「従来のバックアップでは守れない」 ランサムウェア対策をバージョンアップしよう

ランサムウェアの脅威が深刻化する中、従来のバックアップ対策では十分な防御ができなくなっている。データ保護戦略と、効果的なバックアップソリューション選定の勘所を探る。ランサムウェアへの考え方をバージョンアップしよう。

[平 行男，合同会社スクライブ]

　企業を狙ったサイバー攻撃は増加の一途をたどり、特にランサムウェアによる被害は深刻化している。従来型のウイルス対策ソフトでは検知できない巧妙な手口が増え、企業規模を問わず、その脅威にさらされているのが現状だ。

　ランサムウェア攻撃への対策の一つがバックアップだが、従来のバックアップの知識や方法では十分に対応できない状況になっている。従来のバックアップは、主にハードウェアの故障や人的ミスによるデータ損失を想定しており、サイバー攻撃を想定していなかったからだ。

　そこで本稿では、バックアップのトレンドと、変化する脅威から企業を守る効果的なデータ保護対策を紹介する。従来のバックアップの常識を見直し、企業の事業継続性を守るためのヒントを専門家に聞いた。

ランサムウェアとクラウドでバックアップを取り巻く環境が変化

　「バックアップ関連ソリューションは、ここ数年で大きく進化したわけではありません。処理能力が上がったり、UIが改善したり、周辺機能が強化されたりといった変化はありますが、基本的な機能はほとんど昔と同じです。一方、バックアップを取り巻く環境は変化しています」

ネットアップ　小原 誠氏

　そう語るのは、ネットアップでCyber Resilience、CloudOps、FinOps領域を中心にソリューション開発やマーケティング活動、導入支援などに従事する小原 誠氏（シニアソリューションアーキテクト）だ。

　従来のバックアップは、主に二つの脅威に対する備えとして実施されてきた。一つは「物理障害」で、HDDが壊れたり、激甚災害でラックが倒壊したりするケースだ。もう一つは「論理障害」で、データの誤編集や誤削除などが該当する。これらに対して備えるのがバックアップの出発点だった。

　しかし、テクノロジーの進化とともに新たな観点が登場し、従来の方法では対応しきれなくなってきている。クラウドサービスの普及やランサムウェアの猛威だ。

　「クラウドだから安全だと思っていても、実はそうではありません。2024年5月、『Google Cloud』がオーストラリアの年金基金のアカウントを誤って全削除するという事故が発生しました。世の中のSaaSを使っている会社の7割程度は実はバックアップを取っていないという調査結果もあります。クラウドサービスを利用していてもバックアップを取らなくてはいけない、その当たり前の事実に気づいていない企業も多いのです」

ランサムウェア対策におけるバックアップの課題

　一方、ランサムウェアの被害も増加傾向にある。そして、バックアップを取っていても、ランサムウェアの前ではほぼ効果がないケースもある。

　警察庁「令和５年におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェア被害に遭った企業のうち、システムまたは機器のバックアップを取得していた割合は94％だった。

　しかし、取得していたバックアップから復元を試みた企業の回答のうち、「被害直前の水準まで復元できなかった」割合は83％となっている。ランサムウェアの被害に遭うと、バックアップを取っていたとしても、8割はシステムの復元に失敗してしまう。

（出典：警察庁「令和５年におけるサイバー空間をめぐる脅威の情勢等について」）

　「バックアップからの復元に失敗する理由として、バックアップサーバ自体がランサムウェアによって破壊や暗号化をされていたり、暗号化されたデータを気付かないままバックアップしたりすることが考えられます」（小原氏）

　バックアップの設定として、「何かあったときに前の日の状態に戻せるように、日次のバックアップを1世代分保存する」「日次のバックアップを7世代分（1週間分）、週次のバックアップを5週間分（1カ月分）保存する」といった方法がよくある。しかし、ランサムウェアに感染し、気づいた時には暗号化されたファイルをバックアップしてしまっているケースが多い。結果として、過去のバックアップデータも世代管理の中で上書きしてすでに消えており、戻せなくなってしまう。

　さらに、バックアップシステム自体が攻撃対象になるリスクも存在する。Microsoftの「Active Directory」に侵入され、管理者権限を取得され、バックアップサーバも壊されてしまうといったケースだ。また、バックアップサーバのバックアップカタログを壊されることもあり、そうなると復元が非常に困難になる。

できるだけ早く復旧する力「サイバーレジリエンス」の重要性

　クラウド事業者のミスをユーザー側で防ぐことも、ランサムウェアなどのサイバー攻撃を完全に防ぐことも難しい。そこで重要になるのが、「サイバーレジリエンス」という考え方だ。

　「自然災害においも、被害をゼロにしようとすれば過剰な対策が必要になり、予算がいくらあっても足りません。そこで重視されているのが、災害が起きてもそれに耐え、速やかに復興、適応できるレジリエンスです。それと同じように、情報システムでもサイバーレジリエンスが重要。攻撃を受けても被害を最小限に抑え、迅速に復旧できる仕組みを整える必要があるのです」（小原氏）

　サイバーレジリエンスの考え方は、単にバックアップを取るだけでなく、システム全体の回復力を高めることを目指している。これには、セキュリティ対策やバックアップ、迅速な復旧プロセスなど、総合的なアプローチが必要となる。バックアップに関しては、従来の「どんなバックアップでも取っておけばOK」という発想から脱却する必要があるという。

　「特にランサムウェア対策に関して、バックアップをどうするかから考えを始めてしまうと、検討の範囲も狭まってしまい、いざというときに使えないバックアップとなりがちです。最終目的はあくまでも“データを保護する”こと。そのためには、『1．リアルタイムでの攻撃検知』『2．バックアップの書き換え保護』そして『素早く柔軟な復旧』の大きく3つのポイントへの考慮が必要です。そのための一つの手段としてバックアップを位置付けるべきです」（小原氏）

　“バックアップを取る”ではなく“データを保護する”。このように視点を変え、データの暗号化やアクセス制御、異常検知など、より包括的なデータ保護戦略を立てることが重要ということだ。

さまざまなバックアップ手法とその特徴

　では、ランサムウェア攻撃からデータを保護するためには具体的にどのようなソリューションがあるのだろうか。従来のアプローチは、バックアップソフトウェアを利用してストレージ上のデータを読み取り、テープ、ディスク、そしてクラウドにデータを転送するというものだ。それぞれの特徴と課題を見ていこう。

テープバックアップ

　テープバックアップは、「エアギャップ」と呼ばれる隔離を、物理的に実現可能な点が強みだ。ネットワーク経由の攻撃から大切なデータを守れる。また、大容量で低コストという利点もあるため多くの企業で利用されている。

　一方で、復元に時間がかかるという欠点がある。特にランサムウェア攻撃からのデータ復元の場面では、最新のバックアップセットから全てのデータを戻せばよいという単純なものではなく、監査ログと突き合わせながら暗号化されたデータを特定し、それぞれについて暗号化前の時点のバックアップを探し出して復元することになる。

　そのため、大量にあるテープの中から特定の時点の、特定のファイルを探して復元しようとすると、膨大な手間と時間がかかる。また、テープの取り回しも複雑で、人為的ミスのリスクも高い。

　ランサムウェア攻撃では内部犯によるほう助なども発生しており、物理的に隔離しているからセキュアとは必ずしも言えない状況になってきている点にも留意が必要だ。

ディスクバックアップ

　ディスクバックアップは、テープバックアップで課題となる、復元の困難さを大幅に改善する。その一方で比較的高コストになりがちだが、データの重複排除や圧縮といった技術によりコストを抑える工夫をしている。

　エアギャップについても、平常時はバックアップアクセスのみ受け付けるようにするなどのアクセス制御により、論理的な隔離が実現可能だ。

クラウドバックアップ

　クラウドバックアップは、初期投資を抑え、場所を選ばずアクセスできる利便性が魅力だ。しかし、クラウドサービス自体の障害やセキュリティリスクもある。また、大量のデータを復元する際のネットワーク帯域の問題や通信コスト（クラウドへの「上り」は無料でも、クラウドからの「下り」は有料であることが多い）、復元にかかる時間も考慮する必要がある。

　これらのバックアップには共通する課題がある。バックアップソフトウェアを利用して、これら、テープ、ディスク、クラウドなどにバックアップをとるアプローチは、ストレージに対して後付で導入でき、多様な環境に対応できる柔軟性が強みだ。ただし、これらの方式は基本的に「取る」ことに特化しているため、「2．バックアップの書き換え保護」には対応できたとしても、「1．リアルタイムでの攻撃検知」ができない。また「3．素早く柔軟な復旧」についても、復旧先のストレージでの現場検証が完了するまでは復旧に着手できないなど、迅速な復元といった面で限界がある。

ストレージレベルでのバックアップ

　最後にストレージレベルでのバックアップだ。ストレージ自体に高度なデータ保護機能を持たせることで、データの書き込み時点での攻撃検知や、瞬時のバックアップ（スナップショット）作成が可能になる。また、復元も高速で、容量効率も良い。

　「NetApp」製品に搭載されているランサムウェア対策機能を例に、小原氏は補足する。

　「NetAppのストレージソリューションには、高度なランサムウェア対策機能が標準で組み込まれています。通常のデータアクセスパターンを学習し、ランサムウェアによる異常な動き（データ暗号化）を検知すると、即座に管理者に通知し、自動的にその時点のスナップショットを作成します。これにより、攻撃の早期発見と、攻撃開始直後の時点のデータの保護が可能になります（1．リアルタイムでの攻撃検知）。通常の日次スナップショットなどに加えて、その攻撃開始直後のスナップショットがあることで、できるだけ多くのデータを最新時点まで復旧させることが可能で、管理者であっても一定期間は消去できないように保護が可能です（2．バックアップの書き換え保護）。さらにスナップショットから容量効率よく高速にクローンを作成できるため、攻撃被害にあった環境は調査のために残しつつ、復旧環境をクローンから立ち上げる、といったことも容易に実現できます（3．素早く柔軟な復旧）」

　またNetApp製品の特徴的な機能として、「Multi-Admin Verification」（MAV）もある。MAVは、複数の管理者による承認がなければ重要な操作を実行できない機能だ。これにより、たとえ管理者アカウントが乗っ取られたとしても、不正なデータ削除や設定変更を防止できる。

　このように、ストレージでのバックアップには、データコピーとは異なるランサムウェア対策機能が実装されている。

バックアップソリューション選定のポイント

　バックアップの選択肢は複数あり、従来のクラウドストレージの利点に加えて、高度なデータ保護機能を組み合わせたサービスも登場している。企業は自社の環境やニーズに応じて、最適なソリューションを選択することが重要だ。最後にバックアップソリューションを選定する際のポイントを、小原氏は次のようにまとめる。

　「まず、自社にとって重要なデータは何か、どの程度の復旧時間（RTO）やデータの巻き戻り（RPO）が許容されるかを明確にすることが重要です。その上で、早期異常検知能力、バックアップデータの保護機能、復元の迅速性と柔軟性を重視して選定することをお勧めします」

　また、コスト面での考慮も重要だ。小原氏は次のように付け加える。

　「バックアップは一種の保険のようなもの。コストだけを見れば、ストレージとは別に外付けで導入するバックアップソフトやテープバックアップの方が、そこだけを切り取れば安くなる場合もあります。しかし、実際に被害に遭った際の復旧コストや事業継続性への影響を考慮すると、初期投資が多少高くても、ストレージとバックアップを一体的にデータ保護の仕組みを考え、高度な保護機能を持つソリューションを選択する方が長期的にはメリットが大きいのではないでしょうか」

　データは企業の生命線だ。その保護は経営課題として捉える必要がある。バックアップの在り方を見直し、包括的なデータ保護戦略を構築することで、今日のサイバー脅威に立ち向かう準備を整えていくことが重要だ。

インタビュイー紹介：小原 誠（ネットアップ合同会社 シニアソリューションアーキテクト）

ネットアップ　小原 誠氏

国内メーカーにおけるストレージ要素技術の研究開発に始まり、外資系コンサルティングファームにおけるITインフラ戦略立案からトランスフォーメーション（要件定義、設計構築、運用改善、PMOなど）まで、計20年以上従事。NetAppではソリューションアーキテクトとして、特にCloudOps、FinOps、Cyber Resilience領域を中心にソリューション開発やマーケティング活動、導入支援などに従事。FinOps認定プラクティショナー（FOCP）。国立大学法人山口大学 客員准教授。