バックアップにも手を出すランサムウェアが増加 予算不足でも絶対に外せない対策法とは？

企業を狙うランサムウェアの進化が続いている。攻撃を受けた際にデータ復旧のよりどころとなるバックアップデータを暗号化したり削除したりするタイプが登場しており、バックアップデータを含めて効果的にストレージを守る対策の重要性が増している。

[PR／ITmedia]

PR

　企業の情報セキュリティを脅かすサイバー攻撃はやむ気配がない。特に脅威となっているのが、2021年から急速に拡大しているランサムウェアだ。2023年の報告数は前年を下回ったものの、数が多いことに変わりない。

　攻撃手法も進化を続けており、ランサムウェアをサービスとして提供するRaaS（Ransomware as a Service）やバックアップデータまで暗号化したり削除したりするものも登場している。

　ランサムウェアによる攻撃は、もはやあらゆる企業が備えるべきサイバー脅威だ。1つで全てを解決できるツールは存在しないため、多層防御のアプローチで総合的に対策する必要がある。特に気を配りたいのがバックアップデータの防御だ。低コストで効果的な対策はあるだろうか。

バックアップを暗号化、削除するランサムウェアが増加

NECソリューションイノベータ　伊藤規俊氏

　警察庁が2024年3月に公表した「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によると、2023年に報告された企業や団体などにおけるランサムウェアの被害は197件で、230件だった前年を下回った。それでも、IPA（情報処理推進機構）が1月に公表した「情報セキュリティ10大脅威 2024」では、ランサムウェアが「企業など組織にとってのセキュリティ脅威」のトップになっている。

　ランサムウェアによる被害がなくならない理由の一つとして、NECソリューションイノベータの伊藤規俊氏（テクノロジーサービス事業ライン　インフラテクノロジーソフトウェア開発事業部）は「ランサムウェアは大企業を狙ったサイバー攻撃だと誤解している情報セキュリティ担当者が多いことが考えられる」と指摘する。

　「警察庁のレポートにもあるように、被害を受けた組織の半数以上が中小企業です。被害報告のあった業種もばらばらで、全ての組織がしっかりと対策を取るべきだと言えます。最近ではバックアップデータまで暗号化や削除することで復旧を困難にするランサムウェアも登場しています。『バックアップを取っているから安心』と油断はできません」（伊藤氏）

デル・テクノロジーズ　三保尚澄氏

　ランサムウェアへの備えとしては、侵入経路となるメールやネットワークのセキュリティ対策の他、ユーザー端末などエンドポイントの対策、情報漏えいに備えたデータ暗号化など、多層的な対策が推奨される。

　その一つとして重要なのがバックアップデータを格納したストレージの保護だ。デル・テクノロジーズの三保尚澄氏（パートナーSE部　プリンシパルシステムズエンジニア）は、「複数のランサムウェア対策ツールを一挙に導入するのは難しいことが多いでしょう。その場合はまずバックアップデータを保護し、万一の事態への最低限の備えとする手が考えられます」と話す。

「重複データ削減率監視機能」「スナップショット保護機能」の組み合わせ技

　デル・テクノロジーズは、「デル プロサポートサービス」ユーザーにクラウドベースの統合監視ツール「CloudIQ」を無償提供している。CloudIQは、オンプレミスで稼働するデル・テクノロジーズ製品から相互TLS認証で保護されたSecure Connect Gateway（SCG）を介して稼働情報を収集する。機器の正常性や性能、容量などを一元的に監視するとともに、AIによって容量不足などを予測検知して管理者にアラートを発する。

オンプレミスのシステム状況をクラウドで監視（出典：NECの提供資料）

　CloudIQにはサイバーセキュリティ機能もある。「この機能もAIでデータアクセスのパターンやパフォーマンス、機器の設定情報などを常時分析してセキュリティ侵害の兆候を検知し、管理者にアラートを通知します。機器に最新のセキュリティパッチが適用されているかどうかも監視しています」と三保氏は説明する。

　2024年4月、デル・テクノロジーズはCloudIQの新たなセキュリティ機能として「CloudIQ Cybersecurity Incidents」（以下、Cybersecurity Incidents）の提供を始めた。ブロックストレージに対するランサムウェア攻撃の兆候を自動検知する機能だ。まずはハイエンドのストレージ製品「PowerMax」で提供し、今後は他のストレージ製品にも順次展開する予定だ。

ストレージへの攻撃を検知しCloudIQで通知（出典：NECの提供資料）

　NASなどのファイルストレージならファイルの中身をチェックする機能でランサムウェアを見つけられる。しかし、ファイルの中身を識別しないタイプのストレージ製品はランサムウェアを検知するのが難しい。Cybersecurity Incidentsは、デル・テクノロジーズのブロックストレージ製品のデータ削減機能をランサムウェアの検知に応用する。

　「データ削減機能は既存のデータと重複する内容を書き込まないことでストレージの容量を圧縮する機能です。しかし、ランサムウェアがデータを暗号化すると内容が書き換えられ、データが重複していないことになるため、データ削減率が大幅に減ります。この論理を応用し、Cybersecurity Incidentsはストレージのデータ削減率を遠隔で監視して、業務のI/Oパターンも加味した上で異常が見られれば『ランサムウェア感染の疑いあり』とアラートを発します」（伊藤氏）

　Cybersecurity Incidentsは、SCGを通じてストレージの構成情報を常時取得する。そのデータをAIが分析し、データ削減率がしきい値を下回ると管理者にメールなどで通知する。管理者は詳細を確認し、EDR（Endpoint Detection and Response）などのツールを用いてランサムウェアに感染しているかどうかを確認する。

　ランサムウェアに感染していた場合は、ストレージシリーズ「PowerMax」に標準機能として搭載されている「Secure Snapshot」が効力を発揮する。

　「Secure Snapshotは、指定したスナップショットを保護する機能です。ランサムウェアに感染したとしても保護されたスナップショットが暗号化、削除されることはありません」（三保氏）

　Secure Snapshotで保護したスナップショットを使えば、感染前の安全なバックアップデータで復旧可能だ。

テスターであるNECが感じたCybersecurity Incidentsの4つのメリット

　Cybersecurity Incidentsの正式リリースに先立ち、NECは日本唯一のパートナーとして同機能をチェックした。

　「NECはPowerMaxからデル・テクノロジーズの先行検証プログラムに参加し、リリース前の新機能を検証しています。平均で毎回30件以上のフィードバックをして製品の改善に貢献するとともに、新機能にいち早く精通することで日本のお客さまへ最先端のストレージ技術を提供しています。今回は当社が持つ最新のPowerMax 2500と同2000を使ってCybersecurity Incidentsの機能を検証しました」（伊藤氏）

CloudIQ Cybersecurity Incidentsの事前評価の構成（出典：NECの提供資料）

　NECはCybersecurity Incidentsに4つのメリットを確認したという。一つは追加費用が不要なことだ。

　「NECのお客さまはデル プロサポートサービスに加入されるので、追加費用なしで使える点がありがたいですね。こうしたオプション機能には追加費用が発生する他社製品もあります。NECとしてもお客さまにご提案しやすくなります」（伊藤氏）

　2つ目のメリットは設定が簡単なことだ。Cybersecurity Incidentsは、ランサムウェア検知の対象にするストレージグループを選択すると2週間の学習期間を経て検知を始める。検知レベルは低、中、高の3段階で指定できる。

　「検知レベルを3段階で選べるのは簡単で分かりやすいです。日本のシステム導入では2週間以上の準備期間を設けて事前に検証します。その間AIにI/Oの挙動をしっかりと学習させることで検知機能が働き出すという点も安心できます」（伊藤氏）

　3つ目は日本語対応だ。Cybersecurity Incidentsの画面は日本語化されており、セキュリティインシデントなどの情報も全て日本語で表示される。「『緊急のアラートメールが英語で送られてくる製品では、正確に解読するのに時間がかかって困る』という方もいらっしゃると思います。Cybersecurity Incidentsを含むCloudIQにはその心配がありません」と伊藤氏は話す。

　4つ目はSaaSとして提供される点だと伊藤氏は力を込める。

　「SaaSで提供されることがCloudIQの最大の強みだと思います。オンプレミスのツールではAIモデルのアップデートなどが煩雑になりますが、多くのユーザーが利用すれば、ランサムウェア検知AIがクラウド側でどんどん賢くなっていきます。これはお客さまにとって大きなメリットです」（伊藤氏）

　今回の検証によってCybersecurity Incidentsの有用性をNECから認められたことは、デル・テクノロジーズにとっても大きな意義があると三保氏は明かす。

　「NECさまならではの“日本クオリティー”の品質基準を、デル・テクノロジーズ本社の開発チームも非常に重視しています。NECさまの検証では、他国のパートナーが気付かないようなフィードバックを頂けるため、製品の品質向上に大きく寄与します。何か新機能を開発するたびに『NECさまに検証してもらえるのか？』と本社チームから催促が来るほどです」（三保氏）

　デル・テクノロジーズ製品の提供におけるNECの貢献は大きい。販売と保守の面では専任の販売推進チームが顧客の製品導入をサポートし、導入後は全国各地に約370拠点を構えるNECフィールディングが24時間365日の保守対応をする。

　「オンプレミスでのレガシーなシステム運用管理は、ストレージやサーバなどの機器ごとに管理ツールを使う必要があり煩雑です。CloudIQはSaaSとして提供することで、お客さまが簡単にデル・テクノロジーズ製品を一元管理できる新たな仕組みです。追加費用なしで利用できるので、ぜひ一度体験してください」（伊藤氏）

関連ホワイトペーパー

データ削減容量の異常検知で被害を防止、ランサムウェアに効く次世代ストレージ