“バックアップ”＝“データを復旧する”だけじゃない 今の時代に合った製品選定のコツ

“バックアップ”と一口に言っても、自然災害に向けたBCPとサイバー攻撃に対するBCPはその性質が異なることを知っているだろうか。MBSDの講演から、それぞれの戦略の違いとバックアップソリューション選定のポイントが明らかになった。

[宮田健，ITmedia]

　オープンテキストは2023年2月24日、オンラインセミナー「OpenText Summit Japan 2023」を開催した。同オンラインセミナーでは、三井物産セキュアディレクション（MBSD）の安元英行氏（アドバンスドサービス事業本部　シニアセキュリティアーキテクト）が登壇し、「近年のサイバー攻撃に対しての防御バックアップ及びインシデント発生に備えて準備すべき事とは？」と題した講演を実施した。

　同講演では、サイバー攻撃に対抗する手段としての「バックアップ」が災害復旧やサイバーBCP（事業継続計画）における「バックアップ」とどう異なるのか、その戦略の違いとバックアップソリューション選定のポイントが語られた。本稿はその様子をレポートする。

災害復旧のBCPではサイバー攻撃には太刀打ちできない

　安元氏ははじめに、BCPにおけるバックアップの重要性について話した。BCPはいかに事業継続を確保するかというものだが、「自然災害に向けたBCPとサイバー攻撃に対するBCPの大きく2つに分かれる」という。この2つのBCPは目的が異なるため、バックアップソリューションもそれぞれ違う考え方で適用する必要があるという。

　自然災害によるBCPとしては、被害を最小限に抑えてシステムを修復・復旧するディザスタリカバリー（DR）がこれまで採用されてきたが、安元氏は「これはサイバー攻撃に対するBCPとしては利用できない」と指摘する。「本番環境のデータがランサムウェア攻撃を受けた場合、汚染されたデータをDRサイトにコピーすることになる。この汚染されたデータを使って復旧しても意味がない」（安元氏）。つまりサイバー攻撃からの復旧は、バックアップしたデータに基づいて実行するという考え方を念頭に置く必要がある。

BCP施策におけるバックアップの重要性（出典：MBSDの発表資料）

　バックアップソリューションを提供するベンダーも「バックアップデータの汚染をどのように防ぐか」という点は考慮しており、近年は「エアギャップ」というキーワードに注目が集まっている。エアギャップは外部ネットワークから切り離され、保護された空間を意味しており、バックアップにおいてはオフラインでの保存、特にテープバックアップが用いられる。

　テープバックアップはサイバー攻撃に対するBCPのバックアップとして有効だが、データ量が大きい場合、復旧までの時間がかかってしまうという欠点もある。安元氏は、オープンテキストが買収したオンラインバックアップサービス「Carbonite」を例に、「エアギャップを確保してバックアップデータを『Amazon Simple Storage Service』（Amazon S3）に暗号化して保存するといったソリューションであれば、ランサムウェアに暗号化された場合でも安全に復旧できる」と述べた。

　その他、注意すべきこととして安元氏は「アカウント」を挙げる。バックアップを取得し、エアギャップを用意して直接サイバー攻撃の被害を受けないようにしていても、サイバー攻撃者はバックアップの削除や改ざんを目的に、バックアップ処理をコントロールできる特権アカウントを狙う。これを奪われてしまえば、さまざまなセキュリティ対策を飛び越え、攻撃がより有効な結果をもたらしてしまう。

MBSDの安元英行氏

　「攻撃者は侵入が発覚する数カ月前から、企業ネットワークに深く侵入していることも多い。Windowsの“Administrator”、Linuxであれば“root”などの特権アカウントが乗っ取られていることも想定すべきだ。特権アカウントが窃取されれば、バックアップシステムの特権も奪われている可能性が高く、バックアップデータの削除や改ざんが実行され、有事に全く使えないというケースも懸念しなければならない」（安元氏）

　つまり今後バックアップソリューションを選定する際は、“特権アカウントだったとしても容易にバックアップデータを削除できない仕組み”が実装されているかどうかを重要視する必要があるだろう。

どこまで戻せば“安全”なのか？　悩ましい「保存すべき世代数」

　サイバーインシデントなどの有事の際、セキュリティ担当者は「目標復旧時点」（RPO：Recovery Point Objective）についても注意すべきだ。RPOとはインシデント発生前に取得したバックアップの時期を基に、どの時点を復元するかという指標である。

　暗号化が実行されるようなランサムウェア攻撃の場合、数カ月前からサイバー攻撃者がシステム内に潜伏しているケースもある。直近のフルバックアップを戻したとしても、攻撃の痕跡であるマルウェアがその中にいる可能性も捨てきれない。これまでのバックアップ戦略であれば、フルバックアップは数世代程度取得すればよかったかもしれないが、サイバー攻撃に対するBCPにおいては、“長期間の潜伏”のような攻撃者の動きを前提に戦略を練り直す必要がある。

　安元氏は「感染されたデータを戻しても意味がない。つまりバックアップソリューションは数カ月前のバックアップデータを保持できなければ、使い物にならないということを理解してほしい。古いデータをバックアップできることは、できそうでなかなかできていない。こういった機能が実装されているかどうかはソリューション選定において非常に重要なファクターだ」と語る。

　RPOの問題はSaaS（Software as a Service）で保存している重要データについても当てはまる。クラウド利用が進み、高レベルの機密データをSaaSで管理することも増え、改ざんリスクなども存在する今、SaaSにあるデータもバックアップを取得し、有事の際には戻せる体制を取らなければならない。その際、“バックアップ時に静止点をどうすべきか”や“複数のOS上にまたがるデータを整合性を取りつつ戻すにはどうしたらよいか”など考慮すべき事柄は多い。

　安元氏はこれに対して「CarboniteのクラウドバックアップはSaaSのAPIを活用する。そのため利用者は“静止点をどうするか”というような難しい運用について考えなくてよい。『Microsoft 365』や『Salesforce』『Dropbox』などのSaaSにおいては、そのようなソリューションでバックアップを取ることを考えてほしい」と話す。

SaaSにあるデータのバックアップについても考慮すべきだ（出典：MBSDの発表資料）

　安元氏はこの他、世界でビジネスをする上で避けては通れない「個人情報保護」の流れを、バックアップでも考慮しなくてはならないと指摘した。

　欧州のEU一般データ保護規則（GDPR）では、個人情報が含まれるバックアップデータはユーロ圏にとどめる必要がある。そのため今後のバックアップソリューションの選定においては、クラウドにバックアップする際、保存リージョンを指定できる機能があることが条件となるという。