ランサムウェア被害からの早期復旧策は本当に「高い」？ リスクから逆算する投資の妥当性：バックアップとネットワークの融合が、事業継続を左右する

ランサムウェア被害は深刻化し、入り口防御だけではシステムを守り切れない。打開策は「秒単位の復旧」とネットワーク制御を連動させ、侵入後の被害を最小化する新たな多層防御のアプローチだ。確実な復旧と事業継続を両立させる手法を、専門家と考える。

[PR／＠IT]

　多くの企業がセキュリティ対策を強化しているにもかかわらず、なぜランサムウェア（身代金要求型マルウェア）攻撃による被害は後を絶たないのか。従来の入り口防御だけでは防ぎ切れない現状をどう打破すべきか。SB C&Sの“セキュリティソムリエ”である遠藤宗正氏、そして日本ヒューレット・パッカードの國分功氏と森田健介氏が、ストレージ、バックアップ、ネットワークといった多角的な観点から議論した。侵入を前提とした「早期復旧」を軸に、被害を最小限に抑えて事業継続性を高めるアプローチを探る。

※以下、敬称略

攻撃者の「コスパ」を悪化させよ

――昨今のサイバー攻撃の傾向や、ユーザー企業が直面している課題について専門家としてどのように考えますか。

遠藤宗正氏（SB C&S ICT事業本部 ネットワーク＆セキュリティ推進本部 セキュリティソムリエ課 課長）

遠藤　ランサムウェア攻撃が収束しない要因は、攻撃側にとってコストパフォーマンスが良いからだと考えられます。対策の鍵は、いかに攻撃者の手間を増やしてコスパを悪化させるかという視点です。

森田　サイバー犯罪はすでに「ビジネス化」しています。「Ransomware as a Service」（RaaS）の普及で実行のハードルが下がって、サプライチェーンを狙う攻撃も増えています。防御側には厳しい状況が続いています。

　対策の要としてバックアップは不可欠です。被害を前提とした上で、確実にデータを保護する仕組みと、ネットワークの可視化を組み合わせる、総合的な対策が求められています。

遠藤　多くの企業がバックアップシステムを導入していますが、バックアップを取得しただけで安心してしまい、「正常に復旧できるか」を十分に検証しているところは多くない印象です。有事の際に数日単位のダウンタイムが生じることは、事業継続において重大なリスクと言えます。

身代金を払わないならば――ビジネスを止めない「早期復旧」

――ランサムウェア被害時に、身代金を支払わずに事業を継続するには、どのような復旧体制を築くべきでしょうか？

國分功氏（日本ヒューレット・パッカード パートナー営業統括本部 ストレージ営業部 パートナービジネスマネージャー）

國分　身代金を支払わずにシステムを正常化するには、確実なバックアップと、それを正しく戻せる環境の確保が前提です。

森田　バックアップデータの棚卸しも重要です。「最優先で守るべきIT資産はどれか」を見極めずに全てのデータを保護するのは現実的ではありません。資産の重要度を整理して優先順位を付けることが、効率的なデータ保護の第一歩です。

遠藤　3個のデータコピーを、2種類の異なるストレージ媒体で、1カ所は本番拠点と異なる遠隔地に保管する。この「3-2-1ルール」がバックアップの基本ですね。現在はさらに「イミュータブルストレージに保管。またはエアギャップ（ネットワークからの物理的な隔離）方式のストレージに保管」と「復旧時のエラーゼロを確保」を加えた「3-2-1-1-0ルール」が提唱されています。これを自力で構築して運用する負担を考えれば、検証済みの製品やサービスを有効活用するのが現実解でしょう。

國分　継続的データ保護（CDP）製品の「HPE Zerto Software」は、5〜10秒の非常に細かい単位で復旧ポイントを保持します。異常検知のタイミングさえ分かれば、数日前や数時間前という単位ではなく、「被害に遭う数秒前」の状態にピンポイントで復元可能です。

　データ保護ストレージ「HPE StoreOnce Systems」は、イミュータブルバックアップやWORM（Write Once Read Many）の機能を備えています。加えて、独自プロトコル「HPE StoreOnce Catalyst」によってネットワークから論理的に隔離された環境（論理エアギャップ）を構築して、ファイルシステム層への直接攻撃を回避してデータを守ります。

本当の「継続的データ保護」とは

遠藤　私はベンダーフラットに製品を比較してお客さまに最適な製品を提案する立場にあります。その視点からあえて伺いますが、「数秒前に戻す」という機能だけを見れば、他社製品でも実現できますよね？

國分　肝要なのはデータロスを最小化する“真のCDP”をアーキテクチャレベルで実現させられるかどうか、だと考えています。一般的なバックアップ製品は数時間おきの「スナップショット」をベースにするため、復旧時は相応のデータロスが生じます。HPE Zerto Softwareはブロックレベルでデータを常時同期するため、数秒単位の復旧ポイントの作成と秒分単位での復元が可能なのです。

森田健介氏（日本ヒューレット・パッカード APACソリューションセールス プリセールス コンサルタント）

　加えてHPE StoreOnce Systemsには、不変性（イミュータブル）とWORM機能を持たせることで、社内の人間による不正なデータ消去や改ざんからもデータを保護できる点が強みです。米国国立標準技術研究所のデータ破棄標準「SP 800-88 Rev.2」にも準拠しています。

森田　現場の担当者やCISO（最高情報セキュリティ責任者）が有効性を認めても、経営層の承認で足踏みするという話はよく聞きます。セキュリティ対策への投資を検討する際は、「事業が1日停止した場合の損害額」を具体的に試算すべきです。潜在的なリスクと対策費用を比較することで、投資の妥当性が明確になります。

國分　インシデント発生時には、システム復旧費用にとどまらず、弁護士費用、広報対応費用、商品の出荷停止に伴う在庫への影響など、甚大なコストが発生します。被害がどれほどの影響範囲に及ぶのか、復旧に向けてどれだけの人が動くのかを計算すれば、「復旧を早め、損失を最小化するための備え」への投資は決して高くないとお分かりいただけるはずです。

統合管理とAI技術で「面」を守る

――ネットワーク領域における、HPEのセキュリティ戦略についても伺えますか。

森田　従来はユーザー企業の組織構造として、ネットワーク担当とセキュリティ担当の部署が分かれていることが一般的でしたが、異常検知時の対応に時間を要する課題がありました。しかしながら、ネットワークとセキュリティの部署が一元管理を求めるケースは徐々に増えています。弊社が長年提供している統合管理基盤により、迅速なインシデント対応が可能になります。

遠藤　HPEは2023年にAxis Securityを買収して、今やクラウドセキュリティ領域の製品ラインアップも充実させていますね。これらと既存のネットワーク製品との連携は、どのように進化していますか。

森田　局所的なセキュリティではなく、ネットワーク全体を面と捉えたセキュリティを進めています。HPE製品内の連携はもちろんのこと、他社製品との連携も重要視しており、例えば他社SASE製品ともVPNの暗号化プロトコル「IPsec」でセキュアに接続可能です。

　ネットワークとセキュリティの運用管理ツールには「HPE Juniper Networking Mist」や「HPE Aruba Networking Central」があり、AI機能の強化に努めています。ユーザー体感を重視して、セキュリティレベルが高い安心で快適なネットワーク環境の提供を進めています。

遠藤　バックアップとセキュリティ製品の連携についてはいかがでしょうか。

國分　HPE Zerto Softwareは、CrowdStrikeの同名EDR製品や、HPE Aruba Networking CentralのIDS／IPS（不正侵入検知／防止）が検知した「不審な挙動のタイムスタンプ」をAPI経由で取り込めます。これにより、攻撃が本格化する直前のクリーンな状態を特定してスムーズに復旧できます。同様の機能連携はHPE Networkingブランド内で順次拡大する予定です。秒単位の復旧ポイントを持つHPE Zerto Softwareと、高度な検知アラートを組み合わせることで、より確実な事業継続体制に寄与します。

森田　復旧においてもう一つ重要なのは、データを戻した瞬間に同じ脆弱（ぜいじゃく）性を突かれないようにするために、攻撃を受けた原因を調査することです。Juniper SRXシリーズは未知なる脅威に対してインラインで高速に防御できるAI/MLモデルを搭載し、攻撃を受けた後も、お客さまの環境に合わせたカスタムシグネチャを即座に自動作成する機能があります。

國分　マルウェア感染したデータや、暗号化されたデータを含めた状態でシステムを復旧してしまうことも避けなければいけませんね。HPE Zerto Softwareには復旧させたい仮想マシンを安全な隔離環境で立ち上げ、中身を事前に確認できる機能があります。秒単位で復旧ポイントを選べる強みを生かして、確実にクリーンな状態かどうかを確認してから復旧することは重要です。

「ランサムウェア対策＝EDR」とは限らない

――世間では「セキュリティ対策といえばEDR」という風潮がありますが、専門家の視点ではいかがでしょうか。

森田　エンドポイントセキュリティはもちろん重要ですが、近年は攻撃者がEDR自体のプロセスを無効化させて検知を逃れる例もありますから、ネットワーク層での検知・遮断との組み合わせは不可欠です。Juniper SRXシリーズは、従来のIPS、アンチウイルス、URLフィルタリング、サンドボックス、脅威インテリジェンスに加えて、AI/MLモデルの次世代検知エンジンの機能を駆使して、脅威が内部に到達する前に自律的に遮断します。

國分　私は情報セキュリティに関する国際規格ISO27001の内部監査員としても活動しています。その経験から申し上げると、セキュリティ対策はツールを導入して終わりではありません。リスクアセスメントを通じてIT資産に優先順位を付け、重要度に応じた適正な予算を配分するという戦略的な視点が求められます。

遠藤　業種や業態によっても、守るべき資産や許容できるダウンタイムは異なります。事業継続を最優先に考えたとき、HPE製品群の多層的な組み合わせは、合理的で強力な選択肢になるでしょう。私たちSB C&Sはディストリビューターとして、お客さまごとに異なる最適解を共に見つけ出し、伴走支援いたします。