“完全な防御”はほぼ不可能、大事なのは「復旧」
日本でもランサムウェアの感染による被害が生じており、ニュースで報道されることが増えている。被害に遭遇した際、安全かつ迅速に復旧することは機会損失や身代金の支払いを回避するための重要な鍵となる。復旧をどのように進めるかが問われる中、最も基本となるのはバックアップを適切に行うことであると中井氏は指摘する。しかし、従来のバックアップだけでは、昨今のサイバーアタックからの復旧は難しいという。
ルーブリックは、バックアップのソリューションを提供する企業。2014年1月の設立以来、バックアップに加えてサイバーアタックに焦点を当てたデータ保護ソリューションを提供してきた。特筆すべき提携パートナーにマイクロソフトが挙げられる。中井氏は「2年前に戦略的な提携を結び、現在はマイクロソフトからの出資も受けています。マイクロソフトとの連携は深く、エンジニアリングの面でも協力を進めています」と説明した。
ランサムウェアを仕掛ける攻撃者は、様々な方法で防御を突破しようと試みる。システムの弱点やセキュリティの隙間を探し、データを暗号化するか、データを盗む。そして身代金を要求する。多くの企業や団体は、外部からの侵入を阻止する防御策や、侵入を即座に検知する体制の確立に熱心だ。しかし、ゼロデイ脆弱性など、新しく発見された脆弱性への対策をしていない場合は、攻撃者の餌食となる。
このように、サイバー攻撃からの防御は、多岐にわたる対策を施しても、完全に防ぐのは困難だと中井氏は説明する。ランサムウェア被害はデータの暗号化だけでなく、ビジネスが止まり、機会損失も生じる恐れもある。実際にこれまで、数週間から数ヶ月にわたり業務が停止することで、大きな損害を被るケースもあったという。
セキュリティ対策で重要なのは、脆弱性の特定や防御、検知体制の強化に加え、復旧の体制である。中井氏は「復旧の体制は欧米では重要視されています。被害が発生した場合でも、復旧が迅速に行えれば、サービスの再開が可能です」と語った。復旧の要であるバックアップは重要なのだ。
バックアップデータが攻撃の標的に
では、従来のバックアップシステムは、サイバー攻撃やランサムウェア攻撃に対する復旧ソリューションとして十分なのだろうか。中井氏は、サイバー攻撃の被害に遭った組織の中でバックアップをもっていたものの、その8割が復旧できなかったという警視庁の調査結果を示した。ランサムウェアはバックアップデータも攻撃するため、バックアップが使い物にならなくなるケースも多いのだ。攻撃者にとって、バックアップは重要なターゲットとなっていると指摘した。
従来のバックアップの考え方は、システムやデータの誤操作や災害による損失を防ぐためのものであり、サイバー攻撃を想定していなかったという。しかし現代の脅威環境では、組織内部からの攻撃も含めバックアップシステム自体の破壊も想定されるようになってきた。バックアップデータが被害に遭うと、その範囲の調査だけで多くの工数が必要となる。中井氏は、リストアを試みた場合でも、ランサムウェアが混入している可能性があるため、新たな感染を引き起こすリスクも考慮しなければならないと警鐘を鳴らす。
こうした状況下における問題の解決策として、復旧を重点とした「データセキュリティ」という新たなセキュリティカテゴリーが注目されているという。中井氏は、データセキュリティには大きく3つの要素があると説明する。1つは、データの改ざんや破壊を防ぐためのバックアップシステムを強化する「レジリエンス」。2つ目にバックアップデータを分析して、攻撃の状況や時系列を可視化することにより、迅速な判断をサポートする「オブザーバビリティ」。そしてどのバックアップデータが安全であるかを確認し、属人化を避けた確実な復旧を実現する「リカバリ」が3つ目だ。
「ここまでやる?」 厳重なデータセキュリティ対策を
1つ目のレジリエンスに関して、ルーブリックのソリューションでは、外部からの不正アクセスを制限し、バックアップデータへのアクセスを保護しているという。データへのアクセスは常時開放されておらず、ルーブリックからの要求にのみ応答する形でセッションが確立される。中井氏はこの方式によって、ランサムウェアなどからの不正アクセスを効果的に阻止できると説明した。
バックアップの取得方法として、ルーブリックではデータを引き寄せる「プール」方式を採用。取得が終了した際にはセッションを終了する。これにより、外部からの不正アクセスが難しくなっているとのこと。バックアップデータは、ルーブリックが開発したイミュータブル(作成後に状態を変えないこと)なファイルシステム上で保存されており、不正な編集や削除ができないようになっている。
また、ルーブリックのシステムは、ゼロトラストのセキュリティモデルに基づいており、管理者権限であっても簡単に設定変更ができないという。さらに、不正なアクセスや変更を監視し、必要に応じて阻止する仕組みも備わっている。ただし、動作しているOSが乗っ取られてしまい、これらの対策が無効となる可能性があるため、ルーブリックは自身で提供するOSとバックアップソフトを一体化したアプライアンスを提供している。
中井氏は「『ここまでやる必要があるの?』と疑問に思われる方もいらっしゃるかと思いますが、現代の状況では、様々なセキュリティ対策や制限を十分に施しておかないと、バックアップシステムのデータが危険に晒される可能性が高まります。この点に関しては、私たちは多岐にわたる対策を慎重に実装しております」と強調した。
バックアップデータ分析で侵入兆候を特定
2つ目に挙げたオブザーバビリティの側面では、バックアップデータと機械学習のエンジンを組み合わせることで、たとえばランサムウェアの被害範囲の可視化を行うという。特定のサーバー内での暗号化された領域や不審な動きをしているバックアップデータ、暗号化されているファイルの特定が可能だとしている。さらに、一定期間のバックアップデータを分析することで、ランサムウェアの侵入の兆候を特定することもできる。これにより、侵入前の安全なバックアップデータの特定が容易になると中井氏は説明した。このようなバックアップデータの分析を通じて、システム内に不適切に存在する機密データや個人情報の特定もできるため、情報漏えいリスクの早期発見も期待できるとした。
中井氏は続いて、ルーブリックのソリューションのデモンストレーションを行った。管理画面では、バックアップデータの分析により、そのデータ内に不審な要素があることをアラートで表示する。フォルダ内に不審な動きを示すファイルが検出され、暗号化された疑いのあるファイルには「Suspicious」のタグで示される。どのファイルが暗号化されているか、またファイルにどんな機密情報が含まれるかを一覧表示できる。
リストアの段階では、これらの分析結果を基にリストアを進める。最新のバックアップデータは既に被害を受けている可能性が高いため、被害を受ける前のデータを利用することが推奨されると指摘。ルーブリックのソリューションではダッシュボードから被害の状況、機密データの分析、リストアまでの一連のプロセスを一つの画面で完結できるという。中井氏は、IT部門やセキュリティ担当者など、関連するすべての担当者が管理画面で情報を共有しながら復旧プロセスを進められると説明した。
そして3つ目のリカバリに関しては、様々なシチュエーションが存在するという。大量のVMを一斉に回復するシチュエーションや、ディザスタリカバリとして別のサイトにデータを回復する場合、同一のサイトでの上書きリストア、または一度ステージング環境でのリストアを経てからの本番環境へのリストアといったプロセスも考えられる。同社では、これらの多様なユースケースに対応するリストアのプロセスを自動化するソリューションも提供しており、リストア作業をミスなく迅速に実行することが可能だ。
「私たちは常に企業やお客様の復旧力の向上を目指しています。万が一の際も、迅速かつ安全に復旧できるような方針をもっております。今後も復旧の分野をさらに強化する計画です」(中井氏)