グローバルの金融機関が導入を急ぐ、サイバーレジリエンス対策:「サイバー復旧」
-
【講演者】
- デル・テクノロジーズ株式会社
- DPS事業本部 第一営業部 部長
森川 孝秀 氏
<デル・テクノロジーズのデータ保護ソリューション>
データ保護としてメジャーなのはバックアップ(BK)だ。メインストレージがクラッシュした、ファームウェアのバグやヒューマンエラーなどでデータにアクセスできなくなった。このような場合に、すぐに復元するためのソリューションとなる。
もう1つは、ディザスター・リカバリー(DR)だ。サイト自身が、地震、火災あるいは洪水などで使えない。そういった場合でもITのサービスを継続するために、別のサイトですぐに立ち上げられる、そういったソリューションだ。
今回ご紹介するのが第三のリカバリー、サイバー・リカバリーソリューション(以下、CRS)というものだ。悪意をもった第三者からの攻撃によって、データが暗号化、ロックされ、アクサスできなくなってしまった状態からいかに早く安全に復旧するか、そういったソリューションだ。
そして、これらすべてのリカバリーはオンプレだけでなくクラウド上でも展開できるようにし、様々な「ワークロード」を様々な「場所」で一元管理できるソリューションを展開しているのが我々の部署だ。
●デル・テクノロジーズのセキュリティソリューション
NISTは「特定」「防御」「検知」「対応」「復旧」というサイバー・セキュリティ・フレームワークにそった対応を推奨している。
デル・テクノロジーズ・グループでは、これら5つのフレームワークに対応した様々なソリューションを提供している。セキュアなPC、マネージドサービスなどのほか、グループ会社のセキュアワークスではインテリジェンス管理リテーナーサービスを提供している。また、我々のグループからスピンアウトしたものの、VMwareとは未だに共同開発を行っている。
今回ご紹介するCRSはNISTのフレームワークの「復旧」に対応するソリューションだ。
●サイバー脅威対策(レジリエンス)分野におけるプレゼンス
弊社で提供中のCRSは、かなり以前から開発を進めてきたものだ。もともとは2015年にソニーピクチャー社においてサイバーインシデントが発生したことがきっかけで、米国の大手金融機関から相談を受けたことが発端だ。
同じようなインシデントが発生したときに、顧客の口座を担保しサービスを継続して提供できるのか。サイバー攻撃からデータを完全に守るためにはネットワークからの隔離しかない。そこでテープのようなオフライン性とディスクの運用利便性を兼ね備えたソリューションを開発してほしいとの要望に応えたソリューションが、Isolated Recovery Solution(IRS)だ。
弊社は米国FS-ISACの傘下組織であるシェルタード・ハーバーに参画し、ユーザーの意見を聞きながらランサム対策のためのソリューションを開発してきた。そしてユーザー企業のご要望組み込みIRSをさらにエンハンスしたソリューションがCyber Recovery Solution(CRS)だ。現在では、金融機関を中心に1300社を超える企業が弊社のCRSを導入している。
シェルタード・ハーバーはFS-ISACの傘下組織であり、サイバー攻撃から事業を守るための業界標準仕様を策定している団体であり、ここで策定された仕様は世界各国の金融機関に影響を与えている。また、弊社は2022年6月より日本金融ISACにもアフィリエイト会員として加盟しており、そのポータルサイトであるSIGNALにおいてさまざまなランサム対策時のためのコラムを寄稿中だ。
<サイバーインシデントに対する弊社取り組み>
弊社では、ユーザー様のヒアリング調査を行い製品開発に役立てている。グローバル・データ・プロテクション・インデックスと呼ばれており、データ保護に関する課題や問題点をヒアリングするものだ。この中でダウンタイムやデータロスの原因は何かと尋ねたところ、2021年の調査結果は「ハードウェア障害」や「ソフトウェアエラー」が上位であった。
ところが2022年の調査結果によると「外部からのセキュリティー侵害」がダウンタイムやデータロスの原因の第1位となった。なおかつ「内部からのセキュリティー侵害」が第5位にランクインした。つまり従来のように物理起因ではなく、セキュリティインシデントによるデータロスが非常に大きな問題になっている。また第3位には「サービス/クラウドプロバイダーのエラー」がランクインしており、どのようなプラットフォームであってもデータ保護は必要といえるだろう。
警察庁の資料によると、サイバーインシデント被害企業・団体の9割近くがバックアップを取得していた。一方、ランサムウェアによって暗号化された状況からバックアップデータを使って復元できたかと尋ねたところ、7割以上が復元できなかったと回答しており危機的な状況だと分かる。
●近年のサイバー攻撃手法はバックアップデータから
近年ではサイバー攻撃はビジネスとして確立されている。データを人質にしてお金を盗る仕組みだ。そのため攻撃者は、侵入後にまずバックアップデータやDRにあるコピーデータを破壊する。
その次に本番データを破壊・捕縛するため、気づいた時にはバックアップデータから復旧できない状況に陥っている。これにより、身代金を獲得する確率を上げているわけだ。このことから、たとえバックアップデータを取得していても、サイバーインシデントの際には復元するのが非常に難しい。
我々がNISTのフレームワークにそってサイバー投資の優先度や機能実装についてヒアリングしたところ、最も手厚いのは「防御」の部分であった。「復旧」については、優先度が高いものの実装が進んでいないように見える。
コロナ禍でテレワークが進み、社外からネットワークにアクセスする機会も増えたことから、実際に攻撃対象の面が拡大している。そのため膨大な費用を防御につぎ込むことは理にかなっているが、それだけ防御しても、100%の防御はあり得ない。
またRaaSを使えば攻撃が簡単にできるほか、ノウハウのやり取りをする商圏(ビジネスエコシステム)が確立されている状況だ。そのため日本においても、被害報告件数が激増している。
そこで暗号化されるという前提のうえに、いかに早く通常業務に戻るかという観点にたって投資をしたほうがいいのではないかという考えが台頭してきている。つまりどんなに投資をしてもROIを明確化できない「防御」よりも、投資をすればするほど、明らかに復旧するまでの時間を短くすることができる、つまりROIが目に見えやすいサイバーレジリエンスにグローバルではセキュリティー投資のフォーカスが移っている。
さらにサイバーレジリエンスの一歩先を見て、システム復旧の自動化を実現するための「セキュリティオーケストレーション」も注目されはじめている。
●サイバー復旧:Cyber Recovery Solution(CRS)
弊社は長年さまざまなデータ保護ソリューションを提供してきた。しかし、従来のデータ保護方式では、悪意を持った第三者が介在するサイバー攻撃には対応できない。どのようなデータ保護方式をとろうとも、ネットワークが繋がっている限り常にデータ汚染の危険性がつきまとうからだ。
弊社が考えるサイバー・リカバリー(CR)における重要なポイントは、Immutable(改ざん防止)、Isolated(ネットワークからの物理的隔離)、Intelligence(データ衛生)の3つの「I」であると考えている。
シェルタード・ハーバーにおいても、バックアップデータは改ざんされないよう暗号化されること(Immutable)、ネットワークから物理的に完全に分離されること(Isolated)、これら2点が重視されている。
これを受けて弊社のCRSでは、ゼロトラストのアーキテクチャをベースにしたPowerProtect Data DomainのImmutable機能により「データ防御」を実現し、日々のレプリケーションが終了し次第、NICをDisenableにすることにより「ネットワークからの完全な物理的隔離」を実現している。これによりバックアップデータを完全に保護することが可能になったが、サイバーレジリエンスの真の目的は復旧にある。サイバーインシデントからの復旧において最も重要なのが、どのバックアップデータセットが、汚染されていないクリーンなデータセットかを探し出し復旧(リストア)することである。いざ、インシデントが起きてからすべてのバックアップデータセットを確認していては、復旧に膨大な時間がかかってしまう。そこで重要になるのが3つ目の「I」であるIntelligence(データ衛生)である。CRSではCyber Senseと呼ばれるアプリケーションで隔離環境にあるバックアップデータセットをコンテンツレベルで毎日フォレンジック分析を行い、サイバーインシデントが発生した場合リストアすべきクリーンなデータをすぐに復旧(リストア)することができる。Cyber Senseはバックアップデータの検査に特化したアプリケーションであり、過去のデータとの比較検証により復旧用のクリーンなデータセットを平常時から特定可能だ。
CRSはAWS、Azure、GCPなどクラウドにも展開でき、パブリッククラウドが責任を負わないデータロスにもレジリエンス能力を持たせることが可能になる。ただしデータ衛生に対応できるのは今のところ(2023年2月時点)AWSのみだ。今後このデータ衛生(Intelligence)機能はAzure、GCPにも展開されていく予定である。
グローバルでの導入実績については、第1位が金融サービス、第2位は政府・官公庁、第3位がヘルスケア・ライフサイエンスとなっている。国際金融を動かす重要銀行であるG-SIBsに挙げられている30行のうち約7割が、弊社のCRSを導入済みあるいはデプロイ中だ。
<結びに>
サーバー脅威については、日本のお客さまは「危機感」と「楽観」のはざまで揺れている状況だ。どれだけリスクテイクをして投資をしていくか。我々としては、サイバーインシデントは南海トラフ地震と同じと考えている。つまり今後30年以内に発生する確率は70%~80%とほぼ確実に発生するが、発生するのは30年後かもしれないし、明日かもしれない。サイバーインシデントも発生するのは3年後、5年後かもしれないが、来週かもしれない。つまり、すでに「If」-発生するかもしれない-の段階ではなく「When」-いつ発生するか-の段階にきている。したがって、サイバーインシデントはいつか必ず発生するという前提のもと甚大な被害への対策意識が必要だと考えている。
弊社では、サイバーインシデントに対する対策をコンサルテーション、ソリューション、運用まで一貫してご提供できるので、ランサムウェア対策についてはぜひ弊社までご相談いただければと思う。
◆講演企業情報
デル・テクノロジーズ株式会社:https://www.dell.com/ja-jp