ランサムウエア被害からの迅速な復旧と
情報漏洩リスクの軽減を実現するには

　最近では、日本においてもAI活用に向けた取り組みが急速に進んでいる。しかし、新しい技術であるだけにリスクもある。

　「特に重要なポイントが、AIに欠かせないデータのレジリエンスをいかに担保するかという点です。AIの回答に機密性の高い情報が含まれていたりすると、意図せぬ情報漏洩を引き起こす恐れがあるからです。こうしたことが起きないよう、データリスクを監視する必要があります。また、サイバー攻撃は年々悪質化・巧妙化しているため、きちんとデータを保護・復旧できる仕組みも必要です。つまり、AI活用においては、『データセキュリティー』と『サイバーリカバリー』の2点にフォーカスした対策を実施することが重要になります」とRubrik Japanの中井 大士氏は指摘する。

　このような対策を行っていなかったことで、ビジネスに深刻な打撃を受けた企業も多い。「例えばある企業では、ランサムウエア被害からの復旧に約3カ月もの期間を要しました。その理由は、肝心のバックアップデータが使えなくなってしまったからです。本番データが攻撃された際にバックアップデータも一緒に暗号化されてしまったため、この企業では結局システムを新たに作り直さなくてはなりませんでした」と中井氏は明かす。

　また、別の企業の被害事例では、バックアップデータが確保できていたにも関わらず、復旧に約1.2カ月を要したという。

　「バックアップデータがあるのなら、そこからリストアすれば済みそうに思われます。しかし、ここでの問題は、『どのシステム／データが被害に遭ったのか』『どの時点のバックアップデータを使えば安全にリストアできるのか』といったことが、すぐには分からないという点です。万一、ランサムウエアが存在するバックアップデータをリストアしてしまったら再感染してしまいます。どのバックアップデータが大丈夫なのか、状況を詳しく調査しなくてはならなかったため、これだけの時間がかかってしまったのです」と中井氏は続ける。

　最初の事例が示すように、そもそもバックアップデータが守れていないのでは話にならない。しかし、たとえバックアップデータがあったとしても、それだけでは迅速な復旧は行えない。

　「システム復旧を行う際には、しばしば『RTO（目標復旧時間）』という考え方が用いられます。復旧の原因が障害や災害である場合は、直近のデータをリストアすればよいため、システム復旧の作業時間がそのままRTOになります。しかし『サイバーRTO』はそうはいきません。被害の影響範囲や感染タイミング、機密データへの影響などを把握し、マルウエアの検出・隔離を行った上でないと、リストア作業に取りかかれないからです。このためサイバーRTOは、通常のRTOの100倍も時間がかかる可能性があります」と中井氏は警鐘を鳴らす。

　それでは、このような問題をどうすれば回避できるのだろうか。中井氏は、安全かつ迅速な復旧を実現するためのポイントとして「データレジリエンス」「データオブザーバビリティ」「データリカバリー」の3点を挙げる。

　「まず1つ目の『データレジリエンス』では、改ざんや乗っ取りを防ぐことのできるバックアップ環境を構築することが重要です。バックアップデータを物理的／論理的に隔離して簡単にアクセスさせないと同時に、SMB（Server Message Block：Microsoft Windowsのネットワーク上で使用される通信プロトコル）やNFS（Network File System：異なるコンピューター間でファイルを共有するためのプロトコル）といった一般的なプロトコルの常時利用も避けます。加えて、たとえ権限を有している人であっても、勝手な操作が行えないようにすることが肝心です」（中井氏）

　2点目の「データオブザーバビリティ」では、機密データの所在や被害の影響範囲などを的確に把握することが求められる。こうしたデータリスクが可視化されていないと、万一の際に迅速な復旧判断ができないからだ。

　3点目の「データリカバリー」においては、サイバー被害からの復旧作業を可能な限り自動化し、特定の人に頼らなくともリストアできるプロセスを確立することが求められる。

　同社のデータ保護ソリューションでは、このような要件を網羅的にカバーするデータ保護基盤を提供。基本的にはバックアップ分野に分類されるソリューションだが、サイバー攻撃対策に特化した多彩な機能群も備わっている（図1）。 　例えば、ゼロトラスト・アーキテクチャーに基づくセキュアな設計が行われているほか、データの削除や改ざんを防止できるイミュータブル・ファイルシステムを採用。また、論理エアギャップによって本番環境と切り離すことができるため、脅威に不正アクセスされる心配もない。

　加えて、本データ保護基盤は、多種多様なリスクを可視化するデータ分析機能も装備。「当社ソリューションで、取得したバックアップデータを1カ月保管するようにすれば、1カ月にわたる時系列の本番環境のレプリカをオフラインデータとして保持していることになります。これを組み込みのデータ分析エンジンで分析することで、どのデータが暗号化されているのか、被害の影響がどこまで広がっているのかを、時系列に沿って可視化することができます」と中井氏は説明する。

　もちろん、脅威の侵入に関しては、アンチウイルスソフトなどによる監視・防御も行われているはずだ。この段階で侵入を止められれば問題ないが、気付かぬうちに突破されているケースもある。その点、オフラインのバックアップデータと組み込みエンジンを利用すれば、暗号化されたファイルを特定し、被害の影響範囲を把握することが可能だ。これと同時に、いつの時点でマルウエアが侵入したのかも特定することができる。例えば8日前のバックアップデータに侵入の痕跡がなければ、「そのデータは安全にリストアできる」と判断できるわけだ。これが分かりさえすれば、速やかに復旧作業に取りかかれる。

　こうした環境が整っていることは、サイバーレジリエンスを高める上でも非常に重要だ。実際に同社の顧客企業では、バックアップデータが破壊された場合の復旧作業に4カ月以上、バックアップデータが確保されていたとしても1カ月以上かかると試算していた。しかし、同社ソリューションを導入したことで、復旧期間を2～3日にまで短縮できるという。

　なお、ここまでは復旧に関する話だが、AI活用においては機密データのアクセス権限管理にも注意する必要がある。例えば、機密データのアクセス権限設定に少しでもミスがあると、その機密情報をAIアシスタントの回答などに使われかねないからだ。これは、生成AIの回答精度を高める技術であるRAG（検索拡張生成）についても同じことが言える。

　「そこで重要になってくるのが『DSPM（Data Security Posture Management：データセキュリティー態勢管理）』です。ここでは、オンプレミス／クラウドの別を問わず、どこにどのようなデータが保存されているのか、ポリシー違反はないかといったことを監視。問題が検知された場合はアラートで通知し、リスクの軽減を図ります」と中井氏。同社のデータ保護基盤では、サイバーリカバリーだけでなく、こうしたDSPMの機能についても一体で提供できるとという（図2）。 　今後はこうしたポイントを抑えた対策を講じることがサイバーレジリエンスを高めるポイントになると言えるだろう。