AI時代のサイバーセキュリティ対策 サイバーレジリエンス&情報セキュリティ戦略セミナー Review 2024
Arcserve Japan

猛威を振るうランサムウエア攻撃
組織を守るデータバックアップの勘所は

ランサムウエア攻撃による被害のニュースが後を絶たない。企業・組織にとって最大の脅威は、復旧に多大な時間を要し、その間、ビジネスが停止してしまうことだ。多大な機会損失の発生を防ぐため、不可欠なのがデータバックアップ体制の強化である。バックアップソリューションベンダーのArcserveは、その効果的な手法に関して2つのポイントを提示している。

被害からの早期復旧に向けて
重要になるデータバックアップ

arcserve Japan合同会社 ソリューション統括部・マネージャ 中田 皓介氏
arcserve Japan合同会社
ソリューション統括部・マネージャ
中田 皓介
 現在の企業にとって最大の脅威の1つといえるのがランサムウエアだ。IPA(独立行政法人 情報処理推進機構)が毎年公開している「情報セキュリティ10大脅威」では、「ランサムウエアによる被害」が直近4年連続で1位にランキングされている。

 また、ランサムウエアのリスクについては警察庁のレポート「令和5年におけるサイバー空間をめぐる脅威の情勢等について」でも指摘されている。そこから見えるのは、70%近くの企業・組織が、被害からの復旧に1週間以上を要しているという実態である。

 「大きく報道された某出版社の例のように、復旧に数カ月を要するケースもあります。その間は顧客サービスや業務の一部を止めるしかないため、大きな機会損失が発生してしまいます。レピュテーションリスクも免れられないでしょう」とArcserve Japanの中田 皓介氏は指摘する。

 ただ、警察庁の調査結果を逆に見れば、約30%の組織はランサムウエア被害からの復旧を1週間未満で実現していることになる。両者の違いはどこにあるのか。同社によれば、最大の要因は「バックアップデータが適切に採取されていたかどうか」にあるという。

 「ランサムウエア対策の観点での適切なバックアップには、大きく2つのポイントがあります」と中田氏は述べる。

 1つ目は「健全な時点のバックアップデータを残す」ことである。仮に、今この瞬間、ランサムウエアによる攻撃を受けたとしても、それにすぐ気付けるとは限らない。気付くのが翌日になった場合、暗号化後のデータが日次バックアップとして採取されてしまうだろう。「一世代しか採取していない場合、データは上書きされてしまい戻せなくなります。バックアップデータを複数世代採取しておき、暗号化前の状態に戻せる仕組みを整えておくことがリスク低減、レジリエンス強化の観点で必須です」と中田氏は説明する。

 なお、複数世代を採取する際の懸念点になるのが容量の肥大化だが、最新のバックアップソリューションはこの点についても考慮されている。初回のみフルバックアップを取り、2回目以降は差分のみをバックアップするといった仕組みがそれだ。一般的に、増分の容量はフルバックアップの数%に留まる。そのためストレージ容量の問題はそこまで考慮しなくて済むという。
警察庁の調査結果を基に、「復旧中」を除いてArcserve Japanが再計算したもの

バックアップデータ自体を守る
視点が不可欠に

 2つ目は「バックアップデータ自体を守る」ことである。「1つ目のポイントであるバックアップを複数世代採る運用は、既に多くの企業・組織が実践していることと思います。その意味で、こちらがより重要といえるでしょう」(中田氏)。

 今日のランサムウエアの手口は巧妙化しており、かつての「Locky」や「WannaCry」のように、主にメール経由でPCに感染して、PCの内部やアクセス可能な共有フォルダー内のファイルを暗号化するというシンプルなものだけではなくなっている。

 標的とした組織のネットワーク内部に侵入し、システム構成を調査しながら管理者権限を奪って徐々に重要システムに迫る。「その上で、例えば製造業なら制御システム、医療機関なら電子カルテなど、組織の“アキレス腱”になるようなシステム内の重要データを見つけ出して暗号化することで、多額の身代金を要求するのです」と中田氏は言う。

 攻撃対象にはバックアップデータも含まれる。バックアップデータが破壊されてしまうと、システムの復旧は非常に困難になり、ビジネス停止期間が長期化する。そのためバックアップデータ自体をしっかり守る仕組みが不可欠なのだ。

 「バックアップ先ストレージにNASを利用しているケースは多いと思います。しかし、管理者のID・パスワードをメーカーが設定したデフォルトのまま運用していると、攻撃被害に遭うリスクが大きく高まります」と中田氏は話す。

 そのためNASでバックアップを取る際は、バックアップファイルを格納する独自の共有フォルダーを作成するとともに、専用アカウントを設定することが重要だ(図1)。また、NAS製品の中には、総当たり攻撃対応や脆弱性対応パッチなどの機能を提供しているものがあるので、それらの機能を活用することも検討すべきだろう。あるいはバックアップ専用のLANを構築する方法もある。いずれも特別な手法ではないが、手を抜かずに徹底することがリスク低減のカギを握るのだ。  「同様に、データのオフライン保管/二重化も有効です」と中田氏は付け加える(図2)。オフライン保管とは、バックアップデータをテープ(LTO)やリムーバブルディスク(RDX)など、ネットワークから物理的に切り離した環境に保管するアプローチ。二重化は、採取したバックアップデータをクラウド上に退避させる方法だ。二重化する際は、オンプレミスとクラウドの管理者アカウントを分けておくことで、リスクをさらに低減できるだろう。

仕組みを備えるだけでなく、
復旧訓練を行うことも肝心

 バックアップソリューション「Arcserve Unified Data Protection」は、これらのポイントを押さえた運用を円滑に行える仕組みを網羅的に備えている。増分バックアップによって複数世代のデータを保管する際の容量を抑えるほか、フォルダー単位のリストア、復旧テストなどの機能も実装。クラウド連携機能も備えている。一連の機能は、分かりやすいインターフェースで簡単に操作することが可能だ。

 「また、ランサムウエア被害からの早期復旧に向けて、もう1つ忘れてはいけないのが訓練です。『バックアップはしているが、データを復旧した経験はない』という企業は多いのではないでしょうか。初動対応や社内外への報告、証拠保全のプロセスなどを、訓練を通じて検証しておくことをお勧めします」と中田氏は語る。

 「リストア先のストレージ容量が足りない」「手順書が古いものだった」などの事態が、有事になって発覚することは往々にしてあるものだ。事前に自社の弱点を把握し、改善しておくことが迅速・確実な復旧のためのポイントになる。

 Arcserve Japanは、そのような復旧訓練も含めた各種トレーニングサービスもパートナーとの連携の下で提供している。これらのサービスもフル活用しながら、激化するランサムウエア攻撃への万全の対策を整えることが、今日のセキュリティー担当者の務めといえるだろう。
TOPへ
関連リンク
お問い合わせ
arcserve Japan合同会社 製品購入前相談窓口「Arcserveジャパンダイレクト」まで
URL:https://www.arcserve.com/jp/contact-us