バックアップを狙うランサムウェアの挙動に合わせたデータ保護とリカバリー策が重要に

　「最近のランサムウェアは、バックアップを破壊あるいは無効化する攻撃が増えている。被害状況の把握と復旧作業が後手に回ってしまい、元に戻るまでに時間もコストも膨れ上がる傾向が顕著だ。もはやランサムウェア被害は他人事ではない」──。JSOL プラットフォーム事業本部 プラットフォームビジネス第二部 部長の田井 宣裕 氏は、こう警鐘を鳴らす（写真1）。

写真1：JSOL プラットフォーム事業本部 プラットフォームビジネス第二部 部長 田井 宣裕 氏

サイバー攻撃対策ではバックアップデータが盲点にも

　ランサムウェアは今も猛威を振るっている。セキュリティ対策に積極的な大手企業においても、ランサムウェア被害が相次いでいる。さらに警察庁の資料によると、田井氏が指摘したように、ランサムウェアの被害にあった企業のうち「バックアップから復元できなかった」ケースが75％ある。その理由として68％が「バックアップデータ自体が暗号化されたため」と答えている。

　サイバー攻撃への備えとしては、NIST（米国立標準技術研究所）が公表している「サイバーセキュリティフレームワーク（CSF：Cyber Security Framework）2.0」を参考にされている。CSF 2.0は、攻撃と対応のフェーズを「特定」「防御」「検知」「対応」「復旧」の5段階に分けて具体策をガイドする（図1）。

図1：サイバー攻撃への対策ではバックアップデータを含めた対応の必要性が高まっている

　だが田井氏は「（CSF 2.0も）バックアップデータを十分に意識しているとは言い難い面もある」という。そのうえで「バックアップデータ自体が狙われることを想定して復旧対策を立てている企業はまだ少数派という印象だ。復旧フェーズでは“安全なバックアップデータ”からのシステムリカバリーと業務復旧を目指すが、そのためには、堅牢なバックアップをはじめ事業継続を支える確固たる仕組みが欠かせない」（同）と強調する。

狙われるバックアップデータを守るための3つのステップ

　そこで重要になるのが、「攻撃されることを前提に、被害を最小限にとどめ、早期に復旧させる『サイバーレジリエンス』の考え方だ」（田井氏）。その基本は「“安全なバックアップ”を用いて復旧地点を判断し、早期かつ確実に、そこに戻せる仕組みの整備である」（同）

　その実現において田井氏は、「バックアップデータに対し、（1）絶対的な堅牢性の担保、（2）正確な可観測性の実現、（3）最適な復旧の3つのステップが肝要になる」とする（図2）。以下に各ステップでの取り組みを説明する。

図2：バックアップデータ保護のための3つのステップと対策