不正侵入を100％防ぐことは困難 確実なデータ復旧に必要な3つの機能とは

米国ベリタステクノロジーズは、IT調査会社ガートナーが選出する「データセンターバックアップ＆リカバリーソリューション」で16回連続リーダーを獲得している。同社のセキュリティスペシャリストが、急増するランサムウェア攻撃に遭った際の“迅速な復旧への回復力強化”について解説した。

[指田昌夫，キーマンズネット]

　米国ベリタステクノロジーズ（以下、ベリタス）は、データ保護・管理システムで30年以上の歴史を持つ企業だ。世界で8万を超えるユーザーが利用し、IT調査会社ガートナーが選出する「データセンターバックアップ＆リカバリーソリューション」で16回連続リーダーを獲得している。同社のソリューションは、フォーチュン誌が年1回発行するアメリカのトップ企業リスト「フォーチュン500」のうち約87％が採用するなど、グローバルな大手企業や政府機関に利用される。

　ベリタスのプリセールスSE／コンサルティングサービス部門ディレクターを務める高井隆太氏が、急増するランサムウェア攻撃に遭った際の、“迅速な復旧への回復力強化”について講演した。

本稿は、マジセミが2022年1月19日に開催したWebセミナーの講演を基に、編集部で再構成した。

情報システムの複雑化に伴い攻撃パターンが増加

　企業のデータはオンプレミスやクラウド、エッジにも分散する。従来はデータセンターのみを守ればよかったが、現在はさまざまなデータを保護する必要がある。一方、システムが複雑化すると、脆弱（ぜいじゃく）性が増え、攻撃側のオプションも増える。

　「攻撃者側のネットワークが充実し、安価に攻撃できる仕組みが整ったことも脅威を高める要因だ。従来のセキュリティ対策だけでは不十分な状況だ」と高井氏は述べる。

　以前まで企業の事業継続への対策は、主に自然災害や停電、それによるデータセンターの停止やヒューマンエラー、システム障害、プログラムのバグなどだった。加えて今は、「サイバー攻撃への対策」が急浮上しており、中でも大きな被害を与えるのがランサムウェアだと高井氏は言う。

　ランサムウェア被害は急拡大しており、食品メーカーや病院など、業種や規模を問わず狙われる。ある事例では、複数のセキュリティ対策をしていたが、攻撃を受けてバックアップファイルが暗号化され、データを復旧できず業務を再開できない被害が出た。

図1　急速に増えるランサムウェアの脅威（出典：高井氏の講演資料）

図2　ランサムウェアの被害状況（出典：高井氏の講演資料）

セキュリティ対策としてのデータ保護

　ランサムウェア攻撃への有効な対策は、侵入や感染を前提としたトータルなセキュリティ対策だと、高井氏は説明する。

　単一のセキュリティソリューションで侵入や感染を100％防ぐのが難しいことは、セキュリティベンダーも説明している。多くの企業では、バックアップシステムを実装している。だが、単純にネットワーク内に配置したNASへのデータコピーだけでは、バックアップとして不完全だと高井氏は指摘する。

図3　一般的なセキュリティ対策では不十分な状況（出典：高井氏の講演資料）

　「ランサムウェアはネットワークを介して感染を拡大するため、同じネットワークにコピーしても容易に暗号化される。NASは便利な半面、保存した日時などの記録がとられず、復旧時にいつのデータを戻せばいいのか分からない」（高井氏）

　汎用OS上に構築したサーバを用いたバックアップも、十分なセキュリティ対策を施さない限り、攻撃対象となった際にバックアップデータが暗号化されてしまう可能性が高い。一般的なセキュリティ対策は必要だが、それと同時にデータを保護し、確実に復旧する仕組みが事業継続に不可欠というのが、ベリタスの主張である。

確実なデータ復旧に必要な3つの機能

　「企業活動を維持するためには、分散しているデータを確実に保護し、再び全てのシステムで使える形でリカバリーできる必要がある。保護するデータに感染などの異常がないか、検出する仕組みも重要だ」（高井氏）

　データ復旧のためには、この「保護」「復旧」「検出」の3つを確実に実行できるシステムが求められる。以降、3つの要件を満たすベストプラクティスを紹介する。

図4　復旧のための確実なバックアップシステム（出典：高井氏の講演資料）

　データを確実に保護するにはOSやアプリ、仮想環境などを問わず、あらゆるデータをバックアップできる対応能力やバックアップ対象の自動設定などが必要だ。複数のシステムを1つのサービスで統合的に運用し、実行結果をカタログ管理することも業務効率化には重要である。バックアップデータは最後の砦であり、高いセキュリティや暗号化機能は欠かせないと、高井氏は説明する。

　世代管理には、世界的に有名な「3-2-1ルール」が推奨される。重要なファイルのコピーを3つ用意し、2つは異なる媒体に保存、残り1つはビジネス施設から離れた外部の環境に保存するルールだ。

　リカバリーシステムには、クラウドからオンプレミスに復旧させるなどのデータ復旧の場所や、システムごとか、データだけかといった復旧の単位を選択できることが求められる。

　異常検知では、ファイル数やサイズなどに異常なバックアップがないかAI（人工知能）で検知する。バックアップデータにマルウェアが含まれていないかを検出する機能が必要だ。

確実なデータ復旧を実現するベストプラクティスとは？

　確実なデータ復旧を実現するにはバックアップソリューションの導入が助けとなるだろう。本稿では同社が提供するバックアップソリューション「Veritas NetBackup」を例に、その機能を解説する。

　Veritas NetBackupは、企業内のさまざまなシステムにあるデータを取り出し、オブジェクトストレージや仮想環境、アプライアンス、クラウドなど複数のメディアにバックアップすることで、単一のインタフェースとカタログでデータ管理ができる。前述した保護、検出、リカバリーの機能も完備する。

図5　Veritas NetBackupのイメージ（出典：高井氏の講演資料）

　「Veritas NetBackupの専用アプライアンスは、バックアップに特化した専用OSで稼働し、不要なサービスやポートなどを無効化する。米国防総省システム局のガイドラインにも準拠するシステムで、特権アクセスが使用できないなど、高いセキュリティを備えている」（高井氏）

　一度記録したら書き換えができない「WORMストレージ」にも対応している。同社が提供するアプライアンスや単品の専用ストレージ、AWSやAzureが提供するWORM領域にも保存が可能だ。管理者でも期限内の変更ができないため、確実にデータを保護できる。

　また、バックアップデータが世代管理で保存されても、マルウェアが侵入すればデータを上書きされ正常なデータがなくなる。Veritas NetBackupでは異常検出を行うことで、正常なデータを保護して感染の拡大を防ぐ。

　高井氏は、「ランサムウェア攻撃を受けても事業を継続するためには、復旧計画と確実に復旧できるバックアップシステムが必要だ」と締めくくった。