従来の対策では限界？ データレジリエンス戦略を強化する3つのバックアップ対策

ランサムウェア攻撃が復旧を妨げるためにバックアップデータの破壊を狙う今、従来のバックアップ戦略からもう一歩進んだ対策が求められています。本稿は日本企業のバックアップ戦略が遅れている理由から、具体的な対策までを解説します。

[熊澤崇全, Anthony Spiteri, James Finlay，ヴィーム・ソフトウェア]

　毎年3月31日は「世界バックアップデー」です。この日が設立された2011年当時、バックアップは後回しにされることが多い存在でした。企業は「バックアップは必要だ」と認識してはいたものの、サイバー攻撃対策よりも、主に自然災害やハードウェアの故障に対する保険として利用することがほとんどだったため優先順位は低く、さらにいえばバックアップの復旧テストやバックアップデータの保護を考慮することはほとんどありませんでした。

　しかしここ数年のランサムウェア攻撃の激化に伴い、事業の復旧を妨げるためにバックアップを直接狙い、データの破損や抹消をもくろむ新たな攻撃も登場しています。この状況を踏まえると、企業は単にバックアップを取得するだけでは足りず、サイバー攻撃に備えてデータの回復力を包括的に強化する「データレジリエンス戦略」を導入する必要があるでしょう。

　本稿は、国内におけるバックアップを取り巻く環境やその役割をあらためて整理し、データレジリエンス戦略を実現するための勘所を明らかにします。

なぜ日本のバックアップ戦略は遅れているのか？　その背景にあるもの

　そもそも日本のデータ保護やバックアップは、欧米諸国と比較して遅れがみられます。欧米諸国では規制強化や訴訟リスクを背景にデータ保護が重視される一方、日本企業の傾向として災害や障害、ランサムウェア被害に遭って初めてデータ保護の重要性に気が付くケースが多く、被災経験の有無によってデータ保護への意識に大きな差が生じています。

　この他、昨今はクラウドの普及によるシステムの複雑化やインフラ人材不足により、組織のセキュリティ管理が難しくなっています。特にランサムウェア被害のような組織内の同時多発的な攻撃では迅速な対応が求められますが、人的リソースの不足がこれを困難にしています。

　しかし先述の通り、サイバー攻撃が高度化・激化している今、日本企業も意識を変革し、データ保護やバックアップを含めたデータレジリエンス戦略に積極的に対策を講じる必要があるでしょう。実際、各国政府や企業は同戦略の重要性を認識し、脅威に対する企業の備えの強化を促す規制の導入を始めています。

　例えば米国では重要インフラ企業に対するサイバーセキュリティ強化を義務付ける「重要インフラ向けサイバーインシデント報告法（CIRCIA）」が施行される予定で、欧州では「NIS2」指令がデータレジリエンス強化を求めています。

　データの規制については長らく個人情報の保護が重視されてきましたが、近年、データ保護の対象は個人情報だけでなく、AI活用時のリスク管理にも広がりつつあります。例えば中国企業が開発したオープンソースの大規模言語モデル（LLM）「DeepSeek R1」について、一部企業がセキュリティ懸念を理由に配信停止を決定するなど、AIの利用規制が進んでいます。

　一方で日本の個人情報保護法は、国内で提供されるサービスに適用され、悪質なデータ利用があった場合に措置が講じられます。ただし、日本企業が海外の個人情報を扱ったり、海外企業が日本人の個人情報を処理したりする際の規制には課題が残っているのが現状で、政府はその危険性について「留意してください」と公表するにとどまっています。

　この他、政府は各省庁に対し注意喚起し、生成AIで機密情報を取り扱わないというルールの順守をあらためて促しました。さらに生成AIを使用する場合、リスクを十分に考慮した上で、内閣サイバーセキュリティセンター（NISC）やデジタル庁に助言を求める必要があると発信しています。

　日本の個人情報保護法は現状3年ごとに見直されていることから、2025年4月に新しい法改正案が国会に提出されると予想されており、データ保護に対する法改正にも期待が寄せられています。

データレジリエンス戦略を強化する3つのバックアップ対策

　上記の動向を踏まえて、データレジリエンス戦略の実現はますます重要になりつつあります。最終的にデータ保護やバックアップはリカバリー、セキュリティ、ポータビリティ（データ移動のしやすさ）、AIを活用したインテリジェンスを踏まえた総合的なデータレジリエンス戦略の一翼を担うことになります。

　データレジリエンスの観点では、特にデータバックアップのアプローチをアップデートし、データセキュリティの考慮事項も含む必要があります。それは以下のようなものです。

1．書き換え不能な「イミュータブルバックアップ」

　現代のリスク環境において多くのサイバー攻撃は、情報セキュリティの3大要素「CIA（機密性：Confidentiality、完全性：Integrity、可用性：Availability）のうち、データの「機密性」と「可用性」を攻撃対象とするケースがよく見られます。

　Veeam Softwareの傘下でインシデントレスポンスサービスを提供するCovewareが公開した四半期レポートによると、2024年10〜12月期のランサムウェア攻撃の87％はデータ漏えいを目的としたものであることが判明しています。また、ランサムウェアはデータを暗号化し、事実上使用できなくするため、可用性も重要な標的となっています。

　ただし、近年ではデータの改ざんを狙う攻撃も増加傾向にあるため、バックアップの変更や削除ができないようにすることがデータ保護の一層の強化につながります。

2．バックアップを狙う脅威検出の自動化

　バックアップはランサムウェア攻撃の主要な標的先であるため、タイムリーで効果的な対応には早期警報システムが不可欠です。疑わしい行動がないかどうか、バックアップ環境を継続的に監視することで、企業は脅威が拡大する前にそれを特定して軽減できます。

　これらのシステムは、サイバーセキュリティチームに貴重な脅威情報と侵害の初期兆候を提供し、インシデントに対するタイムリーで豊富な情報に基づいた対応をサポートします。

3．素早いリカバリー対応力

　バックアップは不可欠ですが、それは最初の一歩に過ぎません。組織は想定外の事態が発生した場合に備えて、復旧プロセスを定期的にテストし、業務復旧を効率化するためにAIを使った自動化プロセスを導入すべきでしょう。

　人的要素も重要です。重要なシステムを効率的に復旧させるには主要な関係者が復旧プロセスにおける自分の役割と責任を理解する必要があります。

　具体的にはITインフラチームとセキュリティチームの協力体制によって素早いリカバリーを実現できます。これはITインフラチームだけでは、侵害のタネの払拭（ふっしょく）やウイルスに再感染する恐れがないかどうかを判断することが難しいためです。復旧環境が安全かどうかを確認するためにも、こうした連携の下地を普段から作っておくことが大切です。

　セキュリティチームはバックアップ環境を活用した、積極的な脅威ハンティングやセキュリティ検証も検討すべきです。バックアップのスナップショットをフォレンジックツールとして使用することで、組織は本番環境に影響を与えることなく、過去のアクティビティーを分析し、持続的な脅威を検出し、セキュリティ体制を改善できます。

バックアップは単なる復旧ツールではない

　データ量の増加とサイバー脅威の進化に伴い、バックアップはサイバー攻撃に対する影響軽減策として、もはやリカバリーだけでなくレジリエンスを維持する重要な要素となっています。バックアップを単なる復旧ツールではなく戦略的なセキュリティ資産と位置付けることで、組織は進化する脅威に迅速に対応し、事業継続性を確保できます。

　サイバーセキュリティ環境が進化し、世界各国で法律が制定される中、バックアップとリカバリーの戦略を包括的なデータレジリエンス戦略へと進化しなければなりません。「データのバックアップ」「リカバリー」「セキュリティ」「ポータビリティ」「インテリジェンス」というデータレジリエンスを構成する5つの柱を実現するだけでなく、コンプライアンスと事業継続性を確保することも大切です。

筆者紹介：

熊澤崇全氏（ヴィーム・ソフトウェア ランサムウェア対策 シニアソリューションスペシャリスト）

アンソニー・スピテリ氏（Veeam Software APJ地域担当 CTO）

ジェームズ・フィンレイ氏（Lead Director of Incident Response APJ, Coveware by Veeam）