識者が語り合うランサムウェア被害のリアルと“費用対効果を出せる”データの守り方：ランサムウェア対策とバックアップの微妙な関係

ランサムウェア攻撃対策としてバックアップを実施している企業がある。だが、バックアップを取っているだけで実は対策になっていない場合も多い。検知や復旧にも役立つソリューションを紹介する。

[PR／ITmedia]

PR

　ランサムウェア被害が広がる中、もはや従来のデータ保護の観点だけでビジネスを守ることは難しく、事業の継続性と生産性を守るための新たな視点と仕組みが求められている。2024年5月、「ITmedia Security Week 2024 春」で、日本情報通信と日本IBM、アイティメディア編集部によるトークセッションが開催された。そこで語られたのは「データを保管するストレージ自身がデータを守る」というこれまでとは異なる視点での防御手法だ。

ランサムウェアによる被害が止まらない　課題は何なのか

　モデレーターを務めたアイティメディアの内野宏信統括編集長は、セッション冒頭で＠IT読者の意識調査の結果を引用した。ランサムウェアをはじめとするサイバー攻撃を受けたと認識できていた回答が少なかったことに加え、防げているのかどうかも不安だという回答が多いことを挙げた。具体的な対策手法として「バックアップ」「アンチウイルス」が認識されているものの、「社員のリテラシーに課題がある」「セキュリティ製品を管理できる人材がいない」などの苦悩も見えた。

　日本情報通信でセキュリティ製品のセールスを担当する吉川裕樹氏も、同様の悩みを顧客から聞くという。特に「運用負荷を日本情報通信はどのようにサポートしてくれるのか」という声が多いと指摘する。ストレージ製品の提案と構築を担当する同社の渕上陽介氏も、「人手が足りない上に新しい技術が登場し、ベンダーのサポート体制はどうなのかを心配される方が多い」と述べた。日本IBMでストレージソリューションの提案を行う倉橋輝彦氏も「どこから手を付けたらいいのか分からないというコメントを多く頂く」と現状を述べた。

　企業のシステムを保護する上でポイントとなるのは、いかにデータを守るかだ。問題はデータ保護だけではない。ランサムウェアの攻撃では企業のシステムに侵入した後、横展開してデータを盗み、暗号化して脅迫する。EDR（Endpoint Detection and Response）を活用して検知力を高め、バックアップでデータを保護する仕組みを採用することが多いが、吉川氏は「データ保護はバックアップだけでいいのか」と問題提起した。

　障害に備えて既に実施されているバックアップという対策がサイバー脅威時代にもそのまま続いていると渕上氏は指摘した。バックアップの目的はこれまで障害対策であり、災害対策だったはずだ。だがランサムウェア対策にはなり得ていないという。バックアップ機能を基盤管理部門が担当している企業ではセキュリティ担当とは役割が異なるため、最適な運用にはならない。

　バックアップサーバもランサムウェア攻撃の対象になり得る。データをバックアップサーバに保管していたとしても、すでに感染していたという可能性もある。バックアップをセキュリティの観点で取得すること、そのプロセスを考えること、それこそがセキュリティ観点でのデータ保護のポイントになると吉川氏は指摘した。

バックアップサーバが攻撃される原因（提供：日本情報通信）

意外な手法で解決できる

　日本IBMの倉橋氏は、もう一つの視点として「復旧」を挙げた。サイバー攻撃の検知は早ければ早いほどよい。倉橋氏は影響度と時間を軸とした図を基に、検知を早くすることで影響度の山のピークを下げ、また裾野も短くできる（復旧も早まる）と述べた。これこそが、今注目されている「レジリエンス」という考え方だ。

　迅速に復旧する――これを具体的なソリューションにしたものが「IBM Storage FlashSystem」（以下、FlashSystem）の「セーフガード・コピー」だ。これはストレージの中にエアギャップを作ってランサムウェアなどの侵入を防ぎ、データ破壊を防ぐための仕組みを備えた特別なソリューションだ。

　このストレージではエアギャップで隔離された区画にスナップショットとしてバックアップデータを置く。ランサムウェアはおろか、インフラ担当者さえもエアギャップ内のデータを改変できない。

FlashSystemの「セーフガード・コピー」の仕組み（提供：日本IBM）

　倉橋氏は、セーフガード・コピーのポイントを3つ挙げた。第一に、改変できないエリアを作ってバックアップデータをエアギャップで守ることだ。第二に、多数のバックアップ世代を保持でき、差分バックアップで容量を節約してストレージを効果的に活用できることだ。第三にネットワーク帯域を使用せず、ストレージの筐体内で完結する迅速なリカバリーを実現できることだ。これまでのバックアップとは異なる、“サイバー脅威前提”のバックアップが可能な仕組みと言える。

　倉橋氏はこのセーフガード・コピーをFlashSystemの下位モデルでも実現していることをアピールした。このソリューションを入れるだけでデータレジリエンスを手に入れることができるのだ。

ストレージ自体が「ランサムウェアを検知する」とは

　倉橋氏はもう一つの強力な機能を紹介した。IBM独自技術を用いた第4世代「FlashCore Module」を採用した機器は、ストレージ内の全ての入出力をストレージでモニタリングすることでランサムウェアのような通常とは異なる挙動を機械学習モデルで検知して、ストレージ自体がランサムウェアの行動を把握する。検知が早くなり、かつストレージ側で迅速に復旧できることで、誰でもデータレジリエンスの能力を手に入れられる。

　FlashSystemのようなフラッシュストレージの導入はまだハードルが高いと考えている方も多いだろうが、実は世界中で導入実績が増えているという。その一例はWebサイトで紹介されており、日本でも重要データに絞ってFlashSystemを採用してスモールスタートした事例が増えている。

　日本情報通信はFlashSystemのノウハウを蓄積しており、特に費用対効果が見えにくいランサムウェア対策において経営層も納得できるシナリオを用意している。吉川氏は「ランサムウェア対策というとEDRにフォーカスしがちだが、重要なサーバほどEDRを入れにくい。企業にとって最大のリスクであるランサムウェアをストレージで検知・通報できることは、企業の最後のとりでとなり得る手法であり、効果的だ」と述べた。FlashSystemこそ、費用対効果を高めるための“ピース”として利用できるという。

---

　セキュリティ視点での「バックアップ」は、運用担当とセキュリティ担当のはざまに陥る可能性があり、お互いが「相手の仕事だ」と主張している状況にあるかもしれない。ランサムウェアによる被害は明日にでも起きる可能性がある。多層で網をかけていち早く検知し、何かあれば復旧できるという「最後のとりで」が求められている。ストレージで守るという考え方を知ることが、状況を打破する一つのヒントになり得るだろう。

　日本情報通信、日本IBMが持つ、「ストレージで守る」という方法をさらに知りたいセキュリティ担当者は、ぜひ両社に相談してほしい。防衛技術の進化を知るとともに、混沌としたサイバー空間を一緒に走ってくれる仲間を手に入れられるはずだ。