ランサムウェアの脅威が深刻化する中、企業はどのようにデータを守るべきか。昨今の被害事例から見えてくるのは、EDRなどに代表される「検知」型セキュリティ対策だけでは必ずしも十分とはいえないという現実だ。
そうした背景から、昨今では企業データの適切なバックアップが、ランサムウェア対策としても有効であるという認知が広がり、積極的に取り組む企業が増加傾向にある。そうした昨今の状況を踏まえ、本稿では、丸紅I-DIGIOグループ IT基盤サービスセグメントの松本 靖史と、データバックアップソリューションの世界的リーダーであるArcserveの日本法人arcserve Japan合同会社のソリューション統括部 マネージャの中田 皓介氏に、ランサムウェア対策の「最後の砦」ともいうべきバックアップの重要性と、企業のバックアップに関する取り組みの状況を評価する丸紅I-DIGIOが展開するバックアップアセスメントサービスの有用性などについて伺った。
昨今のランサムウェア被害の損失は「復旧費用」だけではない
――昨今では、大手企業のランサムウェア被害がたて続けに大きく報道されています。まずは、こうした被害事例から見える、企業の損失実態についてお聞かせください。
中田氏 昨今の被害は、数年前の「うっかりウイルスに感染した」というレベルとは全く異なります。被害額は復旧費用だけではありません。システム停止による「機会損失」が甚大です。大手企業の被害状況の報道によると、運営している動画サービスなどのサービス停止や、出版物の流通遅延により、機会損失だけで80億円以上に達したという報道もあるほどです。
松本 ランサムウェア被害に遭ってしまい、重要なデータが暗号化されるなどの被害が発生した場合、単に「データを元に戻せば良い」という話ではなく、それによってビジネスが滞ってしまうことそのものが、企業の存続を揺るがすほどの大きなインパクトを持っているということです。
中田氏 かつてのランサムウェアに対する認識というのは、「パソコンでうっかりウイルスメールを開けてしまったために感染する」という程度のものでした。しかし昨今では侵入型ランサムウェア攻撃といわれるものが大きな脅威になっています。VPNなどのネットワークの脆弱性を人為的に狙って、まず侵入してきた上で、管理者権限などを奪っていくというものです。そうすることによって、ネットワーク内で重要性の高いデータを見つけ出して暗号化を仕掛けてきます。無差別に攻撃してくるというよりも、精密爆撃のような攻撃です。
その攻撃ターゲットには、当然バックアップデータも含まれます。警察庁のレポートでも、ランサムウェア被害に遭った企業の約半数が「バックアップデータも破壊・暗号化された」と回答しています。攻撃者としても、企業に対して致命的な影響が及ぶようなデータを攻撃しないと意味がないと考えているのです。だから、侵入者は真っ先にバックアップデータを狙いますし、かつてのようにバックアップデータがあれば安心、という神話はすでに崩れていると考えた方がいいでしょう。
検知サービスのメリットと、浮き彫りになった限界
――多くの企業はEDR(Endpoint Detection and Response)などの検知サービスを導入していますが、これだけで防ぐことはできないのでしょうか。
中田氏 もちろん、EDRサービスは攻撃を未然に防ぐ、あるいは予兆をつかむという意味で非常に重要です。しかし、最近の被害事例の報道を見ると、EDRを入れていても、それをかいくぐられたり、あるいはEDRそのものが攻撃者によって停止させられたりするケースが出てきているというのが実態です。
松本 攻撃者にとってEDRは邪魔者ですから、まずはEDRを止めてしまうなど、今の攻撃者は非常に手際が良い。システムに侵入してから1か所の端末を乗っ取るまでの時間は、わずか40分前後といわれることもあります。
この40分という短時間で、検知システムが異常を検知し、状況を判断して、端末を切り離すなどの対策を講じる必要があるわけです。しかし、これを24時間365日完璧に行うには、莫大なコストと人的リソースが必要です。中堅・中小企業などリソースの限られた状況で、自社だけでこれを完璧に運用するのは、現実的にはかなりハードルが高いといわざるを得ないと思います。
中田氏 だからこそ、私たちは「検知」という盾と同時に、やられた後の「バックアップ」という最後の砦を強化する必要があると訴えています。実際、弊社製品の最新版「Arcserve UDP 10.3」では、保護対象データの異変をバックアップデータを通してAIで監視し、EDRが止められた後でも「データがおかしい。これは攻撃を受けている可能性がある」と知らせる機能を強化しました。一つの検知システムだけで防御するのではなく、複数の網を張ることが重要だと考えています。
ランサムウェア対策としてのバックアップにおける「3-2-1-1」ルールの重要性
――バックアップが「最後の砦」として機能するためには、どのような構成が必要なのでしょうか。
中田氏 従来、データの保護と復旧のためのバックアップについては「3-2-1ルール」という標準がありました。「3つのバックアップコピー」「2つの異なるメディア」「1つの遠隔地保管」です。しかし、ランサムウェア対策としてのバックアップという視点でいえば、すでに触れたように、バックアップデータそのものが狙われる状況になっていることに鑑みて、これにプラス「1」を加えた「3-2-1-1ルール」が世界標準になりつつあります。
松本 最後の「1」は、「イミュータブル(Immutable:不変)領域」に保管することです。イミュータブル領域とは、一度書き込んだら、一定期間は削除も変更もできないデータ領域というものです。これがあることによって、たとえば攻撃者が侵入して、システムの管理者権限を奪ったとしても、このデータを攻撃することができません。
中田氏 具体的には「イミュータブルストレージ」を活用することで実現できます。弊社の「Arcserve CRS(Cyber Resilient Storage)シリーズ」がこれに当たります。管理者が「削除」ボタンを押そうとしても、削除機能自体が論理的に存在しない、あるいはスナップショットが保護されているため、攻撃者は手出しができません。
――イミュータブルストレージはコストがかかるイメージがありますが。
中田氏 イミュータブルストレージに限らず、ランサムウェア対策を意識した複数世代のバックアップを行うには、以前は専用の高価なストレージが必要でした。しかし、今はソフトウェア側の機能でコストを抑えることができます。「重複排除(Deduplication)」と「継続増分」の組み合わせです。毎日、変更があった分のデータ、たとえば「全体の1%程度」のデータだけをバックアップし、さらに重複するデータを削ぎ落とす。これにより、1TBの容量課金であっても、実質的にはその何十倍もの世代(データ)を保持することが可能になります。
松本 こうした仕組みを導入しておくことで、低コストでありながら、攻撃を受ける数日前、数週間前の状態へ確実に「戻せる」環境が作れるわけです。
バックアップアセスメントサービスの概要とその重要性
――実際問題として、自社のバックアップが適切に設定されているか、確信を持てない企業も多いと思います。そこで今回、丸紅I-DIGIOが展開する「バックアップアセスメントサービス」について教えてください。
松本 ほとんどの企業がバックアップの仕組み自体を導入していると思います。しかし多くの企業を見てきて感じるのは、バックアップ設定そのものが「塩漬け」になっているという問題です。たとえば導入当時は最新だった「3-2-1」の考え方のままでバックアップシステムが運用されていて、そこが塩漬け、つまり更新されていないために、今のランサムウェアの攻撃手法には対応できないというリスクが生じているのです。
中田氏 実際に設定を見直してみたところ、わずかに「3日分、3世代しかバックアップを取っていない」というケースなども散見されましたね。
松本 そうなんです。ランサムウェアには「潜伏期間」があります。攻撃者が侵入してから、数日間かけて準備を進める。もしバックアップを3日分(3世代)程度しか持っていなければ、気づいた時にはバックアップの中身もすでに攻撃者に攻撃されていて、侵入後のデータしか残っていないということにもなりかねません。
そうしたことを考慮して、現状のバックアップの設定がどうなっているのかを評価し、必要な改善提案をするのが、我々のバックアップアセスメントサービスなのです。
――バックアップアセスメントサービスでは具体的に何を診断するのでしょうか。
松本 主に三つの観点です。一つ目は「構成」。現在の構成が3-2-1-1を満たしているか。二つ目は「設定」。保持している世代数(日数)がランサムウェアの潜伏期間を考慮した適切なものになっているかどうかなど。そして三つ目は「物理的・論理的分離」ができているか。つまりバックアップデータが本番環境で適切に守られているか、という点などです。
すでに触れた通り、ほとんどの企業がバックアップ自体を活用しています。しかし、それらの企業の多くが「バックアップソフトが入っているから大丈夫」と思い込んでいるという印象があります。今日のバックアップ対策は、以前と比べると格段に中身が進化しています。Arcserve UDPにはバックアップするデータ容量を小さくするテクノロジーや、遠隔地でデータを保管するオフサイト保管の機能、あるいは復旧までの時間を短縮する仮想スタンバイやインスタントVMといった機能を備えているものなどもあります。しかし、そうした機能がしっかりと活用されていないという企業が多いのです。だからこそ、まずはバックアップアセスメントサービスを活用して、自社の現状をきちんと把握し、必要な対策の方向性などを明確にする必要があるのです。
丸紅I-DIGIOの「バックアップアセスメントサービス」の優位性
――他社のサービスと比べて、丸紅I-DIGIOのバックアップアセスメントサービスの強みはどこにありますか。
松本 私たちは、SIerとして、お客様にもっともふさわしいプロダクトや、ソリューションを提案できる立場にいます。具体的な製品の裏側まで熟知していますが、だからといって特定のメーカーに縛られない「マルチベンダー」のIT商社であるというポジションなので、お客様にとって最適な構成を客観的に判断・ご提案できます。
たとえば、Arcserve UDPは日本のTOPIX500(東京証券取引所の東証株価指数の構成銘柄のうち、時価総額と流動性が高い500企業)のうちの約7割の企業で使われているという実績があります。こうした企業では、Arcserve CRSのような最新ソリューションを組み合わせることで、既存の運用を大きく変えずに、低コストで「3-2-1-1」へアップグレードでき、ランサムウェア対策を強化することができます。そうした提案も、私たちならできます。
中田氏 TOPIX500のうちの約7割で活用されているからといって、Arcserve UDPやArcserve CRSが、大企業限定のソリューションということではなく、中堅・中小企業など非常に幅広い規模の企業・団体で活用していただけるソリューションです。ぜひ多くの方に活用していただきたいと思っています。
松本 バックアップデータは「最後の砦」ともいうべきものです。ですから、より強固な仕組みとして機能させなければ意味がありません。それを実現する上でも、現状を正しく把握・理解することが肝要で、そのためのバックアップアセスメントサービスを通じて、より多くのお客様に、安心できるデータバックアップの構築・運用をご支援したいと考えています。
――かつては、企業のBCP対策というと、東日本大震災のような大規模災害対策という面が強かったが、昨今ではランサムウェアのようなサイバー攻撃への対抗手段という面の重要性に注目が集まっている。適切なバックアップ対策こそが、ランサムウェアという見えない敵から企業を守るための、もっとも確かな道筋といえるのかもしれない。
