調査から明らかになった国内「サイバー復旧」の現状と必要な対策とは？

＜Dell Technologiesのデータ保護ソリューション＞

データ保護と聞いて皆さまが想像される技術は、まず「バックアップ」だろう。バックアップサーバー、バックアップソフトウェア、バックアップストレージの3つの要素で構成されるが、当社はいずれも自社で開発・製造している。次に思い浮かぶ「ディザスタ・リカバリー」はレプリケーションやバックアップなどを使って遠隔地にデータを飛ばし、本部等に万が一の事態が発生した時にも遠隔地などで業務が継続できるようにするソリューションだ。近年着目されているのが「サイバー復旧」、つまりサイバー攻撃者によってデータが暗号化・ロックされた場合でもデータ復旧を行える仕組みだ。お客さまはこれらの技術を、サイバーレジリエンスにも対応した統合データ保護基盤の確立にご活用いただける。

本日はこの中でサイバー復旧を中心にお話しさせていただく。当社は同分野への技術投入を10年前から手掛けており、4年前頃から日本でもだいぶ浸透してきている。グローバルでは金融サービスでの導入が多いが、国内では製造業が半数近くを占めている。この理由として、サプライチェーンに対するランサム攻撃が影響していると推測される。国内で2番目に導入が多いのは医療でランサム被害も顕著化したが、予算が限られている。金融は金融庁からのヒアリングが進んでおり、来年度（2024年度）に向けて予算化している状況だ。

＜調査から明らかになった国内「サイバー復旧」の現状＞

今回の話は2つの調査結果に基づいており、1つ目の「サイバー復旧」意識調査は国内のみで実施しており、1,000人以上の従業員がいる500社を対象にアンケートをまとめたものだ。2つ目のグローバルデータ保護インデックス(GDPI)調査 は、全世界で行われた調査である。

過去12カ月に経験した障害インシデントについて、2021年の調査では予期せぬダウンタイムやデータロスとの回答が多かった。一方で今回の調査では、サイバーインシデントによるデータアクセス阻害と回答したお客さまが増えたのに加え、データ復旧ができないと回答したお客さまも22%から43%と急激に増えたのが特徴だ。バックアップ自体が目的となってしまい、復旧のプロセスを実際に練習していないお客さまが多いのが原因と考えられる。

金融庁も演習が重要と考えており、Delta Wall (https://www.fsa.go.jp/news/r5/sonota/20231018/deltawall.html)という演習を行っている。インシデントが発生した際の復旧を、金融業界横断的に行うサイバーセキュリティの演習だ。昨年10月に第8回目が実施され、保険業界も対象に加えられた。

＜サイバー対策投資の再配分(Re-Balanced)の必要性＞

2018年の調査でセキュリティ機能の優先度と実装度合をヒアリングしたところ、NISTのCyber Security Frameworkで定義される防御：Protectの回答が優先度・実装度合ともに70%を超えた。復旧：Recoveryに関しては優先度が高いものの、実装していた企業は非常に少なかった。一方で2023年の調査では、セキュリティ投資の対象はサイバーレジリエンスにフォーカスが移っている。

今回の調査で、約85%の企業が既に充分なセキュリティ対策の投資を実施していると考えている。また予算内における防御と復旧の割合については、復旧の割合が増加している。ただし復旧計画の責任主幹はどの部門なのかヒアリングすると、さまざまな回答があり、誰が責任主幹なのか明確になっていない。サイバーレジリエンスを高めるには複数の部署が一緒に取り組む必要があるが、日本企業の場合は部署の横の連携が少ない。そのため、横断的な演習が非常に重要になってくる。

＜「サイバー復旧」の位置づけ・重要度＞

国内企業・組織におけるサイバー復旧の認知度は約68%で、多くの企業はきちんと認識している。また、IT予算におけるセキュリティ対策予算の比率が高い企業ほどサイバーインシデントからの復旧を重要視する傾向だ。ランサムウェア被害への備えについては、約74%が不変性だけでは不十分さ・懸念を感じている。

一般的なデータ保護方式として、筐体内コピー、筐体間レプリケーション、クラウドへの保管、バックアップソフトによる別筐体保管がある。RTOやRPOの観点からは優れている点もあるが、ネットワークがつながっている限り、常にデータ汚染の危険性がつきまとう。

＜「サイバー復旧」に必要な対策＞

サイバー復旧の仕組みは防御のために作られているのではなく、ロック・暗号化された状況から早急に復旧することに焦点が置かれている。大きく3つの要素があり、暗号化や改ざん等を防止する不変性、物理的・論理的な攻撃からの隔離、データ汚染状況の分析だ。隔離と不変性について、米国Financial ISAC配下にあるSheltered Harborも重要性を指摘している。世界的な調査機関のガートナーも同様で、防御よりもレジリエンス能力の獲得のほうが効率的としている。

＜Dell Technologiesのサイバー・リカバリー・ソリューション＞

当社のソリューションも不変性・隔離の機能を有している。通常のバックアップを取得後、差分を隔離された空間：VAULT環境へ転送し、完了したら物理的にその環境を隔離する。VAULT環境は外部との接続が一切ない状態となり、かつ改ざん防止加工の状態でデータを保護する。この仕組みはエアギャップというもので、サイバー・リカバリー・ソリューションで新たに開始した仕組みだ。

＜なぜランサムウェア被害からの復旧には時間がかかるのか＞

実際にランサムウェア攻撃の被害にあった企業の復旧までのタイムラインを見ると、最も時間がかかったのは、どのバックアップデータが汚染されているかのチェックであった。全ての世代のバックアップデータをチェックし、この世代であれば大丈夫と判断するまでに何日もかかっている。この問題を解消するために、当社から不変性・隔離に次ぐ3つ目の機能である「データ衛生」を紹介する。

バックアップデータに対する振る舞い検知に関して、データ容量やファイル数、統計情報、メタデータによる分析等は、既存のバックアップソフトの延長線上で対応できる。しかし、AIによるパターン分析、ランサム感染サンプルを使用したパターン分析、個々のファイルレベルでの内部異常分析等の踏み込んだ検知を行うには、振る舞い検知強化のための追加ソリューションが必要だ。メタ情報だけでは異常を検知できない「Alpha Locker」のようなケースも増えてきている。

＜Dell TechnologiesのCyberSense＞

CyberSenseは、すべてのバックアップデータを開いて中身をチェックすることが可能だ。もしフロントでインシデントが発生しても、どの世代のデータを戻せば良いのか把握してフラグを立て、必要なデータをすぐ戻すことができる。平常時からバックアップデータが健康かどうかを常に確認している。

当社のソリューションはオンプレミスだけでなく、AWS・Azure・GCPといったクラウド環境にも対応する。データ防御やデータ隔離については、3つのクラウドいずれにも対応している。データ衛生については現在AWSに対応しているが、Azure・GCPについても近々に対応していく予定だ。

＜サイバーレジリエンス取得のための網羅的なご支援サービス＞

迅速な復旧をするには、インシデントが発生した際にどのような手順で復旧するかを事前に決定・演習する必要がある。当社にはコンサルテーションサービスがあり、復旧手順、報告・開示、演習等の方法を「見える化」してご提供可能だ。当社のサイバー・リカバリー・ソリューションの導入時のみでなく、導入後も万が一の際の迅速な復旧を実現するようご支援する。

◆講演企業情報
デル・テクノロジーズ株式会社：https://www.dell.com/ja-jp