「書き換えする手段、ございませんが何か？」 攻撃者を悩ませるバックアップアプライアンス

ランサムウェアの脅威に対し、確実なデータ復旧を可能にするバックアップの重要性が高まっている。「3-2-1-1ルール」や不変性ストレージの概念を解説し、運用工数を削減しながら強固な多層防御を実現するバックアップアプライアンスの選定ポイントを紹介する。

[酒井洋和，キーマンズネット]

　大企業にも甚大な被害をもたらし、世界的に猛威を振るうランサムウェア。こうした脅威への対策として、被害を最小限に抑える有効な手段の一つがバックアップだ。情報窃取などのリスクを完全に防ぐことは難しいものの、適切なバックアップ環境を整備しておくことで暗号化されたシステムやデータを迅速に復旧できる可能性が高まる。そこで今回は、手軽にバックアップを実現し、シンプルな運用を可能にする「バックアップアプライアンス」について解説したい。

ランサムウェア対策とバックアップとの関係

　現在、セキュリティインシデントの代表格として挙げられるのがランサムウェアだ。ランサムウェアとは、「Ransom」（身代金）と「Software」（ソフトウェア）を組み合わせた造語であり、データを暗号化して“人質”に取り、その復号と引き換えに金銭を要求するマルウェアの一種だ。近ごろは世界的に被害が拡大しており、日本でも大手企業が相次いで攻撃を受けていることは周知の通りだろう。

　こうしたランサムウェア対策として重視されているのが、社内システムやデータのバックアップだ。OSや業務データを含めて確実にバックアップを取得しておけば、万一システムが暗号化された場合でも自力で復旧できる可能性が高まる。ただし、近年のランサムウェア攻撃では情報窃取を伴うケースも多く、盗まれた情報の公開といったリスクまでは防ぎきれない。バックアップは有効な対策ではあるものの、万能ではない点を理解しておく必要がある。

　さらに、ランサムウェア対策はバックアップのみに依存すべきものではない。VPN機器やアプリケーションに存在する脆弱（ぜいじゃく）性への迅速な対応に加え、多要素認証（MFA）の導入、EDRによるエンドポイント監視や振る舞い検知など、複数のセキュリティ対策を組み合わせて実施することが重要となる。企業には、こうした多層防御の考え方に基づいた包括的なセキュリティ対策が求められている。

バックアップの基本的な考え方とその派生

　バックアップの基本的な考え方として以前から広く知られているのが、米国のNational Institute of Standards and Technology（NIST：米国国立標準技術研究所）やCenter for Internet Security（CIS）、JPCERT Coordination Center（JPCERT/CC）などが推奨する「3-2-1ルール」だ。

　「3」は、本番環境のオリジナルデータに加え、2つのバックアップを保持するという考え方を指す。バックアップが1つしかない場合、そのデータ自体が破損していた際に復旧できないリスクがあるためだ。「2」は同一種類の機器に依存せず、異なる媒体へ分散して保存することを意味する。例えば「HDDと磁気テープ」「NASとクラウド」など、異なるシステムやメディアを組み合わせることで、障害発生時のリスクを低減できる。

　「1」は、本社やメインオフィスとは別の地理的に離れた場所へバックアップを保管するという考え方であり、近年ではクラウドストレージがその役割を担うケースも増えている。こうした「3-2-1ルール」に基づく運用は、機器障害や災害対策として有効に機能してきた。

　だが、ランサムウェア対策の観点では、従来の「3-2-1ルール」だけでは十分とは言い切れない。攻撃者が社内ネットワークへ侵入した場合、本番データだけでなく、接続されたバックアップデータまで暗号化・削除の対象とするケースがあるためだ。そのため、バックアップの一部はネットワークから切り離されたオフライン環境に保管することが求められる。ただし、LTOなどを用いたテープバックアップは運用負荷が大きく、リストア時の迅速な復旧が難しい。

　こうした背景から注目されているのが、従来の「3-2-1ルール」に「1」を追加した「3-2-1-1ルール」の考え方だ。この追加の「1」が意味するのは、不変性（イミュータブル：Immutable）ストレージの活用だ。一度保存したデータを一定期間、管理者であっても変更・削除できない仕組みを指し、代表的なものとしてWORM（Write Once Read Many）機能が挙げられる。こうした改ざん耐性を備えたバックアップ環境を整備することで、ランサムウェアによるバックアップ破壊のリスクを大幅に低減できる。

3-2-1-1-ルールにおけるバックアップストラテジー（出典：arcserve Japan）

　一部では、さらに発展した考え方として「3-2-1-1-0ルール」を提唱しているベンダーもある。これは、従来の3-2-1ルールおよび不変性ストレージの考え方に加え、バックアップからの復旧テストにおけるエラーを「0」にすることを目指す。

　もっとも、この定義や運用の詳細はベンダーやソリューションによって異なる場合があるため、単一の標準として理解するのではなく、それぞれの提案内容や前提条件を踏まえて解釈することが重要だ。

注目されるバックアップアプライアンス

　自社のシステム環境やデータ特性、保管場所を正確に把握した上で、「3-2-1-1ルール」に基づくバックアップを適切に運用することが求められている。だが、複数の保存先や媒体を管理しながら安全性を確保するには、運用負荷や管理の複雑化が課題となる。こうした課題を解決する手段として有効なのがバックアップアプライアンスだ。

　従来の「3-2-1ルール」に加え、専用のバックアップアプライアンスを導入することで、ランサムウェア対策の実効性を高める動きが広がっている。大企業はもちろん、システム管理者が限られる中堅・中小企業、いわゆる「一人情シス」のような環境でも導入が進んでおり、企業規模を問わず重要な選択肢となりつつある。

　実際には、「Amazon Simple Storage Service」（Amazon S3）のObject Lock機能やMicrosoftの「Azure Blob Storage Immutable Blob Storage」といったクラウドサービスの機能を活用し、オブジェクトの削除や上書きを防ぐことでランサムウェア対策に役立てる企業も多い。厚生労働省が医療機関向けに実施したサイバーセキュリティ関連の資料でも、物理的に隔離されたテープ媒体だけでなく、クラウドのオブジェクトロック機能による不変性ストレージも「オフライン要件」の一形態として整理されている。

　一方で、「Active Directory」のような認証基盤などの基幹機能を担うシステムをオンプレミス環境で継続運用したいというニーズは依然として根強い。そのため、迅速な復旧性と管理性のバランスを重視する場合には、バックアップアプライアンスが有力な選択肢となる。クラウドからの大容量リストアは通信環境やデータ量によって時間を要するケースもあるため、オンプレミスで高速に復旧できる点は大きな利点だ。

　またコスト面でも、バックアップアプライアンスはメリットを持つ場合がある。為替変動やデータ量増加に伴う従量課金の影響を受けやすいクラウドと比較して、長期サブスクリプション型のライセンスを採用することで一定期間のコストを平準化しやすい。部材価格の上昇やデータセンターコストの増加といった外部要因が顕在化する中で、予算の見通しを立てやすい点も評価されている。

　なおバックアップアプライアンスには、バックアップソフトウェアを統合して提供するタイプと、既存のバックアップツールと連携して運用するタイプがある。前者ではクラウドなど別環境への保管を組み合わせることで「3-2-1ルール」を満たす必要があり、後者では既存のバックアップ基盤と併用することで同様の要件を構成することができる。いずれの場合も、環境設計においては「3-2-1-1ルール」を意識した多層的なバックアップ戦略が不可欠となる。

バックアップアプライアンス「Arcserve CRS Appliance 1000シリーズ」

　実際に市販されているバックアップアプライアンスの一例として挙げられるのが、arcserve Japanが提供する「Arcserve Cyber Resilient Storage Appliance CRS Appliance 1000シリーズ」だ。

　本製品は、同社の統合バックアップおよびリカバリーソリューションである「Arcserve Unified Data Protection UDP」に特化したイミュータブルストレージとして設計されている。既存のUDPが備える管理コンソールをそのまま活用しながら、ランサムウェア対策に不可欠な不変性ストレージを容易に追加できる点が特長であり、バックアップ運用の複雑性を抑えつつ、データ保護の強化を実現するソリューションだ。

Arcserve CRS Appliance 1000シリーズ。左が2U筐体の80TB、右が1U筐体の12TBモデル（出典：arcserve Japan）

　Arcserve Unified Data Protection UDPで取得されたバックアップデータは、復旧ポイントサーバ（Recovery Point Server RPS）を経由してArcserve Cyber Resilient Storage Appliance CRS Appliance 1000シリーズへ転送され、その後スナップショットが自動的に生成・保存される仕組みとなっている。

　CRSに保存されたスナップショットは、有効期限が設定されている場合でも、その期間中は管理者権限を含めて削除や変更ができないよう制御されており、高い不変性を備えている。これにより、ランサムウェア攻撃によって本番環境とネットワーク接続されたRPS内のデータが暗号化された場合でも、CRS上のスナップショットは影響を受けにくい構成となっている。

　復旧時には、CRS内に保存された健全なスナップショットからデータストアをRPSへインポートし、その後本番環境へ反映することでシステムを復旧させることが可能となる。

CRSシリーズ・ランサムウェアからの復旧シナリオ（出典：arcserve Japan）

　不変性を実現する仕組みとしては、Arcserve Cyber Resilient Storage Appliance CRS Appliance 1000シリーズでは、操作に必要なUIやコマンドラインから削除機能そのものを排除する設計が採用されている。これによりOSを必要最小限の構成にカスタマイズし、不要な機能を削ぎ落とすことでアタックサーフェスを最小化している。結果として、物理的な破壊を除けば、侵入型攻撃によるデータ削除や改ざんのリスクを極限まで抑えられる。

　また、バックアップ構成をインテグレーターが設計する場合、ハードウェアの容量設計やソフトウェアとの連携設計が複雑になりやすく、提案から構築まで大きな負担がかかりがちだ。その点、CRSは必要なバックアップ容量に応じたモデルを選択するだけで導入できるため、ユーザー側だけでなくインテグレーターにとっても設計および構築の簡素化につながる。

　さらに設定例としてクラウド版CRSを見てみると、管理画面上でスナップショットの保存リージョンを選択し、保護ポリシーとして「コンプライアンス保持（一定期間の削除・上書き不可）」を指定した上で、取得頻度を設定するだけで運用を開始できる。以降はスケジュールに従い、自動的にスナップショットが取得・保管される仕組みとなっている。

クラウドCRSのスナップショットのスケジュール設定画面（出典：arcserve Japan）

製品選びのポイント

　最後に、バックアップアプライアンス選定のポイントについて整理しておきたい。

　大前提として、バックアップの本質的な目的は、万一の障害やランサムウェア被害発生時に、リストアによってシステムを確実に元の状態へ復旧可能にすることにある。この「復旧可能性」を担保できるかどうかが、バックアップ設計において最も重要な評価軸となる。

運用がシンプルであること

　特に中堅・中小企業では、システム担当者のリソースが十分に確保できないケースも多く、バックアップ専任者を配置することは現実的ではない。そのため、運用負荷を抑えながら、ランサムウェア対策としても有効に機能するバックアップ環境をいかにシンプルに構築するかが重要となる。

　導入が容易なバックアップアプライアンスであっても、日々の運用を含めた全体設計を意識する必要がある。理想的なのは、日常的なバックアップ運用の延長として、そのままランサムウェア対策にもつながる仕組みを実現できるソリューションだ。

　そのためには、既存のバックアップツールとの親和性や運用フローとの整合性を十分に見極め、過度な運用負荷を生まずに活用できる製品を選定することが重要だ。加えて、初期導入コストだけでなく長期的な運用コストや拡張性も含めて評価し、コストパフォーマンスに優れたバックアップアプライアンスを選ぶことが望ましい。

ハードウェアであることの勘所

　バックアップアプライアンスはハードウェア製品として提供されるため、調達の容易性や保守性の高さについても十分に検討する必要がある。現在は世界的にIT機器製造に必要な部材不足が課題となっており、製品によっては納期遅延が発生するケースも少なくない。そのため、国内ベンダーのソリューションであっても、安定した供給体制が確保されているかどうかを事前に確認しておくことが重要となる。

　また保守サービスについても、センドバックやオンサイトなど複数の形態が用意されているが、単にメニューの有無だけで判断するのではなく、故障時の部品供給スピードや国内在庫の状況、さらには拠点への迅速なオンサイト対応が可能かといった実運用面まで踏み込んで評価する必要がある。こうした観点を持つことで、障害発生時においても業務影響を最小限に抑えられる体制を構築できる。