最後の砦「データセキュリティ」
当然ながら、ネットワーク層での防御で侵入させない必要がある上で、侵入されてもすぐに検知できるようにする。ランサムウェアはデータを狙ってくるため、そこを保護できなければならない。このデータを守るための対策こそが「データセキュリティ」だ。
データセキュリティは「安全かつ迅速に復旧するためのセキュリティ対策だと思ってください」と中井氏。Rubrikのデータセキュリティでは、バックアップを取ることがスタートであり、バックアップデータを活用することも鍵となる。まずは、バックアップとして本番環境のレプリカを取得する。もし、本番環境に直接アクセスして分析した場合、本番環境の負荷は高まってしまう。一方、バックアップのレプリカを使えば、バックアップを取得した時間までは遡ることにはなるが、本番環境相当のデータを使い分析ができる。さらに毎日バックアップを取得していれば、時系列による分析も可能だ。1週間前までまとめて、あるいは1ヵ月前、1年前のデータまで含め分析できる。これらもバックアップデータを使う利点だ。
なお、データセキュリティは、「データレジリエンス」「データオブザーバビリティ」「データリカバリー」という3つにカテゴリーできる。データレジリエンスのためには、バックアップシステム自体が乗っ取られないようにする。バックアップデータが暗号化されない、改ざんされない、さらにバックアップシステム自体の堅牢性を高め、セキュリティ性を確保することが重要だ。
またデータオブザーバビリティは、日本語で「データ可観測性」とも言う。これはバックアップデータの分析を通じ、さまざまなリスクを可視化することだ。バックアップデータを見ていけば、これまで見えなかった範囲が見えるようになり、攻撃の影響範囲やデータの重要度などが把握できる。そしてデータリカバリーは、より安全かつ迅速に復旧できるようにすることだ。リカバリーで再感染なく、迅速な復旧が実現できるようにする。
そして中井氏は、デモンストレーションでRubrikを使い、どのようにデータセキュリティを実現するかを解説した。Rubrikのダッシュボード画面では、どのシステムが保護されているのか、たとえばSaaSのMicrosoft 365のオブジェクトがきちんと保護されているのか、クラウド上のさまざまなインスタンスのバックアップが取得されているかなどを確認できる。また、『昨日かなり多くのバックアップのジョブが実行されたが、それが問題なく終了しているのか』なども確認可能だ。
他にも、ランサムウェアの感染で暗号化されたシステムがあることが疑われると、バックアップデータ分析から導き出した結果がメッセージとして表示される。「セキュリティ担当者はウィルス検知の仕組みだけでも何か起きている、侵入されているなどがわかるかもしれません。そうした“IT運用者”の目線で、日々見ているダッシュボードに違いを発見できるのです」と中井氏は説明する。
通知メッセージをクリックすれば、中身の詳細が示される。たとえば日々取得してきたバックアップデータを分析した結果、最新データにこれまでと大きな違いがあることがわかるなどだ。具体的には、非常に大量のファイルが削除されていたり、逆に追加されていたりするなど、バックアップの異なるビヘイビア(挙動・振る舞い)を検出する。これにより、実際にランサムウェアで暗号化されたファイルがどこにどれくらいあるかもわかる。これらを使い攻撃の範囲を特定できるのだ。
また、“セキュリティ担当者”の目線で見れば、リスクのある領域がどれだけ攻撃されたかがわかる。あらかじめ個人情報に関わるような重要データのキーワードを定義しておき、それを使いバックアップデータを分析。キーワードが含まれるファイルがどこにあるかも見つけられ、該当ファイルに誰がいつアクセスしたかもわかる。
もちろん、過去を参照することで攻撃された範囲がわかるため、しかるべき初動対応につなげることが可能だ。たとえばランサムウェアに感染すれば、対外的な発表も必要であり、業界によっては報告義務があるかもしれない。実際に、そうした対応が遅れた例がある。「わざと遅らせたわけではなく、何が起きてどれだけリスクがあるかがわからず報告ができなかったのです。これは実際にあったことです」と中井氏は言う。
攻撃されたものに重要なデータが含まれていた場合、次に考えるのは「リストア」だ。何世代ものバックアップのうち、いったいどれに戻せば良いのか。Rubrikではバックアップデータを照らし合わせ、ランサムウェアの痕跡を検出。そうすることで、痕跡情報の入っていないバックアップデータから安全に戻すことができる。「単一のコンソールからさまざまな状況を可視化し、リストアまで一気通貫でできます。これもRubrikの特長です」と中井氏は述べる。
ユーザー様が語る! Microsoft 365環境におけるバックアップの必要性とRubrik製品を選定した理由とは!?(動画)
Rubrikを導入いただいた福岡ひびき信用金庫様、東急建設様、富士経済様をお招きし、導入経緯と効果についてお話いただきます。Microsoft 365(M365)のバックアップに着手されたお客様より、なぜRubrikを選定したのかをご説明いただきます。
