2,200台の仮想マシンが落ちても4時間で完全復旧──「3-2-1ルール」実現でランサムウェアを防ぐ

「ランサムウェア対策」がデータ管理における重要目的に

　データ管理プラットフォームを提供するCohesityは、米国サンノゼで2013年に創業、日本法人は2019年3月から活動している。桝井氏はまず、今やデータ管理における代表的な目標の1つとして「ランサムウェア対策」があると指摘した。現状ではマルチ／ハイブリッドクラウド環境が増え、その中でいかに効率的にデータを管理するのかということに加えて、増加し続けるデータに対するGDPR（EU一般データ保護規則）のような法規制にいかに適切に対応するかも課題となっている。「増え続けるデータが、システム環境の中で個別最適化されています」と桝井氏。つまり断片化が課題だという。

　断片化が起きていると運用が極めて複雑化してしまう。ランサムウェア対策においても、どのポイントまで感染し、誰がどう対処すべきかがわかり難い。結果的に迅速な対応が難しくなる。このようなデータ管理の問題解決に対し、Cohesityが提唱しているのが「モダンデータ管理プラットフォーム」だ。

　データをシステムごとに異なる方法で管理しているために、前述のような問題が発生する。そこでCohesityでは、顧客企業が持つあらゆるデータ管理を1つのプラットフォームに統合した。また、データ管理のプラットフォームを、地方や海外拠点、自社データセンターの大規模なプラットフォームやクラウドなど、さまざまな環境で利用できるようにもしている。

　さらにCohesityのデータ管理プラットフォームは、データの増加にあわせシンプルな操作で“無停止”に拡張できる。これを使ってバックアップやリカバリが行えることはもちろん、ファイルサービスも提供でき、データセキュリティのための監視や開発、テストのためにデータクローンを作ることも可能だ。

　こうした特徴を踏まえた上で桝井氏は、いかにバックアップソリューションを用いてランサムウェア対策が実現できるかを説明した。ランサムウェアの手口は、パスワードのクラッキングやソーシャルエンジニアリング、またはシステムの脆弱性を突くなどしてシステム内部に侵入するところから始まる。侵入すると管理者権限を奪取して、重要なデータを探し出し漏洩や暗号化などの攻撃をしかける。

　こうしたランサムウェアの攻撃範囲は、時間の経過とともに拡大する。初期であれば、本番データが暗号化されていてもバックアップデータからリカバリしてシステムを復旧できる。しかし、ある程度時間が経過してしまうと「ランサムウェアはバックアップデータも破壊します。その場合、バックアップを取っているだけでは復旧することができなくなります」と桝井氏は指摘する。

ランサムウェア攻撃対策に求められるサイバーレジリエンスを支援

　このようなサイバー攻撃の脅威に対抗するため、データ管理プラットフォームにはサイバーレジリエンス（攻撃からの復元性）が求められる。そしてサイバーレジリエンスでは、

1. データ自身を攻撃から確実に保護する
2. 攻撃に対し迅速に検知する
3. 攻撃に遭った際に迅速に復旧する

という3つの機能は欠かせない。

　「確実に保護する」という観点では、攻撃者によるデータの暗号化や削除などの攻撃からデータを守れなければならない。そして、データの完全性を確保するために、“イミュータブル（変更不可能）”なファイルシステムを持つことも重要だ。また、「機密性を確保する」には、管理するデータを暗号化することも欠かせない。これによりデータが盗まれても情報が漏洩しないようにできるからだ。さらに、データの整合性を常に確認することで、攻撃者によるデータの削除や暗号化を防ぐことが可能となる。

　では、Cohesityのデータ管理プラットフォームはどうだろうか。まず、削除や改ざんからデータを守る機能を有しており、Cohesityのデータ処理では一切上書きすることはなく、新規・更新データを常に空き領域に書き込むようになっている。また、ファイルシステム自体がイミュータブルで変更不可能な属性を持つ。これらで「いかなる理由によっても、ファイルそのものが改ざんされることはありません」と桝井氏と述べる。

　さらに、複数ノードでクラスタ構成のストレージプラットフォームとなっていることも特長だ。クラスタ全体に分散されたデータおよびメタデータに、チェックサムを付け厳密な一貫性を保っている。データの書き込みを確認するために、二段階コミットでの実行だ。加えて、Cohesityに取り込まれるデータはすべて暗号化され、改ざん防止や証跡管理のためのデータロックやリーガルホールドも実行される。これら機能のすべてのステータスは、CohesityのGUI画面で一元的に管理できる。

　データ保護において、もう1つ重要なのがアクセス制御だ。暗号化や削除からデータを守る機能があっても、攻撃者が権限を取得して直接不正アクセスをすれば元も子もない。そのため不正アクセスや設定変更を防止する仕組みも必要だ。Cohesityでは、たとえばパスワードを使い回ししていることで発生する不正アクセスを防ぐために、多要素認証の機能がある。他にもロールベースのアクセス制御で、アクセス権の制御や制限が可能だ。

　万一誤って危険な設定がなされてしまった場合には、アドバイザー機能でそれらを監視し通知できる。Cohesityが環境をスキャンし、どこに危険な設定があるかをチェックし、セキュリティ状況を可視化できるのだ。さらに、監査ログでアクティビティの記録もできる。Cohesityのプラットフォームには、サポートのためのバックドアを一切設けていない。そのため、プラットフォーム自体にOSレベルのアクセスも一切できないようになっている。

　「ランサムウェアの攻撃は、時間との勝負です。いち早く前兆を認識できるかが重要です」と桝井氏。CohesityではデータとユーザーのモニタリングではAIを用い、機械学習をベースとした技術で自動検知する。現状のランサムウェア攻撃は、データの改ざんによる暗号化が主たるものだ。これはバックアップを取っている側から見れば、本番データに攻撃があると差分が生まれることでもある。そのため異常な変更や差分を監視し、それに対し機械学習で不正な振る舞いを検知して攻撃を見つける。

　Cohesityのダッシュボードでは、機械学習で検知された異常なふるまいが表示され可視化できる。検知対象は書き込まれたデータの時系列やデータのランダム性、ファイルの削除、追加、変更されたファイルの大きさがどれくらい違うのか、ファイル拡張子の変更などだ。

　これらの振る舞いを見て、世界中のランサムウェアの攻撃パターンを学習したエンジンで異常を検知する。どのデータのどのポイントに異常があるかは、運用担当管理者に通知する。さらに攻撃に対して、どの時点に戻せば安全かといった情報も提供する。「ただモニタリングするだけでは意味がありません」と桝井氏。Cohesityならセキュリティソリューションと統合して、先の対応に踏み込んだシステムの構築が可能だという。

　Cohesityでは既存のセキュリティ管理やプロセスを利用した運用ができ、インシデントレポートとレスポンスのためにSIEM（Security Information and Event Management）やSOAR（Security Orchestration, Automation and Response）ツールとも統合できる。他にも多要素認証のために「Okta」のようなシステムやキー管理ソリューション、アンチウィルスと連携するためのアイキャップ脅威検出などもサポートしている。脆弱性管理では「Tenable.io」とも連携でき、バックアップデータから本番データの脆弱性診断が可能となっている。

Cohesityならデータ管理の運用の複雑さから解放される

　ランサムウェア対策としてのバックアップにおいて、見落とされがちなのが復旧だ。単にバックアップデータがあるだけではすぐに復旧できないだけでなく、1週間以上かかるとなれば経営上の損害もかなり大きくなる。システム全体の高速な復旧は、ランサムウェア対策で非常に重要だ。Cohesityでは、「インスタントマスリストア」と呼ばれるVM環境の即時リストア機能がある。

　またインスタントファイルアクセス機能は、ファイルやオブジェクトの即時復旧もできる。単に復旧が早いだけでなく、最適なリカバリポイントがどこかをリコメンドしてくれる点もCohesityの特長だ。米国のある金融機関ではCohesityでPoCを行った結果、マルウェア攻撃を想定したシナリオで2,200台の仮想マシンが落ちた場合にも、4時間で完全に復旧できることが確認され採用に至ったとのことだ。

　もちろん、頑丈なプラットフォームをもっていても、ローカルのバックアップデータが壊滅的な被害を受ける可能性はある。そのためバックアップでは、3つのコピーを2つの異なるメディアで、そして1つのコピーを遠隔地に保管する「3-2-1ルール」がある。Cohesityではコピーを遠隔地に保管するために、クラウドベースのデータ隔離機能を提供している。もちろんオンプレミスでテープを使ったデータ隔離も可能で「クラウドに加え、テープを決められた場所に保管することで『3-2-1ルール』を確実に実現できます」と桝井氏は自信を見せる。

　このようにCohesityは、保護、検知、復旧という3つの機能でサイバーレジリエンスを実現し、ランサムウェア攻撃からデータを守ることができる。ある金融機関ではランサムウェアがセキュリティ対策ソフトウェアを超えて侵入したが、Cohesityがバックアップ中に異常を検知し、攻撃を早い段階で察知でき被害発生前にアラートを挙げて対処できた。他にもCohesityの安全性が確保されたバックアップのスナップショットを用い、迅速に復旧して身代金支払いを回避した例もある。

　Cohesityはソフトウェア製品として提供され、データセンターのサーバー、仮想マシン、クラウドのインスタンスなどで自由に動かせる。どの環境でも統一されたブラウザベースのGUIを提供し、すべての環境を1つの画面で管理できる。ライセンスも、ロケーションを問わず自由に移行して利用可能だ。バックアップ、ファイルサービス、データセキュリティ、クローンなどの機能はマルチ利用でき、バックアップを通じてデータを統合管理できるのだ。

　「データ管理における運用の複雑さから解放され、ランサムウェア攻撃からもシステムを守る強固なデータ管理プラットフォームを構築可能です」と桝井氏。ランサムウェア対策において、データのバックアップとリカバリはセキュリティの一種と捉えるべきだ。そのための仕組みは個別に用意するのではなく、企業にあるデータ全体を包括的にかつAIを駆使したインテリジェントなデータ管理をするべきだという。そして、単にバックアップを取るだけでは意味がない。ビジネスに影響を与えない迅速な復旧機能も重要だ。「3-2-1ルール」の達成のためにも柔軟なデータ管理ソリューションが求められており、そのためのすべての要件を満たすのがCohesityだと桝井氏は強調した。