7割近い日本企業が「データ保護が不十分」――ランサムウェアからデータとビジネスを守るポイントとは何か：データを守らなければ、ビジネスを継続できない

ビジネスはデータから成り立っている。データを暗号化し、金銭を要求するランサムウェア攻撃には必ず備えなければならない。しかし、データをバックアップするだけではランサムウェアに対抗できない。攻撃に対して「特定、防御、検知、対応、復旧」という一連の仕組みがなければビジネスの素早い復旧は難しいからだ。ではどうすればよいのだろうか。

[PR／＠IT]

PR

データ保護の視点が欠けている従来のセキュリティ

　ビジネスがITによって支えられている昨今、データ保護は最も重要な施策の一つだ。サイバー攻撃の脅威は日に日に激しく、複雑化し、どんな企業でも巧妙に狙ってくる。もはや「対岸の火事」などという甘い考え方は通用しない。デル・テクノロジーズのアンケート調査によれば、日本でも7割近い企業で「データ保護が不十分」と回答している。

　そうしたリスクの最たるものがランサムウェアだ。社内の重要なデータを勝手に暗号化し、復号するための身代金を要求するという手口のサイバー攻撃で、重要なインフラを狙うケースもある。米国では2021年、化石燃料のパイプラインがサイバー攻撃を受けて供給停止という状況に陥り、5億円近い身代金を支払うはめになった。

デル・テクノロジーズの安井謙治氏

　「お客さまや社内での打ち合わせでも、ランサムウェアは話題に上ることが増えています。顧客システムでインシデントが発生した、どのようにデータを保護するのが良いのかなど、従来のサイバー攻撃と比べても非常に身近に感じるようになりました。サイバー犯罪者はコミュニティーを作って分業し、非常に効率良く金銭をせしめようとたくらみます。医療機関や社会インフラは生命に関わるリスクも高く、特に厳重な注意が必要です」と、デル・テクノロジーズの安井謙治氏（UDS事業本部 SE部 シニア システムエンジニア）は述べる。

　特に昨今は働き方改革やコロナ禍の影響でテレワークが増えている。慌てて環境を用意したために、セキュリティ対策が不十分な組織もあるだろう。対策の甘いエンドポイントを狙われて、重要な機密データへのアクセスを許してしまう可能性が高まっている。上述のアンケート調査でも、在宅勤務が増えたことで「サイバー攻撃のリスクが高まった」と回答する組織は7割を超えた。

　安井氏によれば、従来のセキュリティ対策はネットワークやアプリケーション寄りのものが多く、データがあまり意識されていないことが多いという。「データをどう守るか」という点はもちろん、「侵害されたことをどうやって検知し、インシデントに対処し、ビジネスを復旧させるか」という事後対策の視点が欠けている。

　データとビジネスを守るためにはどのような対策が必要か、ポイントを紹介していこう。

大量の重要なデータが保管されるNASを守るには

　データ保護と一口にいってもさまざまな領域、環境がある。ここではストレートに、ファイルを守る視点で考えてみたい。つまり、多くの企業で導入されているファイルサーバ／NAS（Network Attached Storage）におけるデータ保護だ。NASには非構造化データが大量に格納されるので、ランサムウェアなどに侵害されると、ビジネスの受けるダメージが非常に大きい。

　NAS、すなわちファイルストレージ領域のデータ保護というと、現状はスナップショットの取得や監査ログの保管といった対応が大半であろう。これでは、NIST（米国立標準技術研究所）サイバーセキュリティフレームワークで基本とされている「特定、防御、検知、対応、復旧」を網羅できない。特に重要な検知、対応、復旧の仕組みを補完する必要がある。

　バックアップデータを取得しておけば、ランサムウェアに侵害されても復旧できるという考え方もあるが、これも不十分といえる。なぜなら、もし長く侵害に気付かず、暗号化されたデータが保管されてしまえば、もはや戻す手だてがないからだ。また、バックアップデータを狙って暗号化するランサムウェアも存在しており、検知や復旧の施策がなければ太刀打ちできない。

　「最近注目されている対策の一つとして、『エアギャップ（air gap）』という考え方があります。つまり、バックアップ環境を完全にオフライン化して、ネットワーク越しに侵害されることがないようにする方法です。米国を中心に、特に重要な機密データはエアギャップ環境に格納することを推奨する声が高まっています」（安井氏）

　被害を最小限に食い止めるには、やはり検知の仕組みが欠かせない。対応、復旧が有効に機能するには、できるだけ早く侵害を検知して、侵害の拡大前に対処することが重要だからだ。

　とはいえ、これから登場するであろう新型のランサムウェアを検知する仕組みを、ユーザーが自社の力のみで実装することは非常に難しい。

　そこで今回は、最先端技術を応用してランサムウェアの脅威を素早く検知し、自動的にデータ保護の仕組みを機能させる「Ransomware Defender」を紹介しよう。

Dell PowerScaleに特化した強力なランサムウェア対策

　Supernaの提供するRansomware Defenderは、デル・テクノロジーズのNAS「Dell PowerScaleシリーズ」専用に開発されたランサムウェア対策製品だ。PowerScaleに特化しているので非常に親和性が高く、PowerScaleの機能を最大限に生かしたデータ保護機能を提供しているのが強みだ。

PowerScale サイバー保護とリカバリソリューションの概要（提供：デル・テクノロジーズ）

　Ransomware DefenderはAI（人工知能）を応用した検知技術を有している。PowerScale内のデータをリアルタイムに監視しており、もし不審な挙動があれば速やかにアラートを発行し、スナップショットやロックアウトといったデータを保護するアクションを自動的に実行する。

　つまり、ランサムウェアの活動傾向が見られたと同時にスナップショットを取って最新のデータを退避させ、当該のユーザーをロックアウトして改ざんや削除を実行できないようにする。検知から対処までを極めて短時間で実行する理想的な機能といえる。

　PowerScaleの機能を用いて、「AirGapクラスタ」（Vault）を利用している場合は、Ransomware Defenderによってさらに安全性を高めることができる。

　通常、AirGapクラスタは切断された状態で、データの複製時にのみ本番クラスタと接続する方式が採られる。PowerScaleでは、高速レプリケーション機能を用い、複製を保管するためのアクセス時間を最小限にとどめている。Ransomware Defenderは、不審な挙動を検知すると、以降はレプリケーションの実行を中止する。つまり、ランサムウェアで暗号化されたデータがAirGapを侵害しないように食い止めるのだ。

　復旧も容易で、問題がなければ直前に取得されたスナップショットからデータを復元すればよい。もしシステム全体が侵害されるような壊滅的な状況に陥ったとしても、緊急対応としてAirGapクラスタを本番環境に接続し、素早くビジネスを復旧させることも可能だ。

　「Ransomware Defenderは2022年3月時点で世界1200社の導入実績があり、特にAirGapを機能強化する点が高く評価されています。ある欧州企業がランサムウェアに侵害されたところ、Supernaの製品を導入していた一部の拠点はすぐに復旧でき、その他の拠点は甚大な損害を被ったとのことです。他にもSupernaは、DR（災害対策）環境のオーケストレーションを担う『DR Manager』やリアルタイム監査を実現する『Easy Auditor』など、PowerScale用の各種ツールを提供しており、それらを組み合わせることで安全性をさらに高めることができるでしょう」（安井氏）

PowerScaleのデータ保護を強化するSupernaの製品群（提供：デル・テクノロジーズ）

効果が分かりやすいRansomware Defender

　国内では、ブロードバンドタワーがPowerScaleとRansomware Defenderの販売を手掛けている。データセンター事業者である同社は、さまざまな企業ニーズに応えるため、セキュリティ製品も幅広く取り扱っている。特に昨今はデータ保護、NASやNASセキュリティの問い合わせが増えており、Supernaのソリューションに注目したとのことだ。

ブロードバンドタワーの八幡剛氏

　「PowerScaleとRansomware Defenderの組み合わせは、標準的な機能のみで強力にデータを保護できます。テスト機能も充実しており、本番データでの検証が容易なことも、私たちにとっては大きなポイントです。効果が分かりやすく示されるので、お客さまも選定しやすいと好評です」と、ブロードバンドタワーの八幡剛氏（技術本部 テクニカルセールスグループ フェロー）は述べる。

　八幡氏はRansomware Defenderの機能を検証し、「脅威の検知からスナップショットの取得までの時間が非常に短いところに驚きました」と話す。「データもいろいろと悩むことなくすぐ戻すことができ、素早くビジネスを復旧できる点が望ましい。周辺システムと連携するスクリプトの開発や『Active Directory』との連携設定が容易で、インテグレーションにかかる労力が小さく済みます」と高く評価している。

Ransomware Defenderの画面イメージ（提供：デル・テクノロジーズ）

　ブロードバンドタワーは長くPowerScaleを扱っており、既に50PB（ペタバイト）規模のデータ保管を支援している。さまざまな用途、規模で用いられるNASで、多種多様なデータが格納されているという。

　「PowerScale自体は極めて堅牢（けんろう）なシステムですが、新たに格納されるデータまで面倒を見られるわけではありません。それだけに、総合的なセキュリティ製品が強く求められています。ブロードバンドタワーは各種Superna製品も取り扱っており、サービス全体の構築を支援しています。PowerScaleを含めて日本語サポートが充実しているので、安心してご利用いただけます。セミナーやデモンストレーションなどにも対応していますので、ぜひご相談ください」（八幡氏）