安全なバックアップと確実なリストアで
ランサムウエアからビジネスを守る

　ランサムウエアを用いたサイバー攻撃は世界中で増加しており、日本でも多くの被害が報告されている。「当社が昨年公開したレポートによれば、約85％の組織がランサムウエアによる攻撃を受けており、そのうち約45％は本番データにも被害が及んでいます。特に狙われるのがバックアップで、実に約93％の攻撃が身代金を奪うためのターゲットとしています。こうした状況からも、バックアップデータを守ることが、いかに重要かが分かります」と語るのはヴィーム・ソフトウェアの安田 知弘氏だ。

　データ保護ソリューションの世界的大手である同社でも、「脅威の検知」「データの復旧」「コンプライアンスの保護」の3点からなるランサムウエア対策を展開している。「ランサムウエアを早期に検出・特定すると同時に、被害を受けた場合は迅速な復旧を実施。また、各種規制にも対応した形でデータを守ることを狙いとしています」と安田氏は説明する。

　ここからは、その具体的な内容について見ていきたい。まず、1つ目の「脅威の検知」においては、バックアップを取得するタイミングでAI／機械学習によるスキャンとファイルシステム分析を実施。これによりマルウエアを早期に検出すると同時に、感染が疑われるデータをマークすることで安全なバックアップデータを把握する。「他社セキュリティーツールのインシデントレポートも利用できるので、攻撃の初期段階で感染に備えたアクションを取れるようになります」と安田氏は話す。

　また、クラウド型ITマネジメントサービスである「ServiceNow」とのインシデント連携機能も提供。同社の監視・レポートサーバー「Veeam ONE」のアラームから自動的にインシデントを作成できるだけでなく、ServiceNow上で直接インシデントの更新や解決を行うことも可能だ。

　2つ目の「データの復旧」では、最初に取得したバックアップデータに対するマルウエア検出スキャンを行う。ここではウイルス対策ソフトのほか、マルウエアの検出・識別・分類に用いられるパターンファイル「YARAルール」による検出が可能。さらに、マルウエア攻撃以前に取得されたクリーンなバックアップデータの中から一番日付の新しいものを見つけることで、感染してしまったデータがリストアされることを防ぐ。

　「当社のソリューションには『Virtual Lab』と呼ばれる仮想検証環境が用意されていますので、安全に仮想マシンの復元性をテストできます。また、リストアプロセスの最中に、マルウエア検出スキャンを行うことも可能です。問題がなければ所定の場所にリストアされますが、もし途中でマルウエアが検出された場合はリストアプロセスを中止し、感染した仮想マシンが本番環境内に配置されることを防ぎます」と安田氏は話す。

　最後に3つ目の「コンプライアンスの保護」については、強化Linuxリポジトリによる改ざん・削除防止を実施。同社製品の管理コンソールから書き換え禁止期間を設定することで、バックアップデータがランサムウエアによって暗号化／削除されないようにする（図1）。 　これと同様に、オブジェクトストレージにバックアップデータを保存している場合も、オブジェクトロック機能と連携することでデータの改変を防止。書き換え禁止期間の有効期限が来るまでは、暗号化や削除が行えないようにすることができる。

　「もう1つ有効なのが、セキュリティーのベストプラクティスを確認する機能です。ここではバックアップサーバーの構成をチェックして、OSや各種のコンポーネントがベストプラクティスを満たしているか確認できます。満たしていない項目については×マークが表示されますので、構成変更を行った際のリスクなどを素早く洗い出せます」と安田氏は話す。

　これに加えて、セキュリティー／コンプライアンスの状況を可視化するためのダッシュボードも用意。マルウエアの検出状況やRPOの異常、日々のSLAの成功率など、データ保護に必要な情報を一目で確認できる。

　「このように当社では、脅威の検知、データの復旧、コンプライアンスの保護の3点に対し網羅的な対策を提供しています。さらにそのほかにも、バックアップサーバーにログインする際の多要素認証やランサムウエア検出レポートの作成機能、マルウエア検出を含めたリカバリの自動化機能など、様々な対策機能をご用意しています」と安田氏は強調する。

　なお、同社が提供するソリューション「Veeam Data Platform」にはFoundation／Advanced／Premiumの3つのエディションがあるが、マルウエア検出機能を利用するには、Advanced／Premiumを選ぶ必要があるという。

　このようにランサムウエア対策に役立つ機能を数多く備える同社製品だが、本業であるバックアップ＆リカバリ分野においても、以前よりリーダー的ポジションを確立している。「今回のテーマであるランサムウエア対策に加えて、社内バックアップの統合やクラウド／ハイブリッドクラウドへの対応を目的として導入されるお客様も数多くいらっしゃいます」と安田氏は話す。

　複数の業務システムを稼働させている企業の中には、社内に個別バックアップシステムが乱立し、コストや運用管理負担の増大を招いてしまうようなケースも見受けられる。これを統合すれば、環境や運用のシンプル化が実現。データ保護レベルの底上げも図れる上に、災害対策なども行いやすくなる。

　「ただしバックアップ統合を行うと、ジョブの数が増えますので、個々のバックアップをできるだけ早く終わらせないといけません。その点当社製品は、増分バックアップを行うため、変更されたブロックだけを短時間で転送できます。また、フルバックアップについても、初回フルバックアップに増分データを合成することで作成できますので、毎回仮想マシンからフルバックアップを取得する必要はありません」と安田氏は話す。

　小規模環境の場合はバックアップサーバーとストレージを1台にまとめたオールインワン構成、規模が拡大した場合はストレージを別に分ける分散構成と、スモールスタートで始めて順次環境を拡張していけるのも大きなメリットだ。

　また、クラウド／ハイブリッドクラウド対応で注目されるのが、仮想マシンの移行ツールとしても利用できる点だ（図2）。「例えば、社内で稼働している仮想マシン群を、オンプレミスのライセンスを使ってそのままクラウド上へ移行させることが可能です。また、移行後は別のクラウドに1次バックアップ、安価なオブジェクトストレージに災害対策用の2次バックアップを置くことで、コストを抑えつつオンプレミス時代と同じ保護レベルを保てます」と安田氏。大規模障害や災害などが発生した場合も、バックアップからクラウドへのリストアを行うことで、早期に業務を復旧することが可能だ。 　こうしたクラウドへのマイグレーションに加えて、P2V方式による物理サーバーの仮想化、あるいは仮想化基盤のリプレースに伴う仮想マシン移行など、異なる環境間をまたいだ移行に大きな効果が期待できるという。