IT業界の新人必見!インフラ知識が学べる
  1. TOP
  2. Lv.3_バックアップをもっと学ぶ人が読む記事
更新日:2023-10-02
Level 3 バックアップをもっと学ぶ人が読む記事

第1章 ランサムウェア対策編

セキュリティソフトを入れたり、ただデータのコピーを取っているだけで「ランサムウェア対策」をしたつもりになっていませんか?
100%侵入阻止するセキュリティはありません。いざ復旧する時、従来のやり方で取ったバックアップデータが必ず使えるとも限りません。
日々攻撃性を増す最新のランサムウェアから大事なデータを守るためには、今までの古いやり方では超危険!
手遅れになる前に本記事を読んでできる限りの対策を講じましょう。

  1. ランサムウェアって何者!?
    1. ランサムウェアは犯罪ビジネス
    2. 暗号化型/二重恐喝型
    3. 身代金を支払うとデータは復旧できる?
    4. ランサムウェアビジネスの実態
    5. ランサムウェア攻撃回数は、平均4回!
  2. ランサムウェア2大防御策① 感染前のセキュリティによる対策
    1. 超基本!NISTのサイバーセキュリティフレームワーク
  3. ランサムウェア2大防御策② 感染後のバックアップによる対策
    1. バックアップデータも攻撃対象!必要なのは、バックアップシステムを保護する仕組み
  4. バックアップツールを導入する前に
    1. まず最初にやってほしい!お金をかけずにできる侵入防止対策
    2. 侵入しやすい/侵入しにくいOS
  5. 製品選定ポイント① データ保護&防御機能
    1. 書き換え不可にするイミュータブルバックアップ機能
    2. データ保護機能/防御機能
  6. 製品選定ポイント② 検知機能
    1. IOC(痕跡情報)とIOB(ふるまいの痕跡)
    2. ラグが生じるとヤバい!検知のタイミング
    3. 改ざんされてないことを保証するブロックチェーン
    4. 感染通知機能
  7. 製品選定ポイント③ データ復旧機能
    1. 隔離環境を作るサンドボックス(sandbox)/エアギャップ
    2. 安全な復旧ポイントをお知らせ!レコメンド機能
    3. 脆弱性診断&パッチ管理/レポート機能
    4. 復旧範囲(ファイル単位/ボリューム単位/システム単位)も要チェック
    5. 高速でVMを復旧!インスタントリカバリ
  8. 製品選定ポイント④ バックアップデータの保存先
    1. バックアップデータを分散しよう(D2D2T方式)
    2. 大事なデータを守るための指標 「3‐2‐1ルール」
  9. 製品選定ポイント⑤ サポート体制
    1. SOC(セキュリティ・オペレーション・センター)
    2. コストを抑えるために…あなたの企業に最適なライセンス体系は?
    3. 一番大事なのは「確実に安全なポイントまで戻せること」
    4. バックアップソフトだけじゃない!SaaS型のバックアップサービスやバックアップアプライアンス

ランサムウェアって何者!?

mamoru_bikkuri.png
城宝 守
ぎゃーっ!
博士~助けてください…メールに添付されたファイルを開いたら、
ほかのファイルが開けなくなって、変な警告メッセージが表示されちゃいました…
warning
バックアップ博士
バッカモン!!
不用意に怪しいメールに対応するからじゃ!これはランサムウェアに感染してしまっているな。
hakase_angry.png
mamoru_cry.png
城宝 守
ラ、ランサムウェアに!?
どうしたらいいんでしょうか…
バックアップ博士
まったく、ちょっとは成長したと思ったら…
どれどれ、安全なバックアップデータからリカバリして…
ほれ、これで元通りじゃ。
hakase.png
warning
mamoru_ureshii.png
城宝 守
ありがとうございます、博士!
なんだ、案外かんたんにデータ復旧できるんですね、よかった!
バックアップ博士
反省の色が見えないようじゃから、ランサムウェアとその対策のためのバックアップについて、ちゃんと説明しておこう。
今わしがデータを安全に戻せたのも、バックアップによる対策をしっかり実践していたおかげじゃ。
hakase.png

ランサムウェアは犯罪ビジネス

mamoru_nayami.png
城宝 守
ランサムウェア対策のためのバックアップ?
博士、そもそもランサムウェアって具体的に何をしてくるのでしょうか?
名前はよく耳にするけど、いまいちよくわかっていません。
バックアップ博士
うむ。
残念なことに、日々進化を続けるランサムウェアの脅威は、多くの企業から注目されているな。今や “ビジネス” として展開されている面もあり、犯罪集団が組織化しておる。
hakase.png
warning
mamoru_bikkuri.png
城宝 守
犯罪者たちもどんどんずる賢くなっているんですね…

暗号化型/二重恐喝型

バックアップ博士
守くんが被害を受けたように、ランサムウェアはストレージのデータ暗号化やバックアップデータの削除を主たる攻撃とし、「暗号化を解除したければ身代金をよこせ」と脅してくる。 ランサム(身代金)ウェア(マルウェア)と呼ばれる由縁じゃな。
hakase.png

暗号化型

データを暗号化し、復号キーと引き換えに身代金を要求する。バックアップデータがなければ事業停止のリスクあり。

encryption
バックアップ博士
さらに最近では、
データの身代金に加えて、暗号化される前にコピーしたデータを 「オンラインで公開するぞ」と脅して金銭を要求する、二重恐喝(ダブルエクストーション)なんていう手口もある。
hakase.png

二重恐喝型

データを暗号化しつつ、暗号化前のデータをコピーし外部へ持ち出し、復号キーおよびデータの外部流出と引き換えに身代金を要求する。人質となるデータが個人情報であれば社会的信用を失うことに。

double

身代金を支払うとデータは復旧できる?

mamoru_bikkuri.png
城宝 守
恐ろしい…!
そもそも、身代金を渡したからってデータの復号キーは本当にもらえるのかな?
そんな悪いやつらは、身代金ネコババしたまま逃走しそう…
バックアップ博士
最近の傾向では、復号キーはもらえる可能性が高いとされている。犯罪者集団もやはり“ビジネス”と捉えているからのう。
ただし、万が一復号キーをもらえても、バグで復元できないケースがある。特に日本語はダブルバイトと呼ばれる2バイト/文字の言語だから、バグなどが発生しやすいんじゃ。
また、数千万~数億円の高額を請求してくることも少なくない。そしてそのお金は犯罪者集団の資金となり、さらに悪質なマルウェアを誕生させたり、組織を巨大化させたりして悪循環してしまう。
hakase.png
expensive
バックアップ博士
詳しい額や件数に関しては、警視庁やIPA(情報処理推進機構)がまとめているデータもあるから、 「ランサムウェア 被害額」などで検索してみるとよい。
hakase.png
police

ランサムウェアビジネスの実態

mamoru_nayami.png
城宝 守
あとで検索してみよう。…あれ?でも、お金を渡す方法は?
振込先がわかれば、犯人の素性もすぐバレて懲らしめられそうですけど…
atm
バックアップ博士
たとえば、仮想通貨で送金を要求してくるケースなどが多い。
海外の取引所などを複数使ってマネーロンダリング(資金洗浄)し、履歴を追えなくすることで、逃げ切ろうとするわけじゃな。だから彼らはなかなか尻尾を出さない。
hakase.png
laundering

ランサムウェア攻撃回数は、平均4回!

バックアップ博士
ちなみに、ランサムウェアによる攻撃回数は平均どのくらいだと思う?
hakase.png
mamoru_bikkuri.png
城宝 守
えっ… 一回で終わりではないんでしょうか!?
バックアップ博士
“ビジネス” として展開している犯罪者たちが、一回で終わらせようとするはずがないんじゃ。ランサムウェアによる攻撃は、平均で実に4回にものぼる。ということは守くんも、あと3回は狙われる可能性が高い。
hakase.png
attack
mamoru_cry.png
城宝 守
ひええー!
早くちゃんと対策しなくちゃ!

ランサムウェア2大防御策① 感染前のセキュリティによる対策

バックアップ博士
ランサムウェアの被害を食い止める対策としては、大きく2つある。
守くん、どんな方法があるかわかるかな?
hakase.png
mamoru_nayami.png
城宝 守
うーん。
まずはやっぱり、そもそもの感染を防ぐことが大切ですよね?
バックアップ博士
正解じゃ。
ここは、セキュリティベンダーの頑張りどころでもある。少しずつ強化を図るバックアップベンダーも増えてきてはいるが、正直すべてをバックアップ側で提供することは難しい。
だから、まずはセキュリティ強化による対策が重要というわけじゃ。
hakase.png
mamoru_kangaechu.png
城宝 守
具体的にはどうすればいいんですか?

超基本!NISTのサイバーセキュリティフレームワーク

バックアップ博士
基本的には、NIST(ニスト) *⑴が提示するサイバーセキュリティフレームワークの「コア(Core)」に則った対策が望ましいとされておる。

*⑴NIST…National Institute of Standards and Technology:米国国立標準技術研究所

hakase.png
mamoru_niyari.png
城宝 守
NISTのフレームワークは知っています!
大きく『識別』 『防御』 『検知』 『対応』 『復旧』の5つに分類された、セキュリティの指針ですよね!
NIST
バックアップ博士
うむ。 セキュリティもちゃんと学んでいるようじゃな、感心感心。
NISTのフレームワークは世界中で活用され、セキュリティ構築に非常に役立っている。しかし!それでもランサムウェアを100%防御することは難しい
なぜなら、ランサムウェア含むサイバーアタックは、日々進化しているからじゃ。
hakase.png
mamoru_nayami.png
城宝 守
そうか…
どんなに技術が発達しても、攻撃者も進歩してしまうから、完全に防ぎきることは難しいんですね。
バックアップ博士
そうじゃ。 そして、この考え方は非常に重要でもある。
未然に防ぎきることは難しく、『どんなに整備しても、完全防御は不可能で感染の可能性がある』 と頭に入れておかなければ、万が一感染してしまった後の対策つまりバックアップがおろそかになってしまう。
hakase.png
virus
バックアップ博士
事前防御自体も絶対に外せない要素ではあるが、今回は時間がないので詳しい解説は割愛じゃ。
セキュリティに関して詳しく聞きたいなら、わしの親戚であるセキュリティ博士のところに行って聞くとよい。
hakase.png
hatena
mamoru_bikkuri.png
城宝 守
セキュリティに詳しい博士みたいな人がいるってこと!?
き、気になる…

ランサムウェア2大防御策② 感染後のバックアップによる対策

バックアップ博士
先ほども伝えたが100%未然にランサムウェアを防ぐことはできないとなると、
2大防御策のあとひとつがなにか、覚えておるか?守くん。
hakase.png
mamoru_ureshii.png
城宝 守
はい!
万が一感染してしまった “後” の、バックアップによる内部対策ですね!
バックアップ博士
そのとおり!
万が一の際のデータ復旧と、被害の拡大防止が重要となる。
では、ここでもうひとつ質問じゃ。ランサムウェアに狙われやすい場所は、どんなところが考えられると思うかの?
hakase.png
mamoru_kangaechu.png
城宝 守
それはやっぱり “データを置く場所” として、ストレージが狙われるんじゃないでしょうか?
バックアップ博士
それももちろん正解じゃ。
ランサムウェアはデータの改ざんや削除、盗難をしてくるわけだから、ファイル単体やボリューム、あるいは仮想マシンといったストレージボリュームが狙われやすいというのは、容易に想像できるじゃろう。
でも、万が一攻撃がなされ、バックアップからデータを戻したいとき、そのバックアップデータも感染していたらどうする?
hakase.png
server1
mamoru_bikkuri.png
城宝 守
あっ、そうか!
バックアップデータ自体も、ランサムウェアの脅威から守らなきゃいけない
ってことですね!

バックアップデータも攻撃対象!必要なのは、バックアップシステムを保護する仕組み

バックアップ博士
うむ、そういうことじゃ。
ただそれだけじゃないぞ!ストレージ領域やバックアップデータそのものを守ることはもはや当たり前で、それは攻撃者も同じ認識じゃ。
そのため、最近ではバックアップサーバー自体が狙われるケースも少なくない。
今や可能な限りの防御をしたうえで、ストレージ領域、バックアップデータ、バックアップサーバー自体の3点の保護も含めて、ランサムウェア感染前にどう対策しておくかを考えなければならん。
hakase.png
backup
バックアップ博士
ちなみに、当然これはオンプレミス、あるいはクラウドどちらかに限った話ではない。
セキュリティはもちろん、管理の面から見たときにも、オンプレミス・クラウド両方の対策が単一コンソールでできるかも重要じゃな。
hakase.png
server2
mamoru_kangaechu.png
城宝 守
うーん、
考えることが多そうですね…
バックアップ博士
そんなに複雑に考える必要はない。“あるべき場所に、ただしくデータを戻す”
脅威が迫ろうと、この基本的な考え方があれば大丈夫じゃ。
hakase.png

バックアップツールを導入する前に

mamoru_ureshii.png
城宝 守
でも博士、
なんとなくわかってきました!
バックアップデータも守れるようなバックアップソフトを導入すればいいということですね!
バックアップ博士
まだまだ序の口じゃぞ。
ソフトウェアの機能に頼り過ぎてはいかん。データを守るだけではなく、バックアップという “システムそのもの” をどう守るかを考えるんじゃ。
hakase.png
mamoru_bikkuri.png
城宝 守
ただ導入すればいいだけじゃないんだ…

まず最初にやってほしい!お金をかけずにできる侵入防止対策

バックアップ博士
そうじゃ。
ここからは導入するうえで何を重視すべきかを教えよう。
その前に、 『お金を十分にかけなくても、できる対策はたくさんある』 ということをまずは知ってほしい。バックアップサーバーで今すぐ取り組めることといえば、どんな内容が考えられるかのう?
hakase.png
mamoru_tehe.png
城宝 守
うーん、バックアップサーバーを押入れに隠すとかですかね!(笑)
osiire
バックアップ博士
ふむふむ。
考え方としては、あながち間違ってないぞ。
要するに、攻撃者側(ランサムウェア)に “見つからない” ようにすればいいんじゃ。
もう少し極端に言い換えると、ログイン画面やSSHのコンソール画面が、管理者以外に見える設定ではダメ、ということじゃ。
hakase.png
blind
mamoru_bikkuri.png
城宝 守
あ、合ってた…具体的にはどういう設定でしょうか?
バックアップ博士
うむ。
たとえば以下のような設定が考えられるな。
hakase.png
今すぐできる侵入防止対策
  1. ネットワークからバックアップに対して必要なポートのみ解放、指定のIPアドレスのみ許可
  2. TCP 443などのwell knownポートを利用しない
  3. バックアップの設定ファイルを、簡単に想定できないフォルダに保管かつ、監視しやすい環境に置く
      - 例) 『設定フォルダ』 という名前の場所には置かない
  4. ホスト名も、バックアップサーバーと一目でわかるような名前にしない
      - 例) 『XYZ backup server』 など
  5. 検索表示されないよう、バックアップサーバーはDNSやADに登録しない
mamoru_kangaechu.png
城宝 守
少し考えるだけでもかなりの対策が思いつきますね。

侵入しやすい/侵入しにくいOS

バックアップ博士
そうじゃろう?
また、バックアップサーバーのOSにおける対策も重要じゃ。ランサムウェアは、OSレイヤーで侵入してくることがほとんどだからのう。Windowsなのか、Linuxなのか、あるいは自社開発なのか。OSがWindowsやLinuxだと、シェア率の高さ的にもかなり狙われやすく、それだけで危険な状態と思ったほうがよい。
また、自社開発と謳いつつも、カーネルはLinuxをそのまま利用している場合も多数あるため、注意が必要じゃ。
hakase.png
os
mamoru_bikkuri.png
城宝 守
えっ…
なんでOSまで考慮に入れる必要があるんですか?
バックアップ博士
ふむ。
よーく考えてみてくれたまえ。OSレベルでサーバーが乗っ取られてしまうと、そのうえで動作するバックアップソフト側がどんなに頑張っても、OSのadmin権限が奪われバックアップソフトを制御されてしまうため意味がなくなってしまう。
hakase.png
hacker
バックアップ博士
そのあたりも意識できて初めて、ランサムウェア対策における
バックアップのスタートラインに立てたくらいじゃな。
hakase.png
mamoru_kangaechu.png
城宝 守
お、奥が深いぜランサムウェア対策…

製品選定ポイント① データ保護&防御機能

バックアップ博士
それではそろそろ具体的な話に入っていこう。
hakase.png
mamoru_ureshii.png
城宝 守
お願いします、博士!
やっぱり気になるのは、“どうやって製品を選べばいいのか” ってことですよね。ベンダーも製品も、数えきれないくらい増えていますし…
バックアップ博士
ふむ。
選定ポイントがあるから安心するとよい。
ということで、選定ポイントその①は 『データ保護&防御機能』じゃ。
データ保護の観点でいえば、たとえば守くんならどんな機能が欲しいかのう?
hakase.png

書き換え不可にするイミュータブルバックアップ機能

mamoru_tehe.png
城宝 守
そうですね、やっぱりさっきみたいにデータが暗号化されて開けないのは怖いので、そもそもバックアップデータを書き換え不可にする機能があると助かります。
guard
バックアップ博士
うむ。
まさにそれを実現するのが、イミュータブルバックアップ機能じゃな。
hakase.png
mamoru_kangaechu.png
城宝 守
イミュータブルって、 “不変の” って意味でしたよね?
バックアップ博士
そうじゃ。
イミュータブルバックアップとはつまり、『書き換え不可能なバックアップ』を実現する機能じゃ。いかなる変更もできなくなる。管理者が書き換え不可期間を設定できるものから、管理者ですら書き換えできないような製品もあるぞ。
hakase.png
管理者が書き換え不可期間を設定できる製品
immutable
管理者ですら書き換えできないような製品
immutable
バックアップ博士
これは、一般的にはWORM*⑵と呼ばれる機能を持つメディアとAPI連携したときに機能するものじゃ。CD-RやDVD-Rなんかが、WORMとしてイメージしやすいかのう。

*⑵WORM…Write Once Read Manyの略。書き込みは一回のみ、読み込みは何回でも可能とすること。

hakase.png
mamoru_ureshii.png
城宝 守
すごい!
イミュータブルバックアップ機能があればもう安心ですね。
バックアップ博士
それは違うぞ。
データ保護の世界に100%はあり得ないのじゃ。先ほど、設定した日数は管理者ですら触れないと言ったが、管理者がバックアップファイルを期限切れに指定することで、設定した日数を早めることも可能な場合もある。これを悪意のある管理者や攻撃者が利用すれば、それもまたイミュータブルではなくなるだろう。
hakase.png
hacker2
mamoru_cry.png
城宝 守
うう…
たしかにそのとおりだ。そんな機能まであるんですね。たしかに便利な機能だけど、使いようによっては…ってことか。
バックアップ博士
まだまだあるぞ。
「当社はイミュータブルで書き換え不可だから大丈夫!」 と謳っているベンダーがあっても、それを鵜呑みにするのは好ましくない。自社の独自テストを行って、自分たちだけの観点からイミュータブルだと自称している可能性もある。
だれが評価しているかも大事で、サードパーティの外部セキュリティ評価やテストなどの第三者機関の評価を以て、初めてイミュータブルバックアップと言える。それも完璧ではないがのう。
hakase.png
certification
mamoru_kangaechu.png
城宝 守
イミュータブルとあっても、 「ほんとにイミュータブル?」 と疑うことが大切なんですね。
バックアップ博士
というよりも、やはり『どんなに環境を整えても、100%安全とはいえない』という意識を持つことが大切じゃ。
さまざまな機能を活用して、限りなく100%に近づけることで、ランサムウェアに対して“威嚇”するんじゃ。99.99999999…%の防御率を誇るデータより、99%の防御率を謳っているデータのほうが狙いやすいじゃろう?
hakase.png
defense1
defense2

データ保護機能/防御機能

バックアップ博士
データ保護&防御の機能だけでも、まだまだたくさんある。
たとえば、以下の機能を複数持っているのが望ましい。
hakase.png
データ保護機能
data
防御機能
defensefunction1
defensefunction2
mamoru_kangaechu.png
城宝 守
なるほど…
これらの機能ひとつとっても、たとえば『何世代までデータを保管できるか』 、 『ランサムウェアに対する防御だけなのか、さまざまなマルウェアにも対応できるのか』 などまでチェックすべきということですね。
バックアップ博士
そういうことじゃ。
ちなみに世代保管でいえば、世代数無制限のバックアップソフトもあるぞ。
バックアップソフト自体がこれらの機能を備えてなくとも、サードパーティと連携することでその機能を擁すればよしとするユーザーもいるじゃろう。それは、自分たちの計画に沿っているかどうかで判断すべきじゃな。
hakase.png

製品選定ポイント② 検知機能

バックアップ博士
続いて選定ポイントその② 『検知機能』 じゃ。
検知機能でまず見てほしいのが、『その製品がランサムウェアの侵入をどうやって検知するのか』ということじゃ。
たとえば、AI(人工知能)やML(機械学習)アルゴリズムを利用して、異常なアクティビティそのもの、あるいは閾値を超えそうなふるまいを予測検知してくれるものがある。
hakase.png
ai
mamoru_kangaechu.png
城宝 守
そうか…
すべての攻撃の内容が特定されているわけではないですもんね。
ふるまいで「これってもしかしてランサムウェアかも?」って予測判断しなきゃいけないのか…

IOC(痕跡情報)とIOB(ふるまいの痕跡)

バックアップ博士
そう、IOC*⑶、脅威に対するなんらかのインテリジェンスがなにもない場合でも、被害を最小限に抑えるために、ユーザーはできるだけ早く異常に気づいて対処しなければならん。IOCに頼るだけではなく、AIなどを活用したIOB*⑷からの特定が重要なんじゃ。

*⑶IOC… Indicators of Compromiseの略。痕跡情報。
*⑷IOB… Indicators of Behaviorの略。ふるまいの痕跡。

hakase.png
mamoru_tehe.png
城宝 守
IOCが犯人の残した証拠のようなものだとしたら、
IOBは犯人の目撃情報のようなものですね!
ioc

ラグが生じるとヤバい!検知のタイミング

バックアップ博士
あとは、検知のタイミングも重要じゃな。
バックアップデータやアーカイブデータを定期的にスキャンするのか、24時間365日監視を続けてくれるのかなども大事なポイントじゃ。
検知タイミングのラグが発生しているときにバックアップデータがランサムウェアに感染してしまい、気づかず感染したデータを復旧させてしまった、なんてこともあり得るからのう。バックアップのタイミングと照らし合わせた検知タイミングが確認できるかも大切じゃ。
hakase.png
timelag

改ざんされてないことを保証するブロックチェーン

mamoru_kangaechu.png
城宝 守
でも博士…
そもそも 『このデータは改ざんされていないから大丈夫』 っていう判断は、どうやってされているんでしょうか?
バックアップ博士
するどい質問じゃな。
改ざんされていないことを誰がどうやって証明しているかは、実は、証明していないメーカーの製品もある。各メーカー証明の方法はさまざまじゃが “ブロックチェーン” と呼ばれる技術が応用しているメーカーもあるぞ。
hakase.png
mamoru_bikkuri.png
城宝 守
ブッ…
ブロックチェーン…?
blockchain
バックアップ博士
簡単に言えば、やり取りの記録を“ブロック”と呼ばれる塊に格納して、それが時系列につながっていくデータ構造じゃ。
あまりここで詳しく説明すると長くなるので割愛するが、中央集権型のように管理者がいるわけではなく、ブロック同士が相互にやり取りし合う構造をとっている。
hakase.png
block
中央集権型システム

管理者がデータを一元的に監視

blocksystem1
ブロックチェーンシステム

データを複製し分散、互いを監視させる

blocksystem2
バックアップ博士
ブロックにはやり取りの記録以外にも、1つ前に作られたブロックの内容を示す“ハッシュ値”と呼ばれるデータが格納されておる。
仮に1つ前に作られたブロック内のデータを改ざんしようと試みた場合、改ざんしたブロックから計算されるハッシュ値がまったく異なるため、それ以降のすべてのブロックにおけるハッシュ値を変更しなければならない。
そのため事実上改ざんが困難になるというわけじゃ。
hakase.png
hash
mamoru_ureshii.png
城宝 守
博士!
わからないことがわかりました!とりあえずブロックチェーンと呼ばれる技術が活用されていたら、改ざん耐性が強いってことですね!
resistance
バックアップ博士
まあその程度に覚えておいて問題ないじゃろう。
ただし、金融機関などの新たな形として注目され始めておるから、頭の隅に置いておくとよいぞ。
hakase.png

感染通知機能

mamoru_bikkuri.png
城宝 守
はい!それで博士…
検知して万が一、ランサムウェア感染の可能性が高いファイルがある場合にはバックアップソフトが管理者に通知してくれるんですか…?
notification
バックアップ博士
うむ。
もちろん、多くのソフトには 『通知機能』も備わっている。ただし、通知の“粒度”が選定ポイントとなるじゃろう。
つまり、検知の内容を詳しく教えてくれるかどうかが大切というわけじゃが、なぜそれが重要かは、先ほども言ったとおりじゃな?
hakase.png
mamoru_kangaechu.png
城宝 守
状況が詳しくわかればわかるほど、被害を最小限に抑えられるから、
ですね?
バックアップ博士
そのとおり。
あくまで感染後のバックアップ対策としては、被害をどれだけ小さく抑えられるかがすべてじゃ。通知の中身が、ただ感染の有無を知らせるだけなのか、グラフなどで可視化された状況をUIから簡単に特定のファイルを見つけられるかで勝負は決まる。
もしそのファイルが感染しているとしたら、だれが、いつどのファイルから感染したのか、そのファイルはすでに隔離済みなのか、具体的に把握できると対応の “初速” も変わり、対応範囲も具体的になる。通知機能を軽く見てはいかんぞ。
hakase.png
bksend
mamoru_niyari.png
城宝 守
はい!
そしてやっぱり検知機能も、サードパーティと連携できるかも要チェック項目ですよね?
バックアップ博士
うむ。 もちろん独自で強力な検知や通知機能を追求しているところもあれば、サードパーティ製品と連携してデータの異常などを検知および通知するメーカーもある。
ユーザーもさまざまなサードパーティ製品を利用しているので、連携できないとリカバリ時に面倒なことも多いという点は、要注意じゃな。
hakase.png
flow

製品選定ポイント③ データ復旧機能

バックアップ博士
防御、検知ときたら、次は『データ復旧機能』じゃな。
いよいよデータを戻すというときに、 “どうやってデータを安全に復旧するか” が、製品選定ポイントとなる。
hakase.png
mamoru_ureshii.png
城宝 守
復旧機能もさまざまありそうですね!

隔離環境を作るサンドボックス(sandbox)/エアギャップ

バックアップ博士
うむ。
たとえば、サンドボックスやエアギャップのような隔離環境をつくる仕組みを使って、隔離環境内でいったんシステムを起動させ、マルウェアを取り除いてからリストアするなんて機能があるぞ。
hakase.png
サンドボックス(sandbox)

ユーザーが通常利用する領域から隔離/保護された空間のこと。
実行されるプログラムは保護された領域に入り、ほかのプログラムやデータなどを操作できない状態にされて動作するため、本番システムに影響が及ばないようになっている。

sandbox
エアギャップ

ケーブルや無線を用いた通信機能を通じてインターネットなど外部と通じていない状態を指す。
システムの利便性は下がるが、攻撃者が外部から接触する機会を物理的に断つことができ、安全性を高めることができる。

airgap
mamoru_niyari.png
城宝 守
なるほど!
これなら怪しい挙動をする未知の脅威があっても、とりあえず隔離環境内で実行させてみることができますね。

安全な復旧ポイントをお知らせ!レコメンド機能

バックアップ博士
ほかにも、複数世代のSnapshotから機械学習によってベストな復旧タイミングをレコメンドしてくれる機能などもある。
これらを駆使して、確実にデータを戻せるようにしなければならん。
hakase.png
recommendation
mamoru_kangaechu.png
城宝 守
世代管理を行えば、万が一感染の検知が遅れても、自分が希望するデータを復旧できる可能性は高いですね。

脆弱性診断&パッチ管理/レポート機能

バックアップ博士
あるいは脆弱性診断&パッチ管理や、レポート機能もデータ復旧には有効じゃ。
hakase.png
脆弱性診断&パッチ管理

Webアプリケーション、OS、ミドルウェア、ネットワークに潜むセキュリティ上の弱点・問題点・欠陥を診断し、適切なパッチを管理します。

pach
レポート機能

日々のバックアップデータの増加量をレポート化して分析できるように。 通常とは異なる動きが検知された場合は管理者に連絡する通知機能を備えたメーカーも。

graph
mamoru_nayami.png
城宝 守
脆弱性を利用したランサムウェアのパターンも相当数あるって聞きます…
バックアップ博士
特にクラウドなども利用している場合、サブ環境含むあらゆる環境に配置したシステムやアプリケーションの脆弱性診断&パッチ管理を統一的に行えるか重要な要素となる。
全環境で早期発見・対処ができなければ、結局感染が広がってしまうからのう。
近年では、ポリシーベースやスケジュールに従って自動で脆弱性診断やパッチ管理をしてくれるものも多いので、うまく活用するとよいじゃろう。もちろん、サードパーティ系と連携しても問題ない。
hakase.png
netwark

復旧範囲(ファイル単位/ボリューム単位/システム単位)も要チェック

mamoru_kangaechu.png
城宝 守
なるほど!
“どうやって復旧するか” がポイントになるのは、なんとなくわかりました。
ほかの選定ポイントは、どういったところを考えるべきでしょうか?
バックアップ博士
復旧の “範囲” じゃな。ファイル単位での細かいデータの復旧も、もちろん重要じゃ。
ただ、それだけでは不十分といえる。
なぜなら、ランサムウェアはシステム全体を停止させるほどの影響力・感染力を持つためじゃ。
大規模システムであってもリカバリできるかどうか、もっと言えば、それが瞬時に&自動でできるかどうかも見ておく必要がある。
hakase.png
ファイル単位で復旧
file
ボリューム単位で復旧
drive
システム単位で復旧
system

高速でVMを復旧!インスタントリカバリ

バックアップ博士
規模にかかわらず、高速で仮想マシンをリカバリできる機能をなんと言ったかのう、守くん?
hakase.png
mamoru_niyari.png
城宝 守
ふっふっふ…
見くびらないでくださいよ博士。『インスタントリカバリ』ですよね!直接ハイパーバイザーにマウントして仮想マシンを即座に起動させる機能ですね!
インスタントリカバリ
sandbox
バックアップ博士
ふむ。
ちゃんと復習しておるようじゃな。インスタントリカバリについては 『バックアップを最初に学ぶ人が見るサイト!』 (どうやって取ったデータを戻すの?)で詳しく解説しているから、忘れたら読み直しておくように。
ショッピングサイトや金融系システムなど、システムを停止できない環境は数多く存在するが、本番無停止での復旧シナリオ作成や、そのリハーサルができる機能があるかどうかが重要な生命線となる。システム停止の許容時間と照らし合わせながら、見るべきポイントじゃな。
hakase.png
24h

製品選定ポイント④ バックアップデータの保存先

バックアップ博士
守くん、
選定ポイント4つ目の 『バックアップデータの保存先』は、どんなところが考えられるかのう?
hakase.png
mamoru_kangaechu.png
城宝 守
そうですね。
オンプレミス環境内やパブリッククラウドはもちろん、テープなど物理媒体、あるいは専用のSaaSを提供しているベンダーを利用するのも手ですね。
medium

バックアップデータを分散しよう(D2D2T方式)

バックアップ博士
うむ。そんなところかのう。
機能やRTO/RPO、セキュリティやコストなども踏まえて保存先を決定するわけだが、ランサムウェア対策の観点から見れば、媒体を分けられるかどうか、つまりいくつかの保存先候補によってデータを分散できるかどうかがツール選定ポイントとなる。
hakase.png
mamoru_nayami.png
城宝 守
分散したバックアップ…
D2D2T方式のような、2段階バックアップってことですか?
バックアップ博士
おっ、よく勉強しておるな。
D2D2T方式は、D2D(ディスクバックアップ)方式+D2T(テープバックアップ)方式のいいとこどりみたいなもんじゃな。データをディスクストレージにバックアップしたあと、長期保存すべきデータをさらにテープに保管するという方式じゃ。
hakase.png
d2d2t

大事なデータを守るための指標 「3‐2‐1ルール」

バックアップ博士
ランサムウェアからデータを守るためにバックアップの保存先を考えるとき、
参考にしたいのが “3-2-1ルール”と呼ばれるものじゃ。
hakase.png
mamoru_bikkuri.png
城宝 守
3-2-1ルール?
rule321q
バックアップ博士
3-2-1ルールとは、脅威からデータを守るために必要とされる指標みたいなものじゃな。
“3つ” のデータコピーを用意したら、バックアップデータは“2つ” の異なるメディアに保存して、かつ少なくとも“1つ” はオフサイト*⑸ に保存し、データを安全に保護しましょうという、推奨ルールのことじゃ。

*⑸オフサイト…離れた場所のこと。クラウドなど。

hakase.png
3-2-1ルール
rule321d
mamoru_ureshii.png
城宝 守
3-2-1ルール、キャッチーで覚えやすいですね!

製品選定ポイント⑤ サポート体制

バックアップ博士
さて。
最後の選定ポイントが、『サポート体制の充実具合』じゃ。
hakase.png
mamoru_tehe.png
城宝 守
うんと手厚いサポートをしてほしいです!
バックアップ博士
そうじゃな。
ランサムウェア対策から見たサポート体制でいえば、たとえば、進化する新種ランサムウェアへの対応力が求められる。
どのくらいの頻度で新種への対応ができるのか、単純な技術力が必要じゃな。
hakase.png
support
mamoru_nayami.png
城宝 守
具体的にどうやって技術力があることを判断すればよいでしょうか?
バックアップ博士
たとえば、
先ほど伝えた自社でも検知や通知する機能を有しているか
もしくはサードパーティー製品とAPI連携に優れているかどうかでも判断できるだろう。 あるいは、公にかつ継続的に情報を発信しているような、ドキュメント・コンテンツ配信力が高いところは、最新情報を常に仕入れているベンダーだと思ってよい。
hakase.png
service
mamoru_kangaechu.png
城宝 守
できればドキュメントも、日本語対応してくれてると助かりますね。

SOC(セキュリティ・オペレーション・センター)

バックアップ博士
うむ。
そこもまたサポート体制の手厚さを判断する材料のひとつじゃな。
また、SOC機能があるかも見ておくとよい。
hakase.png
mamoru_nayami.png
城宝 守
SOC? SOCってなんでしょう?
バックアップ博士
SOCというのは、セキュリティ・オペレーション・センターの略で、ソックと呼ぶ。
簡単にいえば、24時間365日休むことなく、あらゆるサイバーアタックの検出や分析・対応をしてくれる機能、あるいはそれに特化した専門組織のことじゃ。
SOCをベンダーとして提供しているメーカーもあるぞ。
hakase.png
SOC(セキュリティ・オペレーション・センター)
soc
バックアップ博士
SOC機能を自社で運用するには、非常に高度な設備と運用可能な人材が必要なため、かなりのコストがかかる。特に日本においてはメディア経由で情報が入るのはだいぶ後だと考えられるので、ネット情報をリアルタイムでチェックしていなければならない。

SOCを提供しているメーカーであれば、システム経由でSOC機能を自動アップデートできるので、かかるコストを軽減しつつ、高いセキュリティ能力でバックアップ対策が打てるというわけじゃ。
hakase.png
自社で導入するSOC
soc1
メーカー提供のSOC
soc2
mamoru_ureshii.png
城宝 守
それは心強い!

コストを抑えるために…あなたの企業に最適なライセンス体系は?

バックアップ博士
コストの話が出たから、ライセンス体系の話もしておこう。
パーペチュアルライセンスなのか、サブスクリプションなのか、あるいはSMB向けなど、独自のライセンス体系を用意しているのかはチェックすべきところじゃな。
もちろん言うまでもなく、自社に見合ったコストで運用しなければならないからのう。メーカーによっては、海外でランサムウェア補償プログラムなどを提供しているところもあるぞ。
hakase.png
costsut
refund
mamoru_ureshii.png
城宝 守
最初に解説してくれたとおり、コストをかけずにできることから始めるのも大切ですね!

一番大事なのは「確実に安全なポイントまで戻せること」

バックアップ博士
うむ、そのとおりじゃ。
ランサムウェアに万が一感染したからといって、ただ単にデータを戻せばいいものではない。
さまざまな機能や、ときにはサードパーティツールと連携して、確実にかつ安全なポイントまで戻さなければならない。そのためにできることを考えるのが大切じゃ。
hakase.png
tool
mamoru_bikkuri.png
城宝 守
ランサムウェアに感染して焦っているときに、確実にリカバリポイントを定められるか不安ですもんね。僕も博士がいなかったらと思うと…ゾッとします。

バックアップソフトだけじゃない!
SaaS型のバックアップサービスやバックアップアプライアンス

バックアップ博士
バックアップソフトの使用だけが正解ではない。
SaaSで提供されるバックアップサービスやアプライアンスを利用するのもまたひとつの手じゃ。もはやランサムウェア被害は他人事ではないからのう。
ぜひバックアップの観点からも、ランサムウェア対策を検討してほしいものじゃ。
hakase.png
SaaS提供のバックアップサービス
saas
アプライアンス
appliance

守くんとバックアップ博士の会話は参考になりましたか?
今やバックアップシステムにもランサムウェア対策が必要な時代です。
「感染率が低い製品を選びたいが、各社機能比較が難しい」「あまり予算がないが、最低限でも対策できる製品を選びたい」という方は、ぜひネットワールドまでご相談ください。エンドユーザー様に最適な製品をご提案するお手伝いをさせていただきます。

  1. TOP
  2. Lv.3_バックアップをもっと学ぶ人が読む記事