SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2024 春の陣

2024年3月13日(水)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press(AD)

「データに境界線はない」──ランサムウェア攻撃に遭っても機密情報は死守するバックアップ製品に需要

「FORWARD TOKYO 2023」基調講演レポート

 2023年9月1日、Rubrik Japanは年次イベント「FORWARD TOKYO 2023」を開催した。同イベントはコロナ禍で始まったため過去2回はオンライン開催だったが、今回初めて参加者とのフェイス・トゥ・フェイスの場となった。挨拶のステージに立った同社 代表の石井晃一氏は、目の前の大勢の参加者に感無量のものがあると言う。

すべての組織がサイバー攻撃に耐えられるように

 Rubrikは、2014年にバックアップ/リカバリーのテクノロジーの会社として誕生した。システムの不具合や自然災害の発生にも、ビジネスを継続できるようにすることがバックアップの役割だ。ただ、これらのトラブルは本来、毎月発生するわけではない。しかし最近は、サイバー攻撃が毎日のように発生しており、それら攻撃によるリスクから復旧することもRubrikの重要な役割だと石井氏は話す。

 Rubrik製品は、当初からゼロトラストのデータ保護を実現してきた。このコンセプトがあったからこそ、昨今のサイバーリスクにも対処できる。実際、Rubrikの顧客が始めてランサムウェアの被害に遭ったのは2017年のこと。バックアップデータがあったおかげで、データは復旧し事なきを得ている。

 この経験でランサムウェア攻撃への対処では、いつ何が起き、どこに安全なデータがあるかが極めて重要と分かる。そのためRubrikでは、以降はセキュリティリスクのオブザーバビリティを強化した。そして2021年にはセキュリティリスクに対応する専門部組織「Zero Labs」を立ち上げ、日々のセキュリティリスクを分析して得られた情報、知見を元に顧客データの保護に取り組んでいる。

 現状Rubrikでは、28エクサバイトの論理ストレージの659ペタバイトのバックエンドストレージのデータを保護している。その中には87億以上のファイルがあり、ファイル内には190億以上の機密データレコードがある。

 データセキュリティで重要なのは「何を保護するかです」と言うのは、Rubrik Head of Zero Labのスティーブ・ストーン氏だ。ハイブリッド環境をどう保護するか、リスクが何かを具体化し優先順位を付けるのも必要だと指摘する。そして現状では、ランサムウェア攻撃などが増加傾向にはあるが対策方法も整備されてきており、「全体的には良い方向に向かっている」とも話す。

Rubrik Head of Zero Lab スティーブ・ストーン氏

 Rubrikの調査では、アジア地域の45%の組織はオンプレミス、クラウド、SaaSが混在した環境でデータを保護しており、36%が複数クラウドのサービスを併用している。守るべき対象のデータはオンプレミスにもクラウドにもあり、Microsoft Azure、Amazon Web Services(AWS)、Google Cloudなど複数クラウドを同時に使っている。データはこれらの環境の間を行き来し「データに境界線はなく流動的です。攻撃者もこれらの環境を行き来しながら攻撃してきます」とストーン氏。これらのこと踏まえて、データを守る必要があると言う。

 サイバーリスクには様々な要素が関わっており、業界の規制や法律にも準拠する必要がある。GDPR(EU一般データ保護規則)やHIPAA(医療保険の携行性と責任に関する法律)、CPRA(カリフォルニア州プライバシー権法)などの規制に準拠しても、組織が受ける攻撃はそれよりはるかに多いのが現状だ。そのためデータを守るには、法令など沿うだけでなく新たな見方が必要だと指摘する。

画像を説明するテキストなくても可
クリックすると拡大します

 ほとんどの組織がバックアップデータを攻撃されており、7割ほどでは攻撃が何らか成功している。侵害された結果、組織は守りを強化している。強化の際にはバックアップを守ることが重要であり、それを実現するのがRubrikとなる。実際、半数近い顧客(48%)が、何らかのランサムウェアの兆候を示す活動に遭遇しており、Rubrikでは全ての顧客が、いかなるランサムウェア攻撃にも耐えられるようにすることを目指すと、ストーン氏は言う。

クリックすると拡大します

 昨年のFOWARDでは、データを守るために予測による異常検知、機密データの監視、可視化、脅威ハンティングに力を入れることなどを明らかにした。これらを実現しても、すべてのニーズには応えられない。今後はユーザーの動きも見る必要があり、ユーザーがデータをどのように扱っているかを見極める必要があるとも指摘する。

 そこでRubrikでは、脅威監視の機能を使えるようにし、CSIRTとSOCなどの組織がなくても監視を可能にする。またDevOpsで重要なJiraやMicrosoft ADやAzure AD、Amazon S3やAmazon Auroraなど、守るデータタイプも増やす。保護対象の拡大に終わりはなく、継続するものだ。

 ユーザー関連の対応は、ユーザーIDとロールを把握し、権限やアクセスの状況を分析、行動パターンを見てリスクと漏洩の可能性を低減するユーザーインテリジェンス機能を提供するという。これらでリアクティブからプロアクティブな対応を可能とする。そしてこれらの機能を新しい製品として提供するのではなく、既存のRubrikの画面から使えるようにすると話す。それによりユーザーは特別なトレーニングなど無しにデータ保護を強化できる。

 5,000社以上の組織が、Rubrikを信頼しデータ保護を任せているとストーン氏。顧客満足度を現すNPSも「82」とシリコンバレーのベンダー平均である60よりもかなり高い。顧客に高い満足度を与えられるだけの実践的なノウハウが、Rubrikにはあると自信を見せた。

まずは日本企業が“おざなり”にしがちな「リスクの把握」を

 セキュリティコンサルタントで前内閣サイバーセキュリティセンター 内閣参事官の結城則尚氏は、「組織固有のリスクを踏まえたサイバーセキュリティ対策」と題して講演した。国内のサイバー政策の動向としては、2000年の省庁のホームページ改竄を発端にサイバーセキュリティ政策が始まった。システムへの依存度が高まり、サービス停止が社会の混乱を巻き起こす。近年はランサムウェア感染の被害が見過ごせなくなった。

セキュリティコンサルタント(前内閣サイバーセキュリティセンター 内閣参事官)

結城則尚氏

 これらに対し2015年1月にサイバーセキュリティ基本法ができ、2022年6月に重要インフラ行動計画が策定された。サイバーセキュリティの議論は「真っ只中の状況」だと結城氏は言う。また国際動向としては米中対立、新型コロナウィルスのパンデミック、ロシアのウクライナ侵攻などがあり、国家レベルのサイバー攻撃やランサムウェアで資金調達する動きが出ている。このような状況の中、サイバー攻撃の実害が2018年頃から発生しており、2020年くらいからランサムウェアの被害が発生している。これらへの対策は「組織全体で取り組まなければなりません」と言う。

 2021年のランサムウェア攻撃の被害額として、7億5000万円あまりの特別損失が計上されている。サイバー攻撃への対処には、大きくコストがかかるとCIOやCSOは認識し始めた。2022年11月に大阪急性期・総合医療センター、2023年7月には名古屋港統一ターミナルシステムがランサムウェアに感染し業務、サービスが停止した。前者は復旧に約2ヵ月半かかり、後者は3日で復旧。復旧時間が短くなったことは評価できるが、社会インフラではより迅速な復旧が望まれる。

 従来のサイバー攻撃は、アンチウイルスやファイアウォールがあれば防げた。その後脅威は高度化し、システムの使い方も変化。その結果リスクも変わっているという。2015年以降は様々なものがインターネットでつながり、リスクが高まっている。工場などは外部とつながらない前提の対策だったが、それが崩れ、攻撃にさらされている。関連会社を踏み台にするサプライチェーン攻撃のリスクもあり、こういった環境の変化に柔軟に対応できなければならないと結城氏は言う。

 今後サイバーセキュリティは、組織論で考えるべきだ。2000年代はネットワーク管理者などが対策するだけだったが、今は経営リスクと捉え対策しなければならない。現在はITシステムの障害が国民の財産や生命にも影響する時代であり、企業の外部調達などが高度化し一つの組織だけでの対策では終わらないことも考慮する必要がある。

 対処にはネットワークの防御とネットワークオペレーションを一体化した対応がいる。何らかの機器を入れて終わりではなく、運用も合わせて見る。とはいえログを取得しリアルタイムに人が監視するのは難しい。そこは機械学習の技術を適用し、リアルタイムのダッシュボードで監視する。今後はそのような「情報中心のセキュリティが大事になります」と結城氏は言う。

 そしてリスクを把握することが重要であり、そのためには目的に対する不確かさの影響である「ISO31000」と、被害のひどさ×発生頻度による安全のガイドライン「ISO/IEC Guide51」の組み合わせが現実的だ。そしてリスクを把握するには「プロファイル(特定)」することが必要となる。これを日本企業は、おざなりにしてきたところがあるとも指摘する。

クリックすると拡大します

 今後やるべき待ったなしなのは、従来の正攻法の対策で時間を稼ぎつつランサムウェアの脅威への対策をすることだ。ランサムウェア攻撃のほとんどは既知の脅威であり、適切なバックアップとリストア、流出データの把握により数時間で復旧可能だ。手間とコストのかかる災害対策の前に「ランサムウェアの攻撃を受けても迅速に回復できるようにするところから、まずは始めるのが良いでしょう」と、結城氏はアドバイスする。

NECは800を超える社内システムに、Rubrikのバックアップを検討

 「NECのセキュリティ対策とサイバーレジリエンス強化」と題し講演したのは、日本電気(NEC) 経営システム統括部 シニアプロフェッショナルの宮地啓輔氏だ。現状、企業は11秒に1回ランサムウェアの被害に遭っており、1分ごとに新たなマルウェアが生まれている。さらに生成AIの登場で高度なマルウェアが生成され、セキュリティ対策はますます重要だと宮地氏は言う。

日本電気(NEC) 経営システム統括部 シニアプロフェッショナル 宮地啓輔氏

 そのような状況の中、NECでは人材育成を含めた包括的なセキュリティ対策をグローバルで取り組んでいる。NECが考えるセキュリティ対策フレームワークは、一人ひとりの意識と正しい行動を促す「アウェアネス」、攻撃情報を入手し事前に防御する「インテリジェンス」、早期に検知、対処、復旧する「レジリエンス」の3つで構成されている。また、グループの経営方針を定めた経営ポリシーで情報セキュリティの基本方針が規定されており、グループが一貫して取り組むものとなっている。

 NECの情報管理の考え方は「Three Lines Model」で、第1ディフェンスラインはリスクオーナーである事業部門、第2ディフェンスラインはリスク管理部門、第3ディフェンスラインは内部監査部門となり、それぞれで役割と責任を明確化し管理している。また、セキュリティプラットフォームでは、境界型セキュリティに加えゼロトラストベースの対策を進めている。

クリックすると拡大します

 同社ではサイバーセキュリティダッシュボードで、全社員にNECに対するサイバー攻撃の状況をリアルタイムで公開している。これにより、データドリブンなリスク対策とセキュリティアウェアネスの向上にも取り組んでいる。また、サイバーリスクアセスメントでは、外部からのアクセスにおける脆弱性診断などにより、リスクを事前に明確化した上で適切な対策を施す。さらに「AIを活用した取り組みも強化しており、標的型攻撃メールの訓練メールの文面生成などに生成AIを活用している」と宮地氏は語る。

 NECでは上記のようなセキュリティ対策を実施していたが、高度化するランサムウェアの脅威に対抗するには、さらなる対策、特にレジリエンスの向上や強化が必要だと判断した。NIST(米国国立標準技術研究所)の「Cyber Security Framework[1]」は、IDENTIFY(特定)、PROTECT(防御)、DETECT(検知)、RESPOND(対応)、RECOVER(復旧)で構成されるが、レジリエンスを強化するにはDETECT(検知)、RESPOND(対応)、RECOVER(復旧)の強化が必要となる。この部分の強化方法を検討した結果、感染から復旧までの時間を大幅に短縮できるRubrikが最適であると判断し、導入決定に至ったという。

 Rubrik導入前後で感染から復旧のシナリオが異なり、感染範囲の極小化、感染ファイルのみのリストアなどが可能となる。一方Rubrikがなければ「最悪、システムの復旧を断念せざるを得ないケースもあり得る」と宮地氏は言う。また、有事の際に迅速に復旧できるようにするには、平時から訓練や演習が重要だとも指摘する。それらを何度も繰り返すことで、有事の際に適切な対応ができ、迅速な復旧が可能となる。一連の対応は「ランサムウェア攻撃対応マニュアル」としてまとめており、いつでも活用できるような体制を整えている。

クリックすると拡大します

 NECには800を超える社内システム、約90のSaaS、約6,000台のサーバーがあり、これらのバックアップをRubrikで取得しランサムウェア対策を行うことを検討している。基盤としてはオンプレミス、AWS、Microsoft Azure、VMware Cloudなどがあり、バックアップ全体をRubrikで統合することでバックアップの運用効率化も図る。オンプレミスでは、総データ容量約2ペタバイトのファイルサーバーはRubrikを導入済みだ。VMware Cloud on AWSの環境では、約500台のVMに総ディスクサイズ約150TBの環境を対象にRubrikを導入中だ。今後AWS、Azureの環境にも導入を検討している。

クリックすると拡大します

 NECでは2025年度中(2026年3月末)に社内システムのモダナイゼーションの完了を予定しており、「それに合わせてRubrikの導入を検討しています。またRubrikとServiceNowを連携させ早期の復旧フローも確立することを検討予定です」と宮地氏は言う。NECでは一連の情報セキュリティ対策について、「情報セキュリティ報告書」を毎年発行しホームページで公開している。興味のある人は、是非それもダウンロードし参照してほしいとも話した。

[1] NISTが策定した「重要インフラのサイバーセキュリティを改善するためのフレームワーク」。この中でセキュリティ対策としてIDENTIFY(特定)、PROTECT(防御)、DETECT(検知)、RESPOND(対応)、RECOVER(復旧)の5つの機能が定義されている

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note

提供:Rubrik Japan株式会社

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/18392 2023/11/21 10:00

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2024年3月13日(水)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング