すべての組織がサイバー攻撃に耐えられるように
Rubrikは、2014年にバックアップ/リカバリーのテクノロジーの会社として誕生した。システムの不具合や自然災害の発生にも、ビジネスを継続できるようにすることがバックアップの役割だ。ただ、これらのトラブルは本来、毎月発生するわけではない。しかし最近は、サイバー攻撃が毎日のように発生しており、それら攻撃によるリスクから復旧することもRubrikの重要な役割だと石井氏は話す。
Rubrik製品は、当初からゼロトラストのデータ保護を実現してきた。このコンセプトがあったからこそ、昨今のサイバーリスクにも対処できる。実際、Rubrikの顧客が始めてランサムウェアの被害に遭ったのは2017年のこと。バックアップデータがあったおかげで、データは復旧し事なきを得ている。
この経験でランサムウェア攻撃への対処では、いつ何が起き、どこに安全なデータがあるかが極めて重要と分かる。そのためRubrikでは、以降はセキュリティリスクのオブザーバビリティを強化した。そして2021年にはセキュリティリスクに対応する専門部組織「Zero Labs」を立ち上げ、日々のセキュリティリスクを分析して得られた情報、知見を元に顧客データの保護に取り組んでいる。
現状Rubrikでは、28エクサバイトの論理ストレージの659ペタバイトのバックエンドストレージのデータを保護している。その中には87億以上のファイルがあり、ファイル内には190億以上の機密データレコードがある。
データセキュリティで重要なのは「何を保護するかです」と言うのは、Rubrik Head of Zero Labのスティーブ・ストーン氏だ。ハイブリッド環境をどう保護するか、リスクが何かを具体化し優先順位を付けるのも必要だと指摘する。そして現状では、ランサムウェア攻撃などが増加傾向にはあるが対策方法も整備されてきており、「全体的には良い方向に向かっている」とも話す。
Rubrikの調査では、アジア地域の45%の組織はオンプレミス、クラウド、SaaSが混在した環境でデータを保護しており、36%が複数クラウドのサービスを併用している。守るべき対象のデータはオンプレミスにもクラウドにもあり、Microsoft Azure、Amazon Web Services(AWS)、Google Cloudなど複数クラウドを同時に使っている。データはこれらの環境の間を行き来し「データに境界線はなく流動的です。攻撃者もこれらの環境を行き来しながら攻撃してきます」とストーン氏。これらのこと踏まえて、データを守る必要があると言う。
サイバーリスクには様々な要素が関わっており、業界の規制や法律にも準拠する必要がある。GDPR(EU一般データ保護規則)やHIPAA(医療保険の携行性と責任に関する法律)、CPRA(カリフォルニア州プライバシー権法)などの規制に準拠しても、組織が受ける攻撃はそれよりはるかに多いのが現状だ。そのためデータを守るには、法令など沿うだけでなく新たな見方が必要だと指摘する。
ほとんどの組織がバックアップデータを攻撃されており、7割ほどでは攻撃が何らか成功している。侵害された結果、組織は守りを強化している。強化の際にはバックアップを守ることが重要であり、それを実現するのがRubrikとなる。実際、半数近い顧客(48%)が、何らかのランサムウェアの兆候を示す活動に遭遇しており、Rubrikでは全ての顧客が、いかなるランサムウェア攻撃にも耐えられるようにすることを目指すと、ストーン氏は言う。
昨年のFOWARDでは、データを守るために予測による異常検知、機密データの監視、可視化、脅威ハンティングに力を入れることなどを明らかにした。これらを実現しても、すべてのニーズには応えられない。今後はユーザーの動きも見る必要があり、ユーザーがデータをどのように扱っているかを見極める必要があるとも指摘する。
そこでRubrikでは、脅威監視の機能を使えるようにし、CSIRTとSOCなどの組織がなくても監視を可能にする。またDevOpsで重要なJiraやMicrosoft ADやAzure AD、Amazon S3やAmazon Auroraなど、守るデータタイプも増やす。保護対象の拡大に終わりはなく、継続するものだ。
ユーザー関連の対応は、ユーザーIDとロールを把握し、権限やアクセスの状況を分析、行動パターンを見てリスクと漏洩の可能性を低減するユーザーインテリジェンス機能を提供するという。これらでリアクティブからプロアクティブな対応を可能とする。そしてこれらの機能を新しい製品として提供するのではなく、既存のRubrikの画面から使えるようにすると話す。それによりユーザーは特別なトレーニングなど無しにデータ保護を強化できる。
5,000社以上の組織が、Rubrikを信頼しデータ保護を任せているとストーン氏。顧客満足度を現すNPSも「82」とシリコンバレーのベンダー平均である60よりもかなり高い。顧客に高い満足度を与えられるだけの実践的なノウハウが、Rubrikにはあると自信を見せた。
まずは日本企業が“おざなり”にしがちな「リスクの把握」を
セキュリティコンサルタントで前内閣サイバーセキュリティセンター 内閣参事官の結城則尚氏は、「組織固有のリスクを踏まえたサイバーセキュリティ対策」と題して講演した。国内のサイバー政策の動向としては、2000年の省庁のホームページ改竄を発端にサイバーセキュリティ政策が始まった。システムへの依存度が高まり、サービス停止が社会の混乱を巻き起こす。近年はランサムウェア感染の被害が見過ごせなくなった。
セキュリティコンサルタント(前内閣サイバーセキュリティセンター 内閣参事官)
結城則尚氏
これらに対し2015年1月にサイバーセキュリティ基本法ができ、2022年6月に重要インフラ行動計画が策定された。サイバーセキュリティの議論は「真っ只中の状況」だと結城氏は言う。また国際動向としては米中対立、新型コロナウィルスのパンデミック、ロシアのウクライナ侵攻などがあり、国家レベルのサイバー攻撃やランサムウェアで資金調達する動きが出ている。このような状況の中、サイバー攻撃の実害が2018年頃から発生しており、2020年くらいからランサムウェアの被害が発生している。これらへの対策は「組織全体で取り組まなければなりません」と言う。
2021年のランサムウェア攻撃の被害額として、7億5000万円あまりの特別損失が計上されている。サイバー攻撃への対処には、大きくコストがかかるとCIOやCSOは認識し始めた。2022年11月に大阪急性期・総合医療センター、2023年7月には名古屋港統一ターミナルシステムがランサムウェアに感染し業務、サービスが停止した。前者は復旧に約2ヵ月半かかり、後者は3日で復旧。復旧時間が短くなったことは評価できるが、社会インフラではより迅速な復旧が望まれる。
従来のサイバー攻撃は、アンチウイルスやファイアウォールがあれば防げた。その後脅威は高度化し、システムの使い方も変化。その結果リスクも変わっているという。2015年以降は様々なものがインターネットでつながり、リスクが高まっている。工場などは外部とつながらない前提の対策だったが、それが崩れ、攻撃にさらされている。関連会社を踏み台にするサプライチェーン攻撃のリスクもあり、こういった環境の変化に柔軟に対応できなければならないと結城氏は言う。
今後サイバーセキュリティは、組織論で考えるべきだ。2000年代はネットワーク管理者などが対策するだけだったが、今は経営リスクと捉え対策しなければならない。現在はITシステムの障害が国民の財産や生命にも影響する時代であり、企業の外部調達などが高度化し一つの組織だけでの対策では終わらないことも考慮する必要がある。
対処にはネットワークの防御とネットワークオペレーションを一体化した対応がいる。何らかの機器を入れて終わりではなく、運用も合わせて見る。とはいえログを取得しリアルタイムに人が監視するのは難しい。そこは機械学習の技術を適用し、リアルタイムのダッシュボードで監視する。今後はそのような「情報中心のセキュリティが大事になります」と結城氏は言う。
そしてリスクを把握することが重要であり、そのためには目的に対する不確かさの影響である「ISO31000」と、被害のひどさ×発生頻度による安全のガイドライン「ISO/IEC Guide51」の組み合わせが現実的だ。そしてリスクを把握するには「プロファイル(特定)」することが必要となる。これを日本企業は、おざなりにしてきたところがあるとも指摘する。
今後やるべき待ったなしなのは、従来の正攻法の対策で時間を稼ぎつつランサムウェアの脅威への対策をすることだ。ランサムウェア攻撃のほとんどは既知の脅威であり、適切なバックアップとリストア、流出データの把握により数時間で復旧可能だ。手間とコストのかかる災害対策の前に「ランサムウェアの攻撃を受けても迅速に回復できるようにするところから、まずは始めるのが良いでしょう」と、結城氏はアドバイスする。
NECは800を超える社内システムに、Rubrikのバックアップを検討
「NECのセキュリティ対策とサイバーレジリエンス強化」と題し講演したのは、日本電気(NEC) 経営システム統括部 シニアプロフェッショナルの宮地啓輔氏だ。現状、企業は11秒に1回ランサムウェアの被害に遭っており、1分ごとに新たなマルウェアが生まれている。さらに生成AIの登場で高度なマルウェアが生成され、セキュリティ対策はますます重要だと宮地氏は言う。
そのような状況の中、NECでは人材育成を含めた包括的なセキュリティ対策をグローバルで取り組んでいる。NECが考えるセキュリティ対策フレームワークは、一人ひとりの意識と正しい行動を促す「アウェアネス」、攻撃情報を入手し事前に防御する「インテリジェンス」、早期に検知、対処、復旧する「レジリエンス」の3つで構成されている。また、グループの経営方針を定めた経営ポリシーで情報セキュリティの基本方針が規定されており、グループが一貫して取り組むものとなっている。
NECの情報管理の考え方は「Three Lines Model」で、第1ディフェンスラインはリスクオーナーである事業部門、第2ディフェンスラインはリスク管理部門、第3ディフェンスラインは内部監査部門となり、それぞれで役割と責任を明確化し管理している。また、セキュリティプラットフォームでは、境界型セキュリティに加えゼロトラストベースの対策を進めている。
同社ではサイバーセキュリティダッシュボードで、全社員にNECに対するサイバー攻撃の状況をリアルタイムで公開している。これにより、データドリブンなリスク対策とセキュリティアウェアネスの向上にも取り組んでいる。また、サイバーリスクアセスメントでは、外部からのアクセスにおける脆弱性診断などにより、リスクを事前に明確化した上で適切な対策を施す。さらに「AIを活用した取り組みも強化しており、標的型攻撃メールの訓練メールの文面生成などに生成AIを活用している」と宮地氏は語る。
NECでは上記のようなセキュリティ対策を実施していたが、高度化するランサムウェアの脅威に対抗するには、さらなる対策、特にレジリエンスの向上や強化が必要だと判断した。NIST(米国国立標準技術研究所)の「Cyber Security Framework[1]」は、IDENTIFY(特定)、PROTECT(防御)、DETECT(検知)、RESPOND(対応)、RECOVER(復旧)で構成されるが、レジリエンスを強化するにはDETECT(検知)、RESPOND(対応)、RECOVER(復旧)の強化が必要となる。この部分の強化方法を検討した結果、感染から復旧までの時間を大幅に短縮できるRubrikが最適であると判断し、導入決定に至ったという。
Rubrik導入前後で感染から復旧のシナリオが異なり、感染範囲の極小化、感染ファイルのみのリストアなどが可能となる。一方Rubrikがなければ「最悪、システムの復旧を断念せざるを得ないケースもあり得る」と宮地氏は言う。また、有事の際に迅速に復旧できるようにするには、平時から訓練や演習が重要だとも指摘する。それらを何度も繰り返すことで、有事の際に適切な対応ができ、迅速な復旧が可能となる。一連の対応は「ランサムウェア攻撃対応マニュアル」としてまとめており、いつでも活用できるような体制を整えている。
NECには800を超える社内システム、約90のSaaS、約6,000台のサーバーがあり、これらのバックアップをRubrikで取得しランサムウェア対策を行うことを検討している。基盤としてはオンプレミス、AWS、Microsoft Azure、VMware Cloudなどがあり、バックアップ全体をRubrikで統合することでバックアップの運用効率化も図る。オンプレミスでは、総データ容量約2ペタバイトのファイルサーバーはRubrikを導入済みだ。VMware Cloud on AWSの環境では、約500台のVMに総ディスクサイズ約150TBの環境を対象にRubrikを導入中だ。今後AWS、Azureの環境にも導入を検討している。
NECでは2025年度中(2026年3月末)に社内システムのモダナイゼーションの完了を予定しており、「それに合わせてRubrikの導入を検討しています。またRubrikとServiceNowを連携させ早期の復旧フローも確立することを検討予定です」と宮地氏は言う。NECでは一連の情報セキュリティ対策について、「情報セキュリティ報告書」を毎年発行しホームページで公開している。興味のある人は、是非それもダウンロードし参照してほしいとも話した。
[1] NISTが策定した「重要インフラのサイバーセキュリティを改善するためのフレームワーク」。この中でセキュリティ対策としてIDENTIFY(特定)、PROTECT(防御)、DETECT(検知)、RESPOND(対応)、RECOVER(復旧)の5つの機能が定義されている
