ランサムウェア対策のバックアップで必ず押さえるべき3つの要件：いつもの方法ではデータを守れない！？

国内でも感染被害が拡大しているランサムウェアは、事業継続を脅かす存在だ。実際に診療データを人質にとられた米国の医療機関が身代金の支払いを余儀なくされた事態も起きている。その対策にはバックアップが有効とされるが、実はランサムウェアの特性を考慮しないと失敗しかねないのだ。

[PR／ITmedia]

PR

ランサムウェア対策でのデータ保護の重要性

　世界的に深刻化しているマルウェアの一種「ランサムウェア」の被害が、国内でも拡大しつつある。情報処理推進機構（IPA）の報告でも、2014年半ばからランサムウェア感染に関する相談が増加し続けており、沈静化の兆しは一向に見えない。攻撃手法の巧妙さが増す状況では、今後の被害拡大が危惧されている。

　そこでIT部門に求められているのが、ランサムウェア被害を回避するための事前対策である。柱となるのは、ウイルス対策ソフトの導入などを通じた感染の「予防」と、万一に備えたバックアップによるデータの「保護」の2つだ。これらは情報セキュリティ対策の一環として以前から実施されてきたことだろう。

　ただしランサムウェア対策においては、実は後者の重要性がより高いといわれる。前者は感染を防ぐ上ではもちろん重要だが、未知の手法を使う攻撃などへの対応は難しい。万一の感染で被害が発生すれば、PCやファイルが使えず仕事ができなくなってしまい、事業継続に甚大な影響を及ぼす。感染を回避できない可能性を考慮すれば、後者の対策が不可欠なのは明らかだ。

　日本ヒューレット・パッカード（HPE）のストレージ事業統括本部マーケティング部で担当マネージャーを務める諏訪英一郎氏は、「ランサムウェアに感染してしまうとデータは暗号化されてしまい一切アクセスができません。「身代金」を支払ってもデータを取り戻せる保証はありません。一度でも感染すれば自社のデータが失われたのと同然といえるでしょう。セキュリティソフトなどによる予防も完全とは言い切れません。被害時に迅速な復旧を通じて事業継続性を確保するためにも、バックアップによるデータの保護が必要です」と話す。

単純なバックアップでは対応不可能！？

　そこでHPEは、ランサムウェア対策の要件も満たすという重複排除バックアップソリューション「HPE StoreOnce」を提案している。諏訪氏によれば、ランサムウェア対策では単にバックアップをするだけでは不十分であり、3つの要件を満たす必要があるという。

　要件の1つ目は「データの保存先」だ。企業ではさまざまな媒体にシステムやデータをバックアップしているが、近年は低価格化を追い風にNASやDASの採用も増えている。だが、それらの利用はランサムウェア対策には向かない。ランサムウェアはネットワークを介して感染を広げることから、ネットワークに接続されているドライブのバックアップデータまで暗号化される可能性が高いからだ。この点を踏まえれば、バックアップ先にはネットワークから完全に隔離できる媒体を選択する必要がある。

　2点目が「バックアップ対象」である。企業にはPCや各種アプリケーションなどに数多くのデータが存在し、従来は運用の手間を考慮して業務上重要度の高いものに絞ってバックアップが行われてきた。だが、情報資産を保護する観点では、万一の際に迅速にシステム全体を復旧させなければならず、一部のアプリケーションやユーザーデータだけではなく、システムにまつわるデータを丸ごとバックアップ対象に含める必要がある。

　最後の要件は、「バックアップの頻度とデータの保持期間」だ。バックアップは有効性の高い対策ではあるが、やはり万能ではない。リカバリ時の現業への影響を抑えるには、“今”とバックアップ時とのタイムラグをできる限り短くする必要がある。そのためにはバックアップ頻度を増やすべきだが、一方でランサムウェアの中には、感染から数カ月にわたって潜伏した後に活動を開始するものも存在する。データの安全性を担保するなら、より長期間のデータ保持も必須となってくる。今までのように1〜2週間日次、あとは月次というようなバックアップでは不十分であり、バックアップ方式や運用方法を根本から見直すことが求められているのだ。

ランサムウェア対策におけるバックアップで考慮すべき3つの要件

　「このように、通常時とランサムウェア対策を目的としたバックアップでは、満たすべき要件が大きく異なることを念頭に置く必要があります。その上で、要件の溝を埋めるための手法と、そのための製品の双方の見極めが企業に求められています」（諏訪氏）

ランサムウェア対策の要件を満たす現実解

　HPE StoreOnceは、こうしたランサムウェア対策のバックアップで考慮すべき要件の全てに対応できるという。特に注目されるのが、最初の要件である「（ネットワークから隔離された）データの保存先」をカバーする仮想テープライブラリ（VTL）機能である。

　ランサムウェア感染がこれほど広がった理由は、NASやDASなどのネットワークに接続されたストレージがOSからデータの保存場所として認識できるしまうことにある。ランサムウェアは、感染拡大にこの仕組みを悪用しれているわけだ。これに対してVTLは、その仕組み上、バックアップツールやドライバを介さないとOSから保存場所として認識されない。つまり、物理的にはネットワークに接続されていても、論理的には隔離された環境を整備できることから、ランサムウェアの感染が及ばない。

　VTL機能を備えたバックアップ用ストレージは他にもあるが、それらの中にはファイバチャネル（FC）での接続を前提としたものもあり、別途SANの整備の手間とコストが必要になる。HPE StoreOnceにはFCに加えてiSCSIのインタフェースも用意されており、後者を選択すればバックアップサーバに接続された既存のNASやDASを置き換えるだけ済む。

バックアップはランサムウェア側から“見えない”方法が必須

　また、事業の中核を担うような重要なシステムのバックアップは、今でもテープが保存媒体として広く利用されている。ネットワークから物理的に隔離されるテープもランサムウェア対策に活用できそうだが、第2、第3の要件を考慮すれば、現実的でないことは容易に理解できるはずだ。テープでこれら要件を満たすとすれば、一度の作業に要する時間が確実に長くなるし、頻繁な作業が発生してしまう。管理すべきテープの本数も飛躍的に増える。

　「小規模企業のランサムウェア対策ならテープも有効でしょう。しかし一般的な企業なら、保護すべきシステムやデータが多数あり、作業の負担が増してしまいます。場合によっては業務に大きな支障を来たしかねません。ランサムウェア感染時のような緊急事態は速やかにリカバリできなければなりませんので、この点でもVTLを利用した方がよいと考えられます」（諏訪氏）

テープとディスクの良いとこ取り

　HPE StoreOnceのVTL機能はテープのように扱えるが、実態はあくまでディスクストレージであり、実際のテープにまつわる煩雑性などの制約を受けることがない。例えば、バックアップとリストアの双方で並列処理をすることができ、作業時間を大幅に短縮できる。また、データセンターで世代管理されているバックアップデータからネットワーク経由で迅速にリカバリすることも可能になっている。

　さらに、ランサムウェア対策を含めて効率性の高いストレージバックアップに貢献するのが、HPE StoreOnceならではの重複排除機能だ。

　重複排除機能では、データを「チャンク」と呼ばれる小さな単位に分割し、差分データだけをバックアップデータに保存することでデータ容量を大きく圧縮する。HPEではこの処理を一工夫し、通常では固定されることの多いチャンクのデータ単位を可変させている。これによって、極めて高いデータの圧縮率を実現しているという。

HPE StoreOnceの重複排除によるデータ量の推移イメージ

　バックアップデータは容量が肥大化してしまうことが多いだけに、重複排除機能の活用はストレージコストの抑制に直結してくる。この点を評価してHPE StoreOnceを導入している企業や組織は非常に多く、あるユーザーは現場環境では圧縮率が40分の1という極めて効率性に優れた実績を出しているとのことだ。

　また、バックアップデータの容量が削減されれば、データセンターなど遠隔地へのレプリケーションもしやすくなる。以前ならデータ容量が大きくなればなるほどネットワーク帯域を拡張しなければならなかったが、HPE StoreOnceでは数Mbpsの帯域で1日1度の差分バックアップやレプリケーションも可能だという。「ネットワークのコストも抑えながらバックアップの信頼性を格段に高められます」（諏訪氏）。

---

　HPEでは企業の多様なバックアップ要件に対応する製品を豊富に取りそろえている。またHPE StoreOnceのソフトウェアの全機能を利用できる無償版を提供している。バックアップ容量は1テラバイトまでだが、利用期間に制限はなく、諏訪氏は、「『導入前に検証したい』『小さなシステムだけでもまずはバックアップしたい』といった目的でも利用できますので、ぜひ試してみてください」と話す。

HPE StoreOnceのラインアップ

　ランサムウェアは、金銭目的のサイバー犯罪者にとっては非常に効率的で成功率も高い手法とされ、その脅威がますます深刻化するのは間違いないだろう。バックアップによるシステムやデータの保護は、もはや必須のランサムウェア対策といえる。HPE StoreOnceのような脅威への対応も考慮したバックアップ製品を検討していくべきだ。

HPE StoreOnceキャンペーン情報

もっと詳しく知りたい方に

HPE StoreOnce

「大容量・低コストバックアップならテープ」に待ったをかける！

Amazonギフト券が当たる！ キャンペーン実施中

ランサムウェアに関するアンケートに回答すると3名様にAmazonギフト券5000円分が当たるキャンペーン実施中です。詳しくはこちらから

Intel、インテル、Intel ロゴ、Intel Inside、Intel Inside ロゴ、Intel Atom、Intel Atom Inside、Intel Core、Core Inside、Intel vPro、vPro Inside、Celeron、Celeron Inside、Itanium、Itanium Inside、Pentium、Pentium Inside、Xeon、Xeon Phi、Xeon Inside、Ultrabook は、アメリカ合衆国および/またはその他の国における Intel Corporation の商標です.