ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?:「防御力」に「復元力」を〜なぜなにサイバーレジリエンス(番外編2)(2/2 ページ)
バックアップはデータ保護における古典的なテーマですが、適切に実施するのは実は簡単ではありません。従来のバックアップ対策ではなぜランサムウェアには通用しないのか。その理由を解説します。
障害対応時とランサムウェア対応時では復旧のやり方も違う
セキュリティにおける中核機能のうち、「検知(DE:Detect)」「対応(RS:Respond)」「復旧(RC:Recover)」でもそれぞれポイントがあります。順を追って見ていきましょう。
検知(DE:Detect)
ランサムウェアによるデータ暗号化や持ち出しを検知するには、データアクセスの異常を監視する必要があります。ハードウェア障害のようにストレージ自体の状態が異常になる(縮退する、停止する)ものではないためです。
このためには、事前定義されたパターンに合致するかどうかだけでなく、データアクセスに不審な振る舞いがないか(いつもとは異なる挙動をしていないか)を監視することが大事です。
対応(RS:Respond)
ランサムウェアによるデータの暗号化や持ち出しを検知した場合、被害が拡大したり証拠を隠滅されたりすることを防ぐために直ちにアクセスを遮断するとともに、原因究明と復旧手順検討、そして証拠保全のために、現場保存をするのが鉄則です。
ランサムウェア被害に遭うと、社内や専門の調査会社による調査に加えて、運用業務の委託先や警察、サイバー保険に加入している場合は保険会社による調査が実施される可能性があるため、証拠保全が必要となります。また最近では暗号化されたデータの復号に成功する事例も出てきました。そのため被害に気付いたときはその時点の状態に手を加えることなく残しておく必要があるのです。
これにはストレージのスナップショット機能など、データや環境に対して変更を加えない(ファイルのタイムスタンプやフラグなどを書き換えない)方法で直ちにバックアップを取得するのが有効です。
復旧(RC:Recover)
ランサムウェア被害に遭うと現場保存が必要となる一方、システムの利用者からは一刻も早い復旧が求められます。現場保存しつつ復旧を始めるには、現場保存した環境とは別の環境を用意して、そこにバックアップからデータをリストアする必要があります。そこでストレージのクローニング機能などを利用することで、現場保存した環境と別に、復旧作業用の環境を容量効率良く迅速に立ち上げられます。
前述の通り、ランサムウェアによってデータを暗号化されていることに気付かないままだと、知らず知らずのうちに暗号化されたデータをバックアップし続けることになります。そのため復旧時には監査ログも併用しながら、暗号化されたデータを特定し、そのデータの暗号化前のバックアップ世代を特定し、リストアする作業を繰り返します。全体を上書きリストアしてしまうと暗号化されていない健全なデータまで過去の状態にさかのぼってしまうことになるため、このように部分的なリストア作業を地道に繰り返すことになるのです。
なお、ハードウェア障害からの復旧場面では全体を上書きリストアすることになるため、シーケンシャルアクセス性能に優れメディア単価の安いテープ(LTOなど)は有効な選択肢となり得ました。しかしランサムウェア攻撃の場合は部分的なリストア作業を反復することになるため、テープでは作業が煩雑で時間がかかることになり、難があるかもしれません。
部門の壁や先入観がランサムウェア向けバックアップ対策を阻んでいる
本連載は「サイバーレジリエンス」の背景と基本的な考え方について解説してきた連載記事の番外編として、「ランサムウェア攻撃からデータを守るために、復元力と減災の観点ではどのような対策が必要となるか」をテーマに、より実際的な内容を解説してきました。
バックアップはランサムウェアからのデータ保護のために欠かせない要素です。しかしランサムウェア対策の観点からのバックアップの仕組みの再点検については、なかなか進んでいないように思われます。筆者が考える限りこれには以下の2つの要因があるようです。
- セキュリティは企業や団体の中では情報セキュリティ部門の所管で、ランサムウェア対策もネットワークやエンドポイントにおける防災・防御力観点の施策に目が行きがち。IT基盤部門(サーバ、ストレージ系)における減災・復元力観点での施策は、部門の壁に阻まれて議論が巻き起こらなかったり、予算配分の問題で後手に回ったりしがち
- 「バックアップ」というと古典的なテーマのため「ウチはきちんとできている」「見直しは考えていない」という反応になりがち
しかし実際に被害に遭ってから準備していては、企業の大切な経営資源であるデータを失うことになりかねません。サイバーレジリエンスの観点を取り入れ、被災を防ぐ「防御力」と被災から立ち直る「復元力」を車の両輪とすることで、ランサムウェアに有効な対策を実現できるのではないでしょうか。
関連記事
- 「サイバーレジリエンス」の基本を解説 もう知ったかぶりからは卒業しよう
最近聞くようになってきた「サイバーレジリエンス」という言葉。これを自信を持って説明できる人はどのくらいいるでしょうか。そもそも「レジリエンス」とはどういう意味で「サイバーセキュリティ」とは何が違うのか、解説します。 - 被害者の悲しい実体験から学ぶ “本当に役に立つ”ランサムウェア攻撃対策
ランサムウェアが激化する今、「自社のデータをどうすれば保護できるのか」とセキュリティ担当者が皆で頭を悩ませています。本稿は、実際に被害に遭った方の経験を基に「復元」「減災」という観点から“本当に役に立つ”対策を探ります。 - 「日本企業よ、危機感を持て」 ランサムウェアで最悪の事態に陥らないためにできること
現在報道されているランサムウェア事案は氷山の一角にすぎない。今後さらに激化が予想されるこの脅威に企業はどう対処すべきか。サイバーレジリエンスの観点からまずやるべきこと、意外と簡単にできる対策をまとめた。 - 日清食品はなぜ「生成AIを20日で導入」できたか? セキュリティ視点で考える
「DIGITIZE YOUR ARMS デジタルを武装せよ」を標語に掲げてデジタルトランスフォーメーションを推進する日清食品グループ。この裏にはIT活用を安全なものとするため、グループ全体で総力を挙げたセキュリティ対策があった。
Copyright © ITmedia, Inc. All Rights Reserved.