なぜ“従来のバックアップだけ”では駄目なのか――Cohesity CEOが「他社被害を解剖せよ」と説く理由:自社もやられたらどうするか?
同業Veritas Technologiesのデータ保護事業を2024年に買収し、データセキュリティ市場での存在感を高めているCohesity。ランサムウェアの脅威が続く中、ユーザー企業は現状のセキュリティリスクをどう捉え、どう向き合うべきか。同社CEOのサンジェイ・プーネン氏に見解を聞いた。
「同じことが自社に起きたらどうするかと、自らに問いかけてみるべきだ」。ランサムウェア(身代金要求型マルウェア)をはじめとしたリスクにさらされる中、企業ではバックアップを含めたセキュリティの在り方が根本的に変わったとし、何が必要かを見直さなければならないと、データセキュリティツールベンダーCohesityのCEO兼社長、サンジェイ・プーネン氏は語る。
2024年に同業の老舗ベンダーVeritas Technologiesのエンタープライズ向けデータ保護事業を買収。事業統合を経て「2年前とは全く異なる会社になった」と語るプーネン氏。ただし大きく変わりつつあるのは同社の事業体制だけではない。
直近でも、米国ではイランが関与したとされる攻撃が政府機関や民間企業を標的にし、中東ではデータセンターへの直接攻撃が発生。日本でも大手メーカーや病院を含め、ランサムウェアの被害が相次いでいる。一方、AnthropicのAIモデル「Claude Mythos Preview」が未知の脆弱(ぜいじゃく)性を大量に発見するなど、AIの進化がさまざまな変化を生んでいる。
2022年8月にCohesityのCEO兼社長に就任するまで、VMwareのCOO(最高執行責任者)やSAPのプレジデントを含め、25年以上にわたってIT業界の経営中枢に立ち、「セキュリティ分野の景観が大きく変遷するのを目にしてきた」とするプーネン氏。企業はサイバーリスクへの備えとして何を念頭に置き、どのような備えをすべきなのか。見解を聞いた。
対応と復旧へ、NISTフレームワークの比重が変わった
プーネン氏はセキュリティにおける3つの転換を挙げる。まず、セキュリティにおいて広く参照される指針としてNIST(米国立標準技術研究所)のサイバーセキュリティフレームワークがあるが、その比重の置かれ方が変わってきたことだ。「これまでは『防御』と『検知』に同じように比重が置かれてきたが、現在では『対応』と『復旧』にも同じように焦点を当てる必要がある」。システムをどう復旧し、ビジネスをどう立て直すかということの重要性が見直されている。
2026年3月に米国では医療機器・医療サービスを提供するStrykerに対する大規模な攻撃があり、同社の79カ国の拠点で端末が一斉に使用不能になった。英国では2025年にMarks & Spencerなど複数の小売業者がランサムウェアの被害に遭った。日本ではアサヒグループホールディングスがランサムウェア攻撃を受け、受注や出荷がまひするなど影響が広く及んだ。
プーネン氏は前例に学ぶことが重要だとしつつ、被害が広範囲に及んだり長期化したりする状況を見ても、復旧のための対策が以前に増して重要になっていることが分かるはずだと強調する。その上で同氏は「必要最低限の実行可能な実体(Minimum Viable Entity)を再構築できる能力を計画の中に組み込んでおくことが望ましい」と語る。いわば「事業継続の最小単位」、あるいは「復旧の起点となる中核機能」を優先的に考えるということになる。
どのような対策が必要なのか
では、企業は対策強化にどう向き合うべきなのか。
プーネン氏はまず、自国で起きた主要なサイバー攻撃の事例を研究する必要があると助言する。GDPの高い民主主義国家である日本はそもそも狙われる傾向にあるため厳重に警戒すべきだとした上で、自国で発生している被害事例は自社にも起き得ることであり、対策を考えるための出発点になるとする。その事例では、どこから侵入を許したのか。なぜ被害が拡大したのか。バックアップがあったのになぜ復旧に時間がかかったのか――。
「結果として同じ結論に至るだろう」(プーネン氏)。例えば一度書き込んだら変更ができない「イミュータブル(不変)バックアップ」や、ネットワークから切り離した隔離保管庫である「サイバーボルト」といったバックアップを守るための対策がある。ID・認証システムの回復力を指す「アイデンティティー(ID)レジリエンス」の強化も必要で、あるいは高速なサイバー復旧体制や事業継続の最小単位といった戦略的な備えも考えなければならない。
サイバーレジリエンスを高める5つのステップ
これらはCohesityが定める“サイバーレジリエンスを高めるための5つのステップ”に含まれるものだが、「そこに含まれる要素がどれも重要だという結論に至るはずだ」と同氏は語る。なお5つのステップは、「保護」(全てのデータを最適に保護)、「強化」(バックアップが常に復旧可能であることを保証)、「対応」(脅威を検知、調査可能にできるようにする)、「実践」(インシデントに対する準備、実践、復旧)、「最適化」(データリスク態勢の最適化)となっている。
データのバックアップを取得する「保護」はあくまで出発点に過ぎない。バックアップが確実に使える状態を維持することや、実践的な復旧体制、データリスクの管理などまで含めて真にレジリエンスを向上させられるということになる。
レジリエンスの考え方について、プーネン氏は病気と闘うことに例える。「ビタミン剤にお金をかけたくない、あるいはワクチンを打ちたくないのであれば免疫が非常に優れていることを願うだけだが、もし本当にひどい病気にかかったらどうするのか。どれくらい早く回復できるのか」と問う。
予防や防御を強化する観点では、「多要素認証」(MFA)を導入する必要があるかもしれないし、侵害されることを想定するとネットワークやアプリケーションの設計を分割したいという結論になることもあるだろう。「身近な事例から学びながら、自社に何が必要なのかを問うことが重要だ」
ゼロトラストの定着
こうして復旧のための対策の重要性が見直される一方で、プーネン氏はサイバーセキュリティ領域の主要企業の中で、「ゼロトラスト」の考え方が定着したことも大きな変遷の一つだとする。クラウド利用が普及し、また働く場所も多様になった今、かつてのように「社内ネットワークの内側は安全」という境界防御の概念は通用しない。
何者であっても検証されるまでは信頼しないとする考え方は今、人間だけでなく、AIエージェントによるアクセスなど「非人間ID」の領域へも広がろうとしている。
AIにどう備え、バックアップデータをどう活用するか
3つ目の転換としてプーネン氏はAIの影響を挙げる。AIは優れたものを生み出す強力な武器になる一方で、攻撃者にとってもそれは変わらない。
企業が今後想定しておく必要があるのが、AIエージェントがもたらすリスクだ。プーネン氏はAIエージェントを「非人間ID」として捉え、アクセス管理と監視の対象とすべきだとした上で、そうしたAIエージェントの挙動がもたらし得る事態に備えなければならないと指摘する。
例えば侵害されたAIエージェントが悪意を持ってデータを削除した場合、バックアップから対象のデータを復旧する必要がある。AIエージェントが通常のアプリケーションと同じように状態(State)を持っている場合も、障害や侵害のあったAIエージェントを信頼できる状態へと戻すためのレジリエンスが求められる。こうした事態への対策の一例として、CohesityではService Nowなどとの連携の下で、通知を受けて正常な状態へ戻すための仕組みを構築している。
一方で、特にOSS(オープンソースソフトウェア)を中心に、コード内のさまざまな脆弱性をスキャンすることにおいてAIは非常に強力なツールになり得る。Anthropicの非公開のAIモデル「Claude Mythos Preview」では、長年にわたって発見されなかった「OpenBSD」の脆弱性を発見するなどその能力の高さが報告され、積極的に活用しようとする機運が高まっているのはその一例だ。半面、悪意のある形で使われた場合の危険性が指摘されてもいるのは周知の通りだ。
バックアップデータにもたらす新たな価値
バックアップデータといえば、いざ復旧が必要となったときのために保管しておくもので、保険のような位置付けだったが、AI技術はそのデータに新たな価値をもたらしてもいる。
例えば1億件の契約書がPDFファイルとしてバックアップされているとして、それを単にバックアップとして持っているのではなく、データとして有効に活用できるようになってきた。生成AIアシスタントである「Cohesity Gaia」を介して自然言語で質問を投げ掛け、バックアップデータから必要な情報を検索したり、要約したり、分析したりできるようになっている。「バックアップデータを分析用データレイクとして使用できるというのはこれまで例のなかったこと」(プーネン氏)だ。なおこの仕組みの構築においてはNVIDIAがCohesityに投資している。
Veritas統合で「2年前とは別の会社」に
Cohesityは2024年にVeritas Technologiesのエンタープライズ向けデータ保護事業を買収し、統合した。2013年創業のCohesityは、もともとはバックアップを含むセカンダリーデータの管理基盤から始まり、データセキュリティやAIを取り入れた検知、分析などの領域で強化を図ってきた。そこに「NetBackup」などで知られ、グローバルでかつミッションクリティカルな領域で展開してきたVeritas Technologiesのデータ保護製品群が加わった。プーネン氏は「市場シェアでは最大になった」とし、データ保護、データセキュリティの分野で追われる立場となっている。また売上高の比率は「以前は80%が北米で、20%が海外だったが、統合後は海外比率が50%になった」として、「2年前とは全く異なるCohesityになった」と語る。
目下、ユーザー企業はランサムウェアによるビジネス停止に追い込まれるリスクにさらされ続けている。昨今の相次ぐ被害事例は、データやシステムがそれだけ事業に密接に結合し、またそれだけに攻撃者にとっても狙う意味のある対象になっていることを表しているとも言える。「GDPの高い民主主義国家はどこであろうと狙われる傾向にある。日本もその通りだ」(プーネン氏)。それを自覚しつつ、「同じことが自社に起きたらどうするか」(同)を想定し、自社の復旧対策が現状のリスクに見合ったものになっているかどうかを見直さなければならない。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
前橋赤十字病院、「ランサムウェアは防げない」前提の“医療を止めない”データ復旧を整備
医療機関を標的としたランサムウェア攻撃が国内外で相次いでいることを踏まえ、前橋赤十字病院はバックアップと復旧、脅威検知などの対策を導入し、サイバーレジリエンスの体制を見直した。
暗号化は外部サーバで WantToCryが示した“EDR検知回避型”ランサムの次段階
SMB通信しか使わない侵入手法でファイルを暗号化する新型ランサムウェア「WantToCry」が確認された。EDRを擦り抜けるその手口は、従来の「検知前提」の対策を揺さぶり始めている。公開SMBを抱える企業は、既に標的リスト入りしているかもしれない。
「EDR無効化」「暗号化はしない」 2026年のランサムウェアに起きた変化
もはや「暗号化」は必須ではない。ランサムウェア攻撃が“データを人質に取る”新フェーズに突入した。支払い率の低下で攻撃者が選び始めた次の稼ぎ方とは。EDR無効化や量子耐性暗号まで導入される中、防御側の常識も揺らぎ始めている。
そのランサム被害の原因、本当にVPN? 「6割が侵入経路不明」の今、管理対象を勘違いしないためのポイント
2026年3月4日、「ITmedia Security Week 2026 冬」の「アタックサーフェス管理」セクションで、パネルディスカッション「やっぱり対象領域は明らかにしないといけないから」が行われた。
「90日間ログ保持」はもう古い VPNの脆弱性やActive Directoryを悪用するランサムウェアの実態と対策
Mandiantは年次レポート「M-Trends 2026」を発表した。2025年に実施した50万時間以上のインシデント調査では、サイバー犯罪の分業化と連携の進展により、初期アクセスから攻撃実行グループへの引き継ぎ時間が2022年の8時間超から2025年には22秒に短縮されたことが明らかになった。