費用対効果の高い「ランサムウェア対策としてのバックアップ」を実現するための3要件とは:バックアップデータが侵害されるケースも頻発
高度化、巧妙化するサイバー攻撃が頻発する中、データを暗号化して、金銭的脅迫をするランサムウェアが猛威を振るっている。従来はバックアップを取得することが対策の定石だったが、昨今はバックアップデータ自体が狙われることもある。現実的かつ費用対効果の高い施策を実施するにはどうすればよいのか。
「攻撃を受けたかどうか分からない」――高度化、巧妙化する攻撃に立ち向かうには
サイバー攻撃は年々高度化、巧妙化し、情報漏えいなどの事件・事故が頻繁に報道されている。企業の危機意識は高まっているが、昨今は攻撃されたことにさえ気が付かないケースも増えつつあるようだ。
例えば、@IT編集部が例年実施している読者調査でも「標的型攻撃や不正アクセス、不正ログインを受けたことがあるか」との質問に対し、「攻撃があったことを認識している」という層は全体の34%。「攻撃を受けたらしいが、詳細は分からない」「攻撃を受けたかどうか分からない」と答えた層は計21.8%に上り、「受けたことがない」「答えられない」を合わせると、過半数が「攻撃や被害の有無を明確に認識できていない」ことが明らかになった。
一方、「ランサムウェア攻撃の被害を受けたことがあるか」との問いに対しては、「不明」という回答が75.1%もあった。
この調査結果は、企業側のセキュリティ意識や対策レベルの問題だけでは片付けられない、攻撃の高度化、巧妙化という現実を象徴していると言えるだろう。これに対して、「攻撃を受けることはもはや前提です」と指摘するのは、富士通の伴氏(データシステム事業部)だ。
「ランサムウェア攻撃はビジネス化しており、さまざまな経歴を持つ攻撃者が参加し、役割も分業化されています。攻撃対象としても、成功させやすさ、身代金の支払われやすさなどの観点から、規模や業種を問わずターゲットにされています。攻撃の高度化、巧妙化が進む中、従来のような境界型防御では対抗できない、攻撃を認識することすら難しいといった状況になっているのです」(伴氏)
だが、こうした状況を受けて対策を考える際には「セキュリティ対策とデータ保護の両面で捉えることが肝要です」と、伴氏は強調する。
「企業にとってデータは生命線です。特定の箇所、特定のレイヤーだけで攻撃を防ぐことが不可能である以上、『侵入されても、いかに事業への影響を抑えるか、迅速に復旧できるか』と考えることが重要です。このためには、攻撃をいつ受けたか検知する仕組み、バックアップによってデータを保護する仕組み、正しいデータを迅速に戻す仕組みなどが求められます」(伴氏)
バックアップがあってもランサムウェア対策としては全く役立たない場合も
とはいえ、単にバックアップを取得しておけばデータを守れるというわけではない。周知の通り、近年はバックアップデータを含めて暗号化するランサムウェア被害を受けている実態もある。富士通の正木氏(データシステム事業部 マネージャー)はこう話す。
「従来より、災害対策・障害対策や保存の目的でデータをバックアップすることは一般的です。しかしこれができていたとしても、昨今ランサムウェアなど悪意のある攻撃を受けた場合は『バックアップデータをリストアしたら、既に暗号化されたデータが復元されてしまった』ということも起こり得るのです」(正木氏)
前述のように、多くの企業にとってサイバー攻撃の認識は難しい状況だ。気が付かないうちにデータが暗号化され、企業はそれをそのままバックアップしてしまうわけだ。また、高度なマルウェアには潜伏期間があり、自ら鳴りを潜めることで検知をかいくぐる。この場合、その間により多くのデータが暗号化され、バックアップされていくことになる。
「問題は、被害に遭った際に『どの時点のバックアップを戻せばよいか』の判断が難しいことです。いつ侵入されたか分からなければ、場合によっては数カ月前のデータまで感染していないかどうかを確認する必要があります。この作業には膨大な手間と時間がかかります。また、ほとんどの企業ではデータの重要度に応じてバックアップ頻度を変えているため、場合によっては数カ月前のデータが残っていないということもあります」(正木氏)
バックアップが「障害時/災害時の復旧対策」としてのみ位置付けられ、セキュリティ対策の観点がない場合、事態は難しくなる。一般に、障害対策としてのバックアップ保存期間は2〜3週間だ。一方、侵入したマルウェアを検知できるまでの平均日数は200日程度。バックアップを取得していてもランサムウェア対策としては役立たない可能性が高いのだ。
ランサムウェア対策としてのバックアップに必要な「3つの要件」とは
では、どのようにバックアップを設計、運用すべきか。それには、3つの要件があるという。
1つ目の要件は、バックアップを不正なアクセスから守りながら、長期保存できるようにすること。2〜3週間分のバックアップではなく、数カ月分、必要に応じて半年〜1年分のバックアップを取得できるようにする。もちろん、バックアップ自体を暗号化されないようにすることも必須要件となる。
2つ目の要件は、侵入された時期を特定し、どの時点のバックアップまでさかのぼればよいのかを素早く判断できるようにすること。ランサムウェアがセキュリティ対策を擦り抜けてきた場合も、データに問題が発生すれば検知できる仕組みを整備する。
3つ目の要件は、高速なリストアを実施できることだ。復旧作業をできる限り短くしてビジネスへの影響を最小化する。
「ただし、こうした観点でランサムウェア対策を講じようとすると、さまざまな課題に直面します。バックアップのコストをどうするか、災害対策やセキュリティ対策とどう連携させるかなどです。そこで提案しているのが、データを守る“最後のとりで”となるストレージテクノロジーで実現するランサムウェア対策を意識したバックアップによるアプローチです。3つの要件をストレージの機能として提供することで、追加コストを抑えながら、将来にわたって通用するランサムウェア対策を迅速に実施できます」(伴氏)
自律型ランサムウェア対策機能を搭載した「ETERNUS AX/HX series」
上述した3つの要件を満たすストレージとして、富士通が提供しているのが「Fujitsu Storage ETERNUS AX/HX series」だ。ETERNUS AX/HX seriesは「インテル® Xeon® スケーラブル・プロセッサー」を搭載し、デュアルプロセッサーによって高い処理性能と信頼性を実現。また、多数のユーザーと豊富な実績、信頼性を誇るストレージ専用のOSである「ONTAP」を採用することで優れたデータ保護機能を提供する。
「ETERNUS AX/HX seriesは、データおよびストレージシステムそのものへの不正アクセスを防ぐとともに、データの世代管理が可能なスナップショット機能、自律型ランサムウェア対策機能などを備え、セキュリティ対策とデータ保護を連携、高度化することができます」(正木氏)
ETERNUS AX/HX seriesの特徴の一つは、優れたスナップショット機能「Snapshot」と、高速リストア機能「SnapRestore」にある。
「Snapshotは、データを誤って改変したり、削除したりしてしまった場合の復旧に役立ちます。ボリューム単位で1023世代を取得できるため、例えば『1日2回実行して約1年半分を保持する』といった運用でも十分過ぎるほどです。さらにSnapRestoreにより、ファイル単位でもボリューム単位でも瞬時にデータを戻すことができます」(正木氏)
もちろん、ETERNUS AX/HX seriesはコスト効率も高い。
「例えば、『バックアップを10世代分取得する』と言うと、『10倍のストレージ容量が必要なのか』と思われるかもしれません。しかし、ONTAPのSnapshotは独自のデータ保持の仕組みによりデータを効率良く格納します。そのため、ストレージ容量を抑えながら複数世代を保存できます。運用次第では対策コストを追加する必要がありません」(伴氏)
もう一つの特徴は「自律型ランサムウェア対策機能」を搭載していることだ。これは機械学習を利用して、データへのアクセスパターンやファイルのエントロピー(複雑性)を参照することで、ランサムウェアを自動的に検出する機能になる。
「異常な振る舞いが検出されると、Snapshotによって自動的にスナップショットを取得しておき、感染前に限りなく近い復元ポイントをSnapRestoreによって迅速にリストアします。システム管理者には、異常な振る舞いをアラートとして通知することもできます」(伴氏)
Snapshot/SnapRestoreと自律型ランサムウェア対策機能により、バックアップへの不正アクセス防止、バックアップの長期保存、侵入・感染した時期の特定、戻すべきバックアップデータの特定、迅速なリストアまでを、1台のストレージで実現できるというわけだ。
ETERNUS AX/HX seriesとSIerとしての強みで課題解決を包括的に支援
実際、これらの機能は高く評価されており、ランサムウェア被害が拡大する中でETERNUS AX/HX seriesへの引き合いが増加しているという。
中でもミッドレンジクラスの「ETERNUS AX4100/HX6100」は、インテル® Xeon® Silverプロセッサーを搭載し、デュアルプロセッサーによってミッドレンジクラスでも高い処理性能と信頼性を実現し、高いパフォーマンスを発揮する。Snapshot/SnapRestoreを標準搭載し、オプションの自律型ランサムウェア対策機能も利用可能だ。
また、富士通はSIerとしての豊富な経験を基に、ユーザーが抱える課題に応じた提案ができることも強みだ。伴氏は「ランサムウェア対策としてバックアップを高度化する場合、製品の新規導入のために既存システムをどう見直すか、運用・保守をどう再設計するかなどが課題になりがちです」と話す。
「そうした際も、富士通は製品・サービスの提案から設計、導入、運用、保守に至るまでトータルソリューションとして提供できます。今回ご紹介したETERNUS AX/HX seriesのように、ランサムウェア対策に有効な機能を持つ製品を提供するだけでなく、データ基盤全体としてハードウェア、ソフトウェア、クラウドサービスなどとも連携したソリューションも数多くご提供しており、導入実績も豊富です。製品の強みとSIerとしての強みを組み合わせて、お客さまの課題解決に向けて包括的に支援していく考えです」(伴氏)
現在、富士通ではETERNUS AX/HX seriesの特価キャンペーンを実施中だ。ぜひ下記の関連リンクをチェックし、「ランサムウェア攻撃に脆弱なデータ基盤」からの脱却をこの機会に検討してはいかがだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
関連リンク
提供:富士通株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2023年8月15日