あなたの企業のバックアップ、本当にランサムウェア対策になっていますか？：半径300メートルのIT

ランサムウェア対策の重要性が叫ばれる今こそ、"机上の空論"にならないセキュリティ対策が必要です。そして今すぐできる対策として筆者はバックアップを推奨しています。しかしただ「取るだけ」では意味がありません。

[宮田健，ITmedia]

　国内のあらゆる企業からシステム障害の報告が上がっており、その多くが不正アクセスやランサムウェアなどのサイバー攻撃によるものです。サイバー攻撃が当たり前になって久しいですが、ここまでの頻度で実害が発生するのは珍しいように思えます。もはやニュース報道になるものはごく一部であり、あなたの組織のすぐそばでも起きていると認識した方がいいかもしれません。

　「標的型攻撃」や「サプライチェーン攻撃」についても、多くの国内事例が出てきています。最近も、名古屋港の「名古屋港統一ターミナルシステム」がランサムウェア被害に遭い、2023年7月4日6時30分から同年7月6日18時15分までシステムが停止したことで話題を集めました。本件は海外ではしばしば発生する、「特定の国の社会インフラを狙ったランサムウェア攻撃」と捉えてよいでしょう。

名古屋港運協会のWebサイトには障害対応の状況を伝える「システム障害のお知らせ」が並ぶ（出典：名古屋港運協会のWebサイト）

“机上の空論”にならないセキュリティ対策とは何か

　本稿執筆時点で今回のサイバー攻撃に関する詳細な報告書は公開されておらず、これがインフラを狙ったものなのか、それとも単にばらまかれたランサムウェアがたまたま港湾システムに着弾したのかどうかは判断できません。どこの国のサイバー攻撃者がこれを実行し、その裏にどのような思想や意図があったのかについても明らかになってはいません。

　ただしそういったものはひとまず後回しで、本稿では「何らかのサイバー攻撃を受け、それがシステムに着弾して目的を達成されてしまった」という1点を考えたいと思います。サイバー攻撃の裏に何があるかを考えるよりも、そもそも攻撃を成立させないことが、私たちの最初のゴールといえるでしょう。

　“たられば”の話になってしまいますが、本来であれば平時のタイミングで事前のセキュリティ対策を講じておき、有事の際にそれらの策が正しく回っていたかどうかを把握した上で改善すべきポイントがあればそれを反映する、という良いスパイラルを回すことが重要です。

　しかしこれは完全なる“机上の空論”ともいえます。「セキュリティ＝売り上げに直結しない」と考えられがちですが、積極的にこれに投資し、余裕を持って対策を講じられている企業はどのくらいいるのでしょうか。そう考えると、サイバー攻撃で実際に被害に遭う企業が続出する現状は、ある意味で必然といえるでしょう。

　サイバー攻撃は今や何でもありの総合格闘技で、守る側にも近代五種やトライアスロンのような幅広いスキルが必要とされます。パッと思い浮かべるだけでも、脆弱（ぜいじゃく）性対策やID／パスワードの強化と管理、ラテラルムーブメントの防御といった、「言うは易く行うは難し」な対策が並びます。

　これらの対策は平時であれば、重要度順にスモールスタートで導入するのが王道かと思います。筆者としてもこれを推奨していますが、もはや日本のサイバー空間は“戦時中”です。そのような状況で今すぐにできることを考えるとなると、"バックアップの世代設定を確認してテストすること"ではないでしょうか。

そのバックアップは本当にランサムウェア対策になっているか？

　まずは皆さんの組織が使用しているバックアップの世代設定を見直しましょう。ある程度の企業規模であれば、システムやファイルサーバのバックアップは取得しているはずですから、その前提で考えます。

　バックアップは普段、単に「取るだけ」であり、うまく動いている間はあまり気にされない存在です。昔から稼働しているバックアップシステムは事業継続計画（BCP）や災害復旧対策（DR）をベースにするケースは多いものの、サイバー攻撃を考慮していないこととがほとんどです。サイバー攻撃に向けたバックアップを用意するとなると異なる考え方が必要です。

　例えばDR用のバックアップシステムの中には、毎日バックアップを取得しているものの、数世代程度しか残っていないものもあります。しかしマルウェアはシステムに侵入後、すぐに活動するとは限りません。取得しているバックアップの世代数が少ないと、“3日前に戻したらマルウェアも一緒に戻ってしまった。さらに正常なファイルは消えてしまった”なんていうことも起こり得るわけです。

　そのためサイバー攻撃に向けたバックアップ対策では、まずバックアップの世代を、それなりに長く保持することが重要です。世代数を確認するとともに、自分の作ったダミーのファイルを消してみて、それを翌日に復旧できるかどうかを確認してみてください。翌週や翌月にこれを復元できるどうかもテストしましょう。まずはファイルサーバをバックアップから戻せることを確認しましょう。システム全体のバックアップの戻し方も、しっかりとマニュアル化されているかどうかが、ランサムウェア攻撃に対する復元力を高める重要なポイントです。

バックアップ設定を変更するための“交渉”をしよう

　バックアップの世代数を増やすのは、ストレージ領域を圧迫し、コストの増加にも直結します。ですからこれを実現するには、経営層にランサムウェアなどサイバー攻撃のリスクを理解してもらう必要があります。

　もしランサムウェア被害に遭ったとしたら、事業を継続するために何としてもシステムを復旧しなければなりませんが、サイバー犯罪者の要求に屈して身代金を支払うのは経営者にとっても抵抗があるはずです。身代金を支払わず、暗号化されたシステムを元に戻すには、それなりの世代数のバックアップを取得しておくしか手はありません。そのために必要なコストであることを理解してもらえば、サイバー犯罪者との交渉よりも簡単であると、筆者は思います。バックアップ世代を増やすためのコストは、もはや最低限必要なセキュリティ対策の費用と考えてもらいましょう。

　企業にはバックアップがなくとも何とかなるデータも存在すると思います。本来であればそういった「情報の分類」を平時の際に実施し、それに沿ったバックアップ手法の検討や世代数の管理を考えればコストも削減可能です。しかし、サイバー攻撃の脅威が高まる中で今からそれらに取り組むには時間が足りません。お金をかけてでもひとまずは守るということになるでしょう。

　国境を問わずセキュリティ脅威が高まるサイバー空間においては、サイバー犯罪者にとってちょっとでも「攻撃するのが面倒だ」と思わせることが、被害に遭わないポイントとなるはずです。エンドポイントの防御に関しては「Windows 11」を含めて正しくアップデートを適用すれば、標準でできることも増えます。経営者やシステム管理者、従業員それぞれで、まずはできることから対策を進めましょう。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。