最近、国内のランサムウェア感染がニュースを頻繁に目にするようになり、脅威がより身近に感じられるようになってきました。
2022年度版の「情報セキュリティ10大脅威」ではトップランクイン入りしたことからも、ランサムウェアによる被害は拡大しています。 
* IPA・情報処理推進機構「情報セキュリティ10大脅威 2022」Webページ 一部抜粋
病院での感染や、自動車産業での感染のニュースなどが報道され、感染したときの被害や影響が大きいことが明らかになってきました。
攻撃者は、ランサムウェアに感染させて身代金を手に入れることが目的です。
ランサムウェアに感染するとファイルやシステムが暗号化されてしまい、データにアクセスができなくなります。「元に戻したければ身代金を払え!」と要求してきます。
ただし、攻撃者側に身代金を支払ったとしても、元に戻せる保証はどこにもありません。そのため、身代金を払うことはお勧めできません。
もしもの感染に備え、定期的にバックアップをとっておくことで感染前の状態に戻せる可能性が高くなります。
ただ、ランサムウェア攻撃自体が巧妙化して、バックアップデータ自体も攻撃対象になってきていることから、現在のバックアップ方法を見直して、強化することが重要です。
【この記事の結論】は、
ランサムウェア対策の最適なアプローチは 3-2-1-1ルールの実践です。
3-2-1-1ルールとは、3-2-1(2章で詳しくご紹介)をさらにランサムウェア対策向けに強化したもので、3-2-1-1 の最後の 1 は、不変ストレージにバックアップデータを保存することです。
この記事では、外資系セキュリティソフトウェア企業→外資系バックアップソフトウェア企業でキャリアを10年以上積んできた筆者が、3-2-1 ルールを押さえつつ、ランサムウェア対策におけるバックアップの重要性と注意点を踏まえた、最適なアプローチ方法 Arcserve 3-2-1-1 ルールを紹介していきます。
ぜひ参考にしてみてください。
目次
1. ランサムウェア対策でバックアップが重要な理由
ランサムウェアに感染してデータやシステムごと暗号化されて利用できなくなってしまったら、感染前のバックアップデータを特定してデータを復旧できることが、あなたに残された唯一の手段になります。そのため、安全にバックアップをとっておくことがとても重要です。
最近ニュースにもなった、四国にある病院のランサムウェア感染ケースでは、電子カルテ情報を閲覧できなくなり約2ヶ月近く業務停止に陥りました。このような悲惨な目に合わないためにも、普段からバックアップデータが感染しない安全な場所に保存されている必要があります。
感染してしまったらデータは暗号化されて見ることができなくなり、最悪、業務を再開することすらできなくなってしまいます。そのため、できるだけ早く感染前の状態に戻す必要があります。感染前の状態に戻すためには、感染前のバックアップデータに遡って、データを復元しなければならないので、バックアップが唯一の手段なのです。
ただし、攻撃側も、より巧妙化してきており、ランサムウェア攻撃のなかには、バックアップデータを狙ってデータ自体を破壊して、復元させないようにするものなども登場してきていることから、バックアップデータを安全に保持できることが、今まで以上に重要になってきました。
会社によってはバックアップデータを(同一の)物理マシン内の別ハードディスクに保存したり、社内ネットワーク上の共有フォルダ上に保存して、バックアップを二重保存しているから大丈夫だろうと考えている方もいらっしゃいます。ネットワークで誰でもファイルやフォルダにアクセスできるということは、どこかの端末が感染したら、アクセスできるネットワーク全体に感染が広がる可能性もあるため安全な方法とはいえません。とはいえ、業務上のミスでうっかりファイルを削除したりして、迅速にファイルやデータ復元したいケースなどもあるので、すべてを無くすことも得策ではありません。そのため、従来のバックアップ方法を強化して、想定される感染リスクに対応できる対策を強化していくことが現実的なアプローチです。
バックアップデータの作成3つの強化ポイントをあげます。ぜひ参考にしてみてください。
1-1. バックアップデータ作成3つの強化ポイント
バックアップデータの3個のコピーを取得する前提で、オリジナルのバックアップデータのとり方自体を、以下の3つのポイントを押さえたバックアップデータファイル作成をお勧めします。
「A. まるごとバックアップを取得する」
「B. 長期間・多世代のデータを保持する」
「C. バックアップへのアクセス権を限定する」
この3つの強化ポイントを実施することで、感染するリスクを減少し、感染した場合の復元の手間も低減できるはずです。では、A.B.C.それぞれを見ていきましょう。
A. まるごとバックアップを取得する
システム全体のデータを丸ごとバックアップ対象としてバックアップを取得することをお勧めします。ランサムウェアに感染してしまった場合、データにアクセスできなくなるので、感染前の状態に戻すには、ほぼゼロからシステムを構築しなおすことと同じことになります。そのため、システム全体(OSレベル含む)をまるごとバックアップをとっておけば、そのバックアップデータを復元するだけですみます。そうすることで、復元の手間が大幅に軽減されます。まるごとバックアップを実現するには、イメージバックアップと呼ばれるバックアップ技術を採用しましょう。
B. 長期間・多世代でデータを保持する
データの安全性を担保するために、より長期間かつ多世代バックアップをお勧めします。
感染タイミングの直前の状態に復旧できることが、業務再開の影響は最小限で済みます。そのためにはバックアップ頻度を増やすべきです。
例えば、1~2週間程度の日次バックアップ、あとは月次としてバックアップをとっておくような頻度では不十分です。最低でも、1カ月は日次レベル(可能であればより高頻度)でのバックアップを行うことを推奨します。また、1年以上の長期間バックアップデータを保持することをお勧めします。
C. バックアップへのアクセス権を限定する
バックアップシステムやバックアップファイルにアクセスできるユーザーを限定しましょう。ランサムウェアの中には、組織内のネットワーク侵入に成功し、内部ネットワークを監視して、バックアップシステムの管理者権限を盗み取ったうえでランサムウェア攻撃を開始する場合もあります。そのため、アクセスできるユーザーは限定して、出荷時の標準パスワードや推測されやすいパスワード (例えば、パスワードをpasswordに設定したりする) は簡単に侵入されてしまいます。長く、解読されづらいパスワード設定、多要素認証を組み合わせて簡単には侵入させない工夫が必要です。
Arcserve では Unified Data Protection (略してUDP (ユーディーピー)) というイメージバックアップソリューションを提供しており、A. B. C いずれも対応できます。
この方法でバックアップデータ作成したうえで、「3-2-1ルール」を適用しましょう。
その点からも、冒頭で挙げた「3-2-1ルール」を参考に強化していくことをお勧めします。
2. お勧めのバックアップ運用「3-2-1ルール」とその強化ポイント
「3-2-1ルール」の考え方をランサムウェア対策のためのバックアップに取り込んでいくことを推奨します。「3-2-1ルール」に即して、具体的なバックアップ方法のポイント2つを取り入れると、さらに対策が強化します。
<3-2-1ルール>
「3-2-1ルール」とは、バックアップファイルのコピーは3個(プライマリー1個とバックアップ2個)を保管
保管する記録メディアは異なる2種類を採用し、コピーのうちの1個は別の場所 (オフサイト) に保管するというバックアップ運用の考え方です。
「3-2-1ルール」で運用することで、バックアップしたHDDが壊れてしまったり、攻撃や不注意で削除してしまったり、災害やトラブルでデータが取得できなくなっても、バックアップデータからデータ復旧が出来る状態を維持することができます。予算やリソースに応じて、重要なデータに関しては、この考え方を取り入れてバックアップをすることは有効です。
2-1. バックアップデータは、同じデータ3個を保存すること
「3-2-1ルール」の3、バックアップデータはオリジナルバックアップデータ1個と、その同一コピー2個の合計3個を保持しましょう。ランサムウェア感染だけでなく、マシンやHDD故障などで、オリジナルデータが使えなくなった場合でも、どちらかのコピーを利用して復元できるのでより安心です。
ただし、注意点として、同一ネットワーク上で単純に3個保持しただけでは、ランサムウェア感染した場合すべて使えなくなる可能性が高いので意味がありません。必ず、物理的・論理的に分離された状態で保持が必要です。
2-2. 2種類の異なるメディアにバックアップデータを保存
「3-2-1ルール」の2、2種類の異なるメディアにバックアップデータを保存しましょう。
サーバー全体をバックアップして、同じサーバー上の別ドライブに保存している場合、異なる記録メディアのどれかを選択してバックアップデータを保存することになります。
記録メディアとは、「テープ装置 (LTO)」 、「ネットワーク共有ドライブ」、「NAS(ネットワーク・アタッチド・ストレージ)」、「クラウドストレージ」、「DVD・ブルーレイディスク」、「USBメモリ」、「外付けハードディスク」などが該当します。
組織の規模、データ量、費用感などで選択肢は異なってきますが、最近では、クラウドストレージへの保存が増えてきています。また、外付けハードディスクやテープ装置も見直されてきています。
2-3. 別の場所にバックアップデータを保存
「3-2-1ルール」の1、「別の場所にバックアップデータを保存」しましょう。
ここでいう別の場所とは、同一ネットワーク上にはない、隔離された環境のことを指します。ランサムウェアはネットワークを介して感染を広げることが多いため、ネットワークに接続されているドライブのバックアップデータまで暗号化される可能性が高いためです。そのため、オフライン保存はとても重要な要素です。
クラウドストレージ上に保存、従来からあるテープ装置(LTO)やクラウド環境へ保存、外付けハードディスク(常時接続はしないこと) 、」DVD・ブルーレイディスクなどが該当します。
3. ランサムウェア対策をさらに盤石にする「3-2-1-1ルール」
Arcserveは、「3-2-1ルール」へさらに1を加えた「3-2-1-1 ルール」を推奨しています。
最後4つ目の「1」は、イミュータブル(不変)ストレージへの保管を意味しています。
イミュータブルとは、不変を意味しています。一度データが書き込まれたら、上書きができない仕組みをもったストレージデバイスと考えてもらえばよいと思います。一度、バックアップデータが書き込まれたら、
ランサムウェアや不正アクセスによってデータ改ざんや削除ができません。従って、バックアップデータは不変で保存されます。
3-1. イミュータブル ストレージの活用方法
イミュータブル ストレージ (不変ストレージ) の効果的な利用方法として、ローカルのバックアップデータの安全な格納場所としての使い方です。クラウド上やテープドライブへのデータ保存も有効な方法ですが、クラウド上に保管する場合、データが大容量になると、アップロードやダウンロードに時間がとられます。テープドライブのバックアップの場合、保管場所が別の場所だったりしてテープ自体の入手に時間がかかる場合もあります。
物理的なストレージですので、大容量データでもNASにアクセスするのと同様な感覚で、イミュータブル ストレージへバックアップデータを保存することできます。万一必要な際に、すぐに安全なデータにアクセスして、復旧データとして活用できることがメリットです。
Arcserveでは、イミュータブル ストレージ アプライアンス「Arcserve OneXafe(ワンセーフ)4500 シリーズ」を2022年6月6日から提供しました。
海外ではすでに先行して販売されており、ランサムウェア対策を見据えた安全なデータ保管先として導入されています。
「3-2-1ルール」の運用ができていなかったとしても、 イミュータブル ストーレージでバックアップデータを保存しているだけでも、安全なデータ保存のレベルが格段にアップするはずです。
詳しくは、弊社ホームページの Arcserve OneXafe 製品をご覧ください。バックアップデータの安全な保管場所として、ランサムウェアからのデータ保護に有効なオンプレミスのイミュータブル ストレージ アプライアンスです。
従来からランサムウェアからデータを安全に守るための対策を強化できる、充実のソリューションを Arcserve では提供しています。
より詳細で詳しく検討されたい場合は、まずは「ランサムウェアに備える運用 バックアップ運用例とベストプラクティス」をご参照ください。
4. バックアップデータを確実に復旧する
システム全体をバックアップデータから復旧するには、環境・規模・データ容量等にもよりますが、時間がかかります。ランサムウェアに感染した場合は、感染前のバックアップデータを特定することも手間がかかる作業です。
ここでは、少しでも手間を簡略化できる機能をご紹介します。Arcserve UDP のインスタントVMという機能を活用すると、バックアップデータの特定作業を簡略化できます。
インスタントVM では、仮想マシン上でサーバーを起動して、そこで複数のバックアップデータを復元・確認することができます。実際に復旧を行う前に、仮想で複数のバックアップデータを復元・確認できるので、実環境を構築する必要もなく、復元環境状況を確認できるので、非常に手間が省けます。この種の機能を使わないで済む状況に越したことはありませんが、感染して本番マシンが使い物にならない状況に陥った場合に、きっと役に立つツールになるでしょう。
5. まとめ
ランサムウェアに感染したら、バックアップデータから感染前の状態に復元することが唯一の手段なので、安全にバックアップデータを保存しておくことがとても重要です。
従来から提唱されている「3-2-1ルール」をベースに、従来から行っているバックアップ運用を強化することで、ランサムウェア感染からの復元を強化できることを説明しました。
さらに、Arcserve の提唱する「3-2-1-1ルール」、最後の1であるイミュータブル ストレージ (不変ストレージ) を活用することで、さらに安全で迅速なデータ復旧の体制を確保することができるはずです。
ランサムウェア対策へのご参考になれば幸いです。
コメント