ランサムウェア復旧の分かれ道は「バックアップデータが“使えたか”どうか」本番システム暗号化への対応策
バックアップを通じた「データセキュリティ」で備える

EnterpriseZine編集部主催「SecurityOnline Day 2022」の講演では、「激化するランサムウェアに対抗する『最後の砦』 データセキュリティによる復旧力(レジリエンス)の強化策を伝授」と題し、Rubrik Japan セールスエンジニアリングマネージャーの中井大士氏が講演を行った。今やランサムウェアへの感染報告が、後を絶たない。その対策では従来の防御策に加え、ターゲットとなるデータをいかに保護するか、そしてリスクを可視化し復旧を迅速に行うことが重要となる。このような新たな対応を、バックアップを通じたデータセキュリティで実現する方法が紹介された。
ランサムウェアはバックアップシステムやデータを狙っている
海外企業ばかりでなく、最近は日本企業へのランサムウェア攻撃が後を絶たない。標的型攻撃で、何か少しでも隙があればそこを突かれる。ネットワーク層での防御を行っていても、それを乗り越え侵入されることも珍しくない。侵入をすぐに検知するなどの対策強化はなされているが、残念ながら1回でも侵入されるとビジネスやブランドに大きな損害を被ってしまう。
攻撃を特定して防御し、侵入を検知するためのセキュリティフレームワークに則った対策は重要だ。その上で「ポストインシデント、つまりインシデントが発生した後にいかに迅速かつ安全にサービスやシステムを復旧できるかが非常に重要だと認識されるようになりました」と中井氏は言う。
以前からバックアップは、人為的なミスなどを含め何らかデータを削除してしまった際、元の状態へと巻き戻すために利用されてきた。今はそれを、セキュリティ対策として活用する。ランサムウェアによる感染でデータが暗号化されても、バックアップから暗号化前まで巻き戻すのだ。実際に米国ダーラム市やラングスビルディングサプライ社では、ランサムウェアに感染しデータが暗号化され、システムがことごとくダウン。幸いにもバックアップを取得していたため、比較的短時間でシステムを復旧できた。
一方、国内企業ではバックアップは取得していたが、本番環境だけでなくバックアップ自体も暗号化され、基幹業務の復旧に3週間を要した例もある。すべての業務を完全復旧させるためには再構築が必要で、それに3ヵ月もの時間がかかった。バックアップを取得しているという点で同じようにも見えるが、大きな違いは有事の際にバックアップデータが使えたかどうか。バックアップデータを使えた前者はRubrikのソリューションを導入していた。なお、復旧に時間のかかった国内事例でも、インシデントを機にRubrikを導入している。

ランサムウェアは、侵入するとまずは企業の重要なデータを特定する。今は、バックアップデータも対象だ。「バックアップシステムがないかを探し、あればそれをダウンさせます。そして、バックアップデータを暗号化して使用不可に。ランサムウェアは、高い優先順位でバックアップを狙っています」と中井氏は言う。
前述したRubrik導入前の国内企業を例に挙げると、攻撃により何がどこまで影響を受けたかが見えない状況だった。Rubrik導入以降は、バックアップから確実に復旧できる体制となり、復旧先としてパブリッククラウドも活用できるようにしている。また、別の国内企業を例に挙げると、一部Rubrikでバックアップを取っていた領域だけは暗号化されず利用できたが、それら以外の領域ではバックアップを取っていてもどれが安全かを判断できなかった。結局、二次感染を引き起こさずに安全復旧できるかが確認できず、再構築をしている。「たとえバックアップを取っていたとしても、復旧に多くの時間がかかることがあります」と中井氏は説明する。

たとえば、バックアップシステム自体が攻撃されるケースもある。Windows環境に侵入されOS権限が奪われ、バックアップソフトウェアがアンインストールされた例もあれば、ウィルスに感染したことはわかっても、どこまで影響が及んでいるかがわからず復旧すべき範囲が特定できないこともある。復旧すべき範囲により、リストア作業の時間も変わる。さらにバックアップデータは取得し厳重に保管しているが、それを取り出すために時間がかかるケースもある。取り出すために数日、復旧に1週間かかるとなればビジネスへの影響も大きくなり、『身の代金を払った方が良いのでは』と考える企業も少なくない。
ユーザー様が語る! Microsoft 365環境におけるバックアップの必要性とRubrik製品を選定した理由とは!?(動画)
Rubrikを導入いただいた福岡ひびき信用金庫様、東急建設様、富士経済様をお招きし、導入経緯と効果についてお話いただきます。Microsoft 365(M365)のバックアップに着手されたお客様より、なぜRubrikを選定したのかをご説明いただきます。
この記事は参考になりましたか?
- Security Online Day 2022レポート連載記事一覧
- この記事の著者
-
谷川 耕一(タニカワ コウイチ)
EnterpriseZine/DB Online チーフキュレーターかつてAI、エキスパートシステムが流行っていたころに、開発エンジニアとしてIT業界に。その後UNIXの専門雑誌の編集者を経て、外資系ソフトウェアベンダーの製品マーケティング、広告、広報などの業務を経験。現在はフリーランスのITジャーナリスト...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社
この記事は参考になりましたか?
この記事をシェア