国内ランサムウェア被害に学ぶ「サイバーリカバリー」の重要性

PR／ITmedia

PR

　近年、セキュリティに対する意識や投資額は世界的に上昇しているにもかかわらず、ランサムウェアに代表されるサイバー攻撃の件数や被害額は増加している。

　サイバー攻撃への対策を講じても侵害をゼロにはできない。被害に遭った場合に備え、ビジネスやサービスの継続を可能にするための「レジリエンス」が注目されている。

　アイティメディアが主催したオンラインイベント「ITmedia Security Week 2025春」に登壇したRubrik Japanの中井大士氏が「ビジネス継続/レジリエンス戦略の肝 “サイバーリカバリ”対策のすゝめ」と題したセッションにおいて、サイバーリカバリーの重要性と実践方法を語った。

国内ランサムウェア被害　実際に起きた2つの事例

　サイバーリカバリーやデータ監視の体制が整っていない場合、どのような事態が発生するのだろうか。中井氏は、国内で発生した2つの事例を紹介した。

　1つ目は、管理者権限を持つユーザーの認証情報を乗っ取られてランサムウェアの被害に遭い、データが暗号化されてしまったケースだ。復旧の要であるはずのバックアップが使い物にならない状態にされたため、システムを再構築してサービスを再開するのに3カ月を要した。

　2つ目は、VPN経由でランサムウェアの侵入を許してしまったケースだ。バックアップデータを確保できたためリストアに取りかかったが、二次被害を防ぐために安全なバックアップデータがどれかを調査しなければならないという別の問題に直面した。調査に多くの時間を要し、復旧に1.2カ月かかった。

サイバーリカバリーと「バックアップからのリストア」はどう違う？

　中井氏は事例を踏まえて「サイバー被害からの復旧を図るサイバーリカバリーは、従来のバックアップからのリストアと、復旧のプロセスもRTO（目標復旧時間）も大きく異なります」と指摘する。

　中井氏によれば、従来のバックアップからのリストアは、利用者のミスによるデータ消失やシステム障害などからのデータ復旧を目的としていた。このため影響範囲の特定や、どのバックアップデータから戻すのかを比較的判断しやすく、RTOの大部分はリストア作業の時間だった。

　一方、サイバー被害からの復旧は、被害範囲やバックアップデータの安全性の確認など、リストアに取りかかるまでにより多くの調査と時間を要する。復旧すべきデータを特定できても、肝心のバックアップデータが暗号化されていて復旧できないケースもある。そのため被害に遭うと数カ月単位でビジネスを停止せざるを得ない状況が起きていると説明した。

サイバーリカバリーにかかるRTOのイメージ（提供：Rubrik Japan）

「3つのポイント」を押さえてサイバーリカバリーを実現するRubrik

　では、どのような対策を講じればサイバーリカバリーが実現するのか。中井氏は次の3点が欠かせないと指摘する。

• 最後のとりでであるバックアップデータやバックアップソフトウェアを守る
• バックアップデータを分析し、どこに被害を受けたデータがあり、どのデータは安全なのかを可視化する仕組みを導入する
• バックアップとリストアの仕組みを可能な限り自動化して、ITの専門家だけでなく誰でも作業できるようにするとともに、訓練を通してリカバリー手順を確認する

　Rubrikはこれら3つのポイントを備えたサイバーリカバリーを実現するためのバックアップ基盤「Rubrik Security Cloud」を提供している。Rubrik Security Cloudは従来型のバックアップ製品とは異なり、製品の設計段階からサイバー攻撃対策を意識したアーキテクチャになっているため、「防御」と「復旧」の両面からデータ保護を強化できる。

　Rubrik Security Cloudの特徴は、ゼロトラストなバックアップシステムによって改ざんや乗っ取りを防ぐことだ。

　もう一つの特徴はデータ分析機能だ。定期的に取得するバックアップデータを分析し、今どこにリスクがあるのか、どこに被害が広がっているのかを可視化する。論理エアギャップによって本番システムと切り離し、オフラインで保管しているデータを安全に、かつ時系列で分析できる。

　「Rubrik Security Cloudを他のセキュリティソリューションと組み合わせることで、より多重的に可視化し、リスクを分析し、被害を把握できる仕組みを整備できます」

　最後に、中井氏は「サイバーリカバリー対策を取ることで、数日から1週間以内に復旧できる体制を整えられます。ビジネスの停止期間を短縮できることは、結果的に運用コストの大幅な削減につながります。『データ保護の対策は万全か』『被害を受けるリスクがどこにあるかを把握できているか』の2点を確認することで、サイバーリカバリーを実現してください」と締めくくった。

バックアップからサイバーリカバリーへの変革（提供：Rubrik Japan）