ランサムウエア対策で重要な「復旧」の視点
レジリエンス向上の3つのポイントとは

　ランサムウエア攻撃の被害報告が後を絶たない。リスクは高まる一方だが、一方で「うちはバックアップを取っているから大丈夫」と考えている企業・組織は多いのではないだろうか。

　「その考えは危険です。実際、ランサムウエア被害にあった企業の9割は何らかのバックアップを取得していましたが、その3/4がバックアップからの復旧に失敗したと答えています^※」と指摘するのは、Rubrik Japanの矢吹 洋介氏だ。バックアップデータ自体がランサムウエアによって暗号化されたことで、打つ手がなくなったのである。

　たとえクラウドにシステムを移行してもランサムウエアからは逃れられない。2025年4月には、ある会社が利用するクラウドサービスの認証情報が乗っ取られ、バックアップを含むデータが削除されるという事例も発生している。

　「ランサムウエア攻撃の被害のうち、約50％は調査費用が1000万円以上、復旧期間が2カ月以上になるというデータもあります^※。その間は業務が停止するため、一時的なトラブルにとどまらず、何百億円もの機会損失、何十億円もの特損に繋がるなど、長期的かつ深刻な経営リスクにつながってしまうのです」（矢吹氏）

　企業・組織のセキュリティー投資額は年々増加傾向にあるといわれる。にもかかわらず、なぜこのような状況が起こっているのか。考えられる理由の1つは、対策が従来型の境界防御に偏っており、被害からの復旧に目が向いていないことだという。

　「当然、攻撃を防ぐ視点は大切ですが、防げないことを前提として被害を最小化し、早期に業務を再開するための備えこそが求められています」と矢吹氏は強調する。これが今、世界のセキュリティー業界で重視されているサイバーレジリエンスの考え方だ。攻撃を100％防ぐことが不可能な時代だからこそ、速く、確実に復旧させることを経営上の重要な判断軸にすべきなのだ。

　Rubrikは、サイバーレジリエンスを高めるために意識すべきポイントとして次の3つを挙げている（図1）。 　①データの回復力：たとえ外部からの侵入を許しても、バックアップデータだけは確実に守りきらなければならない。そのために、データの改ざん・削除・乗っ取りが物理的・論理的に不可能な、堅牢なバックアップ環境を構築する。

　②データの可観測性（オブザーバビリティ）：ランサムウエア攻撃を受けた組織では、復旧にかかる時間の多くを「被害範囲と復旧対象の判断」に費やしている。つまり、迅速な復旧のためには「どの時点のデータが安全か」「どこまでロールバックすればよいか」を、事前に可視化しておくことが求められる。

　③データの復旧：万一の際に、誰でも安全・確実にデータ復旧を行えるよう、平時から復旧手順やシナリオを定義しておくことが肝心だ。

　「当社では、この3つのポイントを抑えたソリューションによって、お客様のCyber-RTO（サイバー攻撃を前提とした目標復旧時間）極小化を支援しています」と矢吹氏は言う。

　まず①データの回復力に関しては、攻撃を受けても守りきれる堅ろうな設計に基づくゼトトラストデータバックアップの仕組みを提供。最大の特長は、独自OSとソフトウエアの一体型であることだ。

　一般的なバックアップシステムは、汎用OSの上でバックアップソフトウエアを動かすタイプのため、OSの管理者権限が奪取されて無効化される被害が絶えない。その点Rubrikでは、ハードウエアに組み込まれた独自OSの上で稼働しており、ランサムウエアのコード自体が実行できない。また、ストレージアクセスもRubrikの認証済みAPIのみを用いて行うため、NFS、SMBなどのオープンプロトコルを用いる仕組みと異なり、悪意ある第三者にバックアップデータを触らせない構造になっている。

　「仮にアクセスを許しても、当社の特許技術である『イミュータブル・ファイルシステム』によってデータの改ざんや暗号化、削除を防ぎます。その効果は明確で、当社の6,000社以上のお客様のうち300社がランサムウエア攻撃にあいましたが、そのすべてで安全かつ完全なデータ復旧を実現しています」と矢吹氏は説明する。

　②のデータの可観測性については、どのデータが暗号化されているかの結果を提示する。具体的には、バックアップを取得する際にファイル変更率やファイル削除数などを定量的に分析しているほか、二段階検知によってランサムウエア感染の可能性を高精度に特定できるという。

　また、バックアップデータを分析する「Threat Monitoring（脅威モニタリング）機能」によって、どの時点のバックアップデータならランサムウエアの痕跡がなく、安全に復元できるのかも可視化・特定することが可能だ（図2）。 　「この機能を支えているのが高度な脅威インテリジェンスです。世界最大級のセキュリティー企業であるマンディアントとの提携に基づく脅威情報と、当社のセキュリティー研究機関『Rubrik Zero Labs』の独自調査結果を組み合わせることで、バックアップ内の痕跡をスキャンします」と矢吹氏。これによりゼロデイ攻撃の兆候も高い精度で検知できるという。

　さらに、あらかじめメタデータ内にハッシュ情報を記入しているため、大規模環境でも超高速スキャンが行える。顧客と行ったPoCでは、7万5000件のファイル検知を約60秒で実行できたという。安全なリカバリポイントを素早く特定し早期の復旧を図ることが可能だ。

　③のデータの復旧に関しては、システム間連携に基づく高度な自動化機能を提供する。Blueprint（テンプレート）を基に、リカバリ対象や順序、手順、設定を事前に定義・自動化することで、有事の際のリカバリを迅速化できるのだ。「また、サイバーレジリエンス向上に向けて重要なのが平時からのトレーニングです。この自動化機能を用いることで、復旧訓練も大幅に簡素化・効率化できるはずです」と矢吹氏は付け加える。

　保護可能なデータも幅広く、オンプレミスの仮想マシンやNAS、各種クラウドのIaaSやPaaS、Microsoft 365やSalesforceなどのSaaSまでをカバーする。最近はActiveDirectory やMicrosoft Entra IDなどのID基盤の保護にも対応した。外部ベンダーのソリューションとも積極的に連携しており、アラートの相互連携やログの統合なども可能だという。

　さらに、「当社のソリューションを利用することでネイティブのバックアップサービスに比べて容量単価の低いストレージにデータを保管することが可能になります。その結果、クラウド利用コストを35％削減した国内のお客様の事例もあります」と矢吹氏は述べる。

　組織のサイバーレジリエンス向上からコスト最適化まで、多様なメリットを備えたRubrikのソリューションは、ランサムウエア対策やバックアップ運用を考える企業・組織にとって重要な選択肢になるだろう。

※

警察庁 令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について