変化量が多すぎる』など、事前に設定した閾値を基に異常を検出して素早いアクションへつなげることができるでしょう」と安田氏は話す。

　最後の③データ復旧では、安全・確実に復旧を行うための様々な手段を用意している。まず、マルウエア検出レポートを基に現在のワークロードを確認し、疑わしいものがないかを把握する。また、バックアップ後のデータに対してマルウエア検出のほか、リストアプロセスの中でもスキャンを実行することができる（図2）。異常が検出されなければリストアが実行されるが、検出された場合は途中で作業を中止できるという。 　「バックアップデータのリストア先も様々な場所から選べます。例えば、同一のハイパーバイザー上であれば仮想マシンのレプリケーションを行うほか、クラウドインスタンスへのリストアも可能。ストレージスナップショットからのリストアや、バックアップデータ内の仮想マシンを即時起動する『インスタントリカバリ』など、時々の状況や要件に応じたリストア手段を選択できます」と安田氏は紹介する。

　もっとも、いくら事前に準備していても、実際にインシデントが発生した際には混乱が予想される。そこで同社は、災害復旧プロセスを自動化するオーケストレーターも提供。これを利用すれば、万一の際も事前に設定したリカバリー操作を自動で実行できるという。

　リストア対象の仮想マシンがきちんと復元できるかどうかも、「Virtual Lab」と呼ばれる仮想検証環境でテストすることが可能だ。マルウエア検出や仮想マシンの起動確認、ネットワーク疎通確認、アプリケーション動作確認などを行える。これにより、エラーのないリカバリーが実現できるだろう。

　「ランサムウエア対策を目的としたユースケースでは、オンプレミスの一次バックアップとクラウドへの二次バックアップを実施し、前者では強化Linuxリポジトリ、後者ではオブジェクトロック機能による削除・変更防止を行うのが望ましいです」。オンプレミス環境が被害を受けて、フォレンジック調査などで復旧に利用できない場合は、前述の通りクラウドインスタンスやDRサイトへのリカバリーを行うとよいだろう。

　このようなバックアップと復旧に向けた多彩なソリューションを提供しているヴィーム・ソフトウェア。ビジネスの安全とレジリエンシーを高める上で、同社の提案は多いに参考になるものといえる。