被害後に気付く企業が続出 ランサムウェア対策の「抜け落ちたピース」：データ保護から始める最終防壁構築（2/2 ページ）

[小原 誠，ITmedia]

最終防壁構築のポイント3：　保護された複数世代のバックアップ

　バックアップは暗号化を防ぐために改ざん保護することが大切です。こうした対策を講じたバックアップを「イミュータブルバックアップ」（不変のバックアップ）と呼びます。これを実現するには以下の2つの方法があります。

1. 別のストレージや外部記憶媒体に物理的に完全に隔離した状態でバックアップを保管する
2. ストレージ内や管理者権限でも書き換えできないように論理的に書き換え保護された状態でバックアップを保存する

　できればこれらのバックアップは、複数世代分残しておきましょう。冒頭でお伝えした通り、オリジナルデータが暗号化されていることに気が付かないままバックアップ処理が走り続けていると「使えないバックアップ」になってしまうためです。

　ただ、ランサムウェア対策という観点で考えると、バックアップの取得間隔と保持期間をどうするかは、ストレージコストも関係してきて難しい問題です。一般的には、ランサムウェア対策を想定していなかったときに「毎日取得して3日間は残しておく（日次3世代）」や「毎日取得して7日間は残し、うち日曜日分は1カ月残す（日次7世代+週次5世代）」といった方針を取っていたら、「4時間間隔で取得し31日間は残しておく」（つまり4時間間隔186世代）のように、取得間隔を短くし保持期間を大幅に伸ばす傾向にあります。

　当然、バックアップの間隔が短くなれば処理性能も問題となり、保持期間が伸びれば（世代数が増えれば）それだけコストもかかります。そのため、ストレージが持つ「書き換え保護されたスナップショット」の機能によってコストを抑えながら短時間でバックアップを取得できるようにし、必要に応じて（災害を含む物理障害対策も兼ねて）上述の1の方法も組み合わせる事例が増えているようです。

最終防壁構築のポイント4：　攻撃の早期検知

　平常時には見られない急激な読み出し・書き換え、拡張子の一斉変更といった異常なアクセスを、ストレージ自体の機能やストレージが連携するセキュリティツールによって検知します。検知すると管理者に通知するとともに、バックアップの自動取得や、必要に応じてユーザーセッションの自動遮断などを実行します。

　ポイント3ではバックアップの取得間隔と保持期間について触れましたが、攻撃の自動検知の仕組みがあれば、暗号化攻撃の開始直後のバックアップを自動取得することで、リストアの作業負荷を減らせるとともに、ストレージのコストを抑えられるでしょう。

　なお、ストレージやバックアップツールにおいて「ランサムウェアを検知する」ことをうたう製品はさまざまありますが、「何を」「いつ」検知するのかに注意が必要です。

• 何を：　ランサムウェアそれ自体なのか、ランサムウェアによる攻撃なのか
• いつ：　ストレージにアクセスしたタイミングなのか、バックアップを取得するタイミングなのか

　例えばバックアップツールで「ランサムウェアを検知する」というのは、ランサムウェアによる攻撃をリアルタイムで検知するものではなく、バックアップツールがバックアップのためにデータをスキャンしたときに、そのデータ自体がランサムウェアではないかどうか、またランサムウェアによって暗号化された疑いがないかどうかを確認することを意味する場合があります。

最終防壁構築のポイント5：　素早く柔軟に実行できるリストア

　最後はリストアについてです。ポイント3とも関連しますが、バックアップの取得方法はランサムウェア被害に遭うケースを想定して、容易にリストアが可能な方法を選択することが大切です。

　ランサムウェア被害からの復旧作業は、物理障害や論理障害におけるリストアとは勝手が異なります。過去のバックアップをたどりながら暗号化前のデータを特定し、被害に遭った環境を現場保存しながらリストアするという、根気のいる作業となるでしょう。

　そこでストレージが持つ機能をフルで活用することをお勧めします。書き換え保護されたスナップショットから「クローン」を作成することで、現場保存と両立させながら、ストレージの容量消費を抑えつつ直ちにリストアできます。このことは、ランサムウェア被害を想定した予行演習の場面でも威力を発揮し、実際に被害に遭った場合でもリストアが「一発勝負」ではなくやり直しが効くということは、安心感にもつながるでしょう（※2）。

（※2）これまで筆者が開催してきたランサムウェア対策に関するワークショップで、参加者の皆さんからのコメントで多かったのは、「バックアップは取っているが、実際にリストアできるかやってみたことがない」「本当にリストアできるのか不安」というものでした。

ストレージは「データ保護の最後の砦」だと心得よう

　昨今はランサムウェアによるデータ暗号化対策の文脈でバックアップの重要性があらためて認識されていますが、それでも残念ながら、従来のバックアップの仕組みの延長で捉えられているケースが散見されます。それによってITシステム導入の際に「バックアップを取って守ること」だけがフォーカスされてしまい、ストレージとバックアップの仕組みが別々に、後付けで検討・導入され、ランサムウェア被害にあった場合に現実的にリストアできるのか怪しいことになってしまいます。

　この連載記事では、そういったケースでどんなことになってしまうのかランサムウェア被害に関する“怖い話”を紹介し、「データ保護の最後の砦」であるストレージにフォーカスして5つの対策ポイントを紹介しました。ストレージの防御策は非常に重要で、さらに回復策では欠かせない要素となります。

　昨今、国内大手企業を標的としたランサムウェア攻撃が相次ぎ、その影響は私たちの日常生活にも広がっています。被害を最小限に抑えるためにも、ぜひ5つのポイントが十分にできているかどうか確認してみてください。

筆者紹介：小原 誠（ネットアップ合同会社 コンサルティング ソリューションアーキテクト）

国内メーカーにおけるストレージ要素技術の研究開発に始まり、外資系コンサルティングファームにおけるITインフラ戦略立案からトランスフォーメーション（要件定義、設計構築、運用改善、PMOなど）まで、計20年以上従事。NetAppではソリューションアーキテクトとして、特にCloudOps、FinOps、Cyber Resilience領域を中心にソリューション開発やマーケティング活動、導入支援などに従事。Linux Foundation Japan エバンジェリスト、FinOps認定プラクティショナー（FOCP）。翻訳書に『クラウド FinOps 第2版』（オライリー・ジャパン）。国立大学法人山口大学 客員准教授。