“令和のゼロトラストモデル”を考えよう 注意すべきポイントは何か？

“ゼロトラストセキュリティ”という考え方は普及してきていますが、サイバー攻撃の進化を考慮すると、従来のゼロトラストでは不十分かもしれません。本稿は“令和のゼロトラストモデル”とは何かを解説します。

[Dave Russell，ヴィーム・ソフトウェア]

　サイバーセキュリティ対策の考え方の一つに「ゼロトラスト」があります。ゼロトラストは古くからある概念ですが、考え方は時代と環境に応じて見直していかなければなりません。

　サイバー攻撃がまん延する今、システム復旧や事業継続に欠かせないバックアップデータがランサムウェア攻撃やデータ流出の両方でターゲットにされることがよくあるのに対し、従来のゼロトラストのフレームワークには、データバックアップとリカバリーシステムが含まれていません。

　バックアップやデータ回復が事業継続に欠かせないものになってきた時代だからこそ、リカバリーやデータバックアップを含む“令和のゼロトラストモデル”への見直しが必要不可欠です。

　Veeam Software（以下、Veeam）は2023年12月に、ゼロトラストの原則にバックアップとリカバリーに適用した新しいセキュリティモデル「ゼロトラスト・データレジリエンス」（ZTDR）を発表しました。

　この寄稿では、Veeamのエンタープライズ戦略シニアバイスプレジデント兼CTO（最高技術責任者）で、データ保護とランサムウェアリカバリーのエキスパートであるデイブ・ラッセル氏が、上記セキュリティモデルを参照し、進化し続けるゼロトラストへの歩みについて紹介します。

“令和のゼロトラストモデル”を考えよう　注意すべきポイントは何か？

　いたちごっこの激しい競争の中で、セキュリティは常に脅威の一歩先を行くために適応し、進化してきました。攻撃者は常にテストを繰り返し、ターゲットとする企業のセキュリティ対策の先を行くために手段を変えています。

　これは一方で、サイバー攻撃が激化して以来、業界全体で多くのイノベーションが推進されてきた理由でもあります。筆者が35年前にキャリアをスタートさせたときにベンチマークと考えられていたセキュリティツールが、現代のサイバー犯罪集団に対しては紙一重の盾にしかならないことは言うまでもありません。進化しなければならなかったのはツールだけでなく、マインドセット、つまりセキュリティについてどう考え、ツールをどう使うかについても考え直す必要があります。

　その典型的な例が“ゼロトラスト”です。従来の境界型防御は城の周囲にある堀のようなものでした。ゼロトラストをベストプラクティスとして採用する企業が世界的に増えるにつれ、この考え方は変わってきました。やがてドアは施錠され、身分を証明しなければ、城の一部への立ち入りは許可されなくなりました。進化というのは決して止まらないものです。

現状のバックアップ対策はランサムウェアに対して本当に有効？

　最も広く使われているゼロトラストモデルにも、現代の環境では致命的な欠陥が幾つかあります。すなわち、データのバックアップやリカバリーのようなデータを元の状態に戻すという事業継続で極めて重要な分野のガイダンスが不足していることです。

　このギャップは最近のサイバー攻撃がしばしばバックアップリポジトリ（バックアップの保管場所）を標的にしていることからも明白です。Veeamの年次調査「Ransomware Trends 2024 Report」によると、2023年のランサムウェア攻撃は少なくとも96％がバックアップリポジトリを標的にしていました。

2023年のランサムウェア攻撃は少なくとも96％でバックアップリポジトリを標的にしていた（出典：ヴィーム・ソフトウェア発表資料）

　データのバックアップやリカバリーシステムは企業ITの重要な部分であり、セキュリティの一部として考慮されなければなりません。バックアップとリカバリーシステムは何に対してもアクセス権限があり、本番環境にデータを書き込め、ビジネス上の重要資産であるデータの完全なコピーが含まれています。簡単にいえば、現代のゼロトラストの原則に忠実に従えば、従来方法のセキュリティに関してはかなり強固になりますが、バックアップとリカバリーに関しては大きなギャップが残ります。

　しかしこれが私たちの現状で、脅威が進化するにつれてゼロトラストは範囲が限定的になりすぎました。だからこそ、「ZTDR」という概念が生まれました。ゼロトラストの進化形であり、バックアップとリカバリーも同様の原則に従うよう、本質的に範囲を広げている考え方です。

“ゼロトラストなバックアップ”を実現するためには

　核となる概念は同じです。最小権限の原則と侵害を想定する考え方は依然として重要です。例えばバックアップ管理システムは、認証されていないユーザーにアクセス権限が付与されないように、ネットワーク上で隔離されていなければなりません。同様に、バックアップストレージシステム自体も隔離されるべきです。

　また、書き換え不可能だという不変性（イミュータブル）も重要です。変更や改ざんができないバックアップデータを持つということは、ランサムウェア攻撃によってバックアップの保管場所にアクセスされても、攻撃の影響を受けないことを意味します。

　「侵害を想定する」ということは、企業は攻撃後にバックアップを暗黙のうちに「信頼」すべきではないということでもあります。システムのリカバリーを試みる前に、バックアップを適切に検証する、あるいはバックアップを「クリーン」にするプロセスを持つことは、依然として侵害された環境を単にリストア（修復）するのではないことを確認するために不可欠です。

　最後の保険となるのは、バックアップのコピーを複数持つことです。ベストプラクティスは、バックアップのコピーを3つ持つことで、そのうち2つは異なる種類のメディアに保存し、1つはオンサイトに保存し、1つはオフラインで保管することです。このようなレイヤーを重ねることで、「バックアップがゼロトラストである」と考えられます。

バックアップルール「3-2-1-1-0」（データは3つ作成し（オリジナルデータ1つ、バックアップデータ2つ）、2つの異なる記憶媒体に保管し、うち1つは別の場所で保管する。また、少なくとも1つはオフラインであり、復元時はエラーはゼロで完了するという考え方）の原則に従うべきだ（出典：ヴィーム・ソフトウェア発表資料）

ZTDRへの一歩を踏み出そう　進め方の勘所

　ZTDRはゼロトラストと同様に旅路のようなもので、一度に全てを導入することはできません。その代わり、成熟度モデルに従って徐々に新しいプラクティスを導入し、時間をかけて洗練させ、進化させることが可能です。

　例えば、現在バックアップデータの検証を実施していないのであれば、手作業で検証を開始し、時間をかけて定期的な検証プロセスを自動化し、スケジュール化する技術を導入することを推奨します。

　もう一つ重要なことは、組織内の全員が一緒に一歩を踏み出すことです。組織全体わたる広範な変更を実施するには、リーダーシップが鍵となりますが、新しいプロセスとその必要性についてビジネス全体で社員を教育することも重要です。

　最後にZTDRでは特に、セキュリティチームとITオペレーションチームの足並みをそろえる必要があります。バックアップはITオペレーションチームの責任下に置かれることが多く、バックアップがセキュリティ体制にとってますます重要になるにつれて、セキュリティのサイロ化やギャップの発生を防ぐために両者が協力する必要があります。

　ゼロトラストへの道のりは果てしなく続きます。それだけに、正確な目的地は時間とともに進化します。企業へのアドバイスとしては、「ローマは一日にして成らず」ですが、先延ばしにして取り残されるよりは、どんなに小さくても今日から一歩を踏み出した方が良いということです。

筆者紹介：デイブ・ラッセル（Dave Russel）

エンタープライズ戦略担当バイスプレジデントとして、戦略的な製品および市場進出戦略の推進や業界エンゲージメントの責任者を務める。過去には、IBM のソフトウェアエンジニアとしてメインフレームやオープンシステムのバックアップと復元のための製品開発、戦略チームの統括に従事。Gartner 社ではバイスプレジデント兼特別アナリストとして、バックアップ・データ管理領域の調査を担当。2018 年 5 月より現職。開発者、アナリスト、戦略家の多様な立場から 30 年以上にわたりバックアップ業界に携わり、現在も強い情熱を持つ。