“完全な防御”はほぼ不可能、大事なのは「復旧」
日本でもランサムウェアの感染による被害が生じており、ニュースで報道されることが増えている。被害に遭遇した際、安全かつ迅速に復旧することは機会損失や身代金の支払いを回避するための重要な鍵となる。復旧をどのように進めるかが問われる中、最も基本となるのはバックアップを適切に行うことであると中井氏は指摘する。しかし、従来のバックアップだけでは、昨今のサイバーアタックからの復旧は難しいという。
ルーブリックは、バックアップのソリューションを提供する企業。2014年1月の設立以来、バックアップに加えてサイバーアタックに焦点を当てたデータ保護ソリューションを提供してきた。特筆すべき提携パートナーにマイクロソフトが挙げられる。中井氏は「2年前に戦略的な提携を結び、現在はマイクロソフトからの出資も受けています。マイクロソフトとの連携は深く、エンジニアリングの面でも協力を進めています」と説明した。
ランサムウェアを仕掛ける攻撃者は、様々な方法で防御を突破しようと試みる。システムの弱点やセキュリティの隙間を探し、データを暗号化するか、データを盗む。そして身代金を要求する。多くの企業や団体は、外部からの侵入を阻止する防御策や、侵入を即座に検知する体制の確立に熱心だ。しかし、ゼロデイ脆弱性など、新しく発見された脆弱性への対策をしていない場合は、攻撃者の餌食となる。
このように、サイバー攻撃からの防御は、多岐にわたる対策を施しても、完全に防ぐのは困難だと中井氏は説明する。ランサムウェア被害はデータの暗号化だけでなく、ビジネスが止まり、機会損失も生じる恐れもある。実際にこれまで、数週間から数ヶ月にわたり業務が停止することで、大きな損害を被るケースもあったという。
セキュリティ対策で重要なのは、脆弱性の特定や防御、検知体制の強化に加え、復旧の体制である。中井氏は「復旧の体制は欧米では重要視されています。被害が発生した場合でも、復旧が迅速に行えれば、サービスの再開が可能です」と語った。復旧の要であるバックアップは重要なのだ。
バックアップデータが攻撃の標的に
では、従来のバックアップシステムは、サイバー攻撃やランサムウェア攻撃に対する復旧ソリューションとして十分なのだろうか。中井氏は、サイバー攻撃の被害に遭った組織の中でバックアップをもっていたものの、その8割が復旧できなかったという警視庁の調査結果を示した。ランサムウェアはバックアップデータも攻撃するため、バックアップが使い物にならなくなるケースも多いのだ。攻撃者にとって、バックアップは重要なターゲットとなっていると指摘した。
従来のバックアップの考え方は、システムやデータの誤操作や災害による損失を防ぐためのものであり、サイバー攻撃を想定していなかったという。しかし現代の脅威環境では、組織内部からの攻撃も含めバックアップシステム自体の破壊も想定されるようになってきた。バックアップデータが被害に遭うと、その範囲の調査だけで多くの工数が必要となる。中井氏は、リストアを試みた場合でも、ランサムウェアが混入している可能性があるため、新たな感染を引き起こすリスクも考慮しなければならないと警鐘を鳴らす。
こうした状況下における問題の解決策として、復旧を重点とした「データセキュリティ」という新たなセキュリティカテゴリーが注目されているという。中井氏は、データセキュリティには大きく3つの要素があると説明する。1つは、データの改ざんや破壊を防ぐためのバックアップシステムを強化する「レジリエンス」。2つ目にバックアップデータを分析して、攻撃の状況や時系列を可視化することにより、迅速な判断をサポートする「オブザーバビリティ」。そしてどのバックアップデータが安全であるかを確認し、属人化を避けた確実な復旧を実現する「リカバリ」が3つ目だ。
