ランサムウェア被害から迅速に復旧するための“サイバーリカバリ”とは？

被害件数は5年間で6倍に

復旧まで通常2カ月かかる

サイバーリカバリベンダーであるRubrikが提供する「Rubrik Security Cloud」は、世界で6,000社以上の企業に導入されています。その中で、実際にランサムウェアの被害に遭ったお客様もいらっしゃいますが、Rubrikが確実な復旧を実現しました。

警視庁によると、ランサムウェア被害件数は2020年以降の5年間で約６倍に増加しています。そして近年の被害の83%は、VPN(Virtual Private Network)やリモートデスクトップを経由した外部からの侵入によるものです。

ランサムウェアは、ファイルを元に戻すことと引き換えに金銭を要求することを目的としています。攻撃者は、ユーザー側での復旧を困難にさせるため、バックアップデータの暗号化など様々な悪意ある手段を取ります。一般に、ひとたび被害を受けると復旧に2カ月程度と言われます。また、バックアップが利用可能であっても、システム障害における復旧とは異なり、どの時点に復旧したら良いのかという判断が難しい、という点がランサムウェア被害におけるバックアップからの復旧における課題のひとつです。つまり 、システム障害からの回復を主目的とした従来型のバックアップリカバリの方法が通用しなくなっているのです。そこで注目されているのが「サイバーリカバリ」です。データを安全な状態に戻すことに加え、ランサムウェア被害に遭った後の迅速な復旧を目的とした対策アプローチです。

Rubrikの考えるサイバーリカバリは大きく分けて、データレジリエンス、データオブザーバビリティ、データリカバリの3つの要素で構成されます。

1つ目のデータレジリエンスとは、バックアップシステムおよびデータを不正アクセスや改ざんから守ることです。「Rubrik Security Cloud」が提供するアプライアンスは、ハードウェアとソフトウェア一体型のシステムでプル型のバックアップ手法をとります。許可されたデータ以外は外部から入ることが許可されない仕組みです。バックアップ中以外は通信を遮断することで、バックアップシステムとデータを堅牢に保護します。ランサムウェア対策にフォーカスしたアーキテクチャーであるところが、他のバックアップおよびリカバリサービスとの大きな違いといえるでしょう。また、「Rubrik Security Cloud」のアプライアンスではWindowsなどの汎用OSではなく特権ユーザーによる操作を無効化した独自OSを採用することで、不正アクセスによるOS側操作を制限しています。サーバー内ではバックアップデータの変更ができないファイルシステムを採用しており、こちらの技術は特許を取得しています。

2つ目のデータオブザーバビリティは、バックアップデータ中のファイルやシステム全体の健全性を可視化してリスクを早期に検知するプロセスで、ここが「Rubrik Security Cloud」のサイバーリカバリの最大の強みです。「Rubrik Security Cloud」には、AI(人工知能)がバックアップデータの変化を常時監視し、不審な動きを即座に検出する「振る舞い検知機能」および「脅威モニタリング機能」が搭載されています。バックアップを取得するたびにAIが分析処理するため、被害の早期検知が可能です。加えて、ランサムウェアの侵入タイミングを特定し、どのバックアップデータが安全な状態であるかを特定する「脅威ハンティング機能」も搭載していますので、前述したように通常2カ月と言われるランサムウェア被害からの復旧期間を大幅に削減できます。

3つ目のデータリカバリは、障害や攻撃によって失われたデータを復元するプロセスです。「Rubrik Security Cloud」では、あらかじめ復旧用のプランを作成し、復旧プロセスを統一することで、作業の簡略化や人為的ミスの防止を可能にします。

低コストで優れた操作性

クラウド環境でも選ばれる

ここまではオンプレミス環境におけるサイバーリカバリについて説明しました。最近はクラウド環境で業務を行っている企業が増えています。クラウド環境においてはネイティブのバックアップ機能が提供されていますが、あえて「Rubrik Security Cloud」を選ぶ企業様が増えています。理由は主に3つあります。

まずコスト削減です。例えば、AWS(Amazon Web Services)では、別リージョンや別アカウントへバックアップを転送する運用が可能ですが、バックアップデータの格納先としてウォームストレージを使用すること、および方式によってはフルバックアップを格納するためコストがかさみがちです。一方、「Rubrik Security Cloud」では、低コストのS3に対して初回はフルバックアップ。その後はデータを圧縮しながら前回からの差分バックアップで対応するため、ストレージ容量を小さくでき、トータルでは低コストで済みます。ある日本の企業様は、従来のバックアップコスト比で約40%削減できました。

続いて、運用工数の削減による操作性の向上です。AWSのネイティブバックアップ機能では、アカウントごとにバックアップの設定を行う必要があります。一方、「Rubrik Security Cloud」では複数のアカウントを統合管理できるため、運用工数を減らせます。

最後がランサムウェア被害後の早期復旧です。クラウドの標準バックアップ機能では、アカウントが乗っ取られた場合やランサムウェア被害を受けた際などにおいて、復旧が難しいケースがありますが、「Rubrik Security Cloud」はランサムウェア被害後の復旧に対応できる機能を提供しているため、万が一の事態でも確実にデータを復旧できます。

また、意外と見落とされがちなのがSaaSデータのバックアップの重要性です。サイバー被害に遭い、TeamsなどのSaaS上のデータを戻せなかったとしても、Microsoftに賠償請求はできません。バージョン管理や訴訟ホールドには対応データ量や所期目的などの面で限界があり、バックアップの代替になり得ないのです。

「DSPM」導入でデータの可視化や最適配置を実現

今後のサイバーリカバリにおいては「Data Security Posture Management」(DSPM)のソリューションの重要性が増してくるでしょう。DSPMは、Cloud Security Posture Management(CSPM)のデータ版と言えます。クラウド上のインフラのセキュリティ設定を監視するCSPMとは異なり、DSPMは「データ」に焦点を当て、機密性と配置環境が合っているかを確認し、正しくない場合はアラートを上げることで設定ミスの防止やガバナンスの強化を実現します。

DSPMが必要とされる背景は「財布を紛失した時」に例えると分かりやすいのではないでしょうか。財布を紛失するリスクに対しては、財布の中身を都度把握することや、普段使わないカードを財布の中に入れておかないなどが大切。ポイントは、紛失する前に対策を取っておくことです。DSPMは財布よりも大量のデータを持つクラウド環境を対象に、データの「機密性の可視化」や「最適な配置」を実施する運用手法と言えます。

バックアップの役割は変わりつつあります。昔のように「システム障害からの復旧」だけを目的にするのではなく、「ランサムウェア被害からの復旧」を見据えたバックアップ運用が求められる時代になっています。現状のバックアップ運用でサイバーリカバリにも対応できるのか、一度見直してみることをおすすめします。

---