ページの本文へ

セキュリティ

ランサムウェア対策に欠かせないバックアップの重要性と実践法

近年、著名企業に関するセキュリティインシデントが話題となることが多いです。ランサムウェア攻撃は組織の規模を問わず、事業継続を脅かす深刻な経営リスクとなっています。

データの暗号化だけでなく、復旧の要であるバックアップデータ自体を標的にして「戻せない状態」を作り出す攻撃手法も常とう化しています。そのため、従来通りの対策では不十分なケースが増えているのです。

この記事では、ランサムウェア対策におけるバックアップの重要性を再確認したうえで、「3-2-1-1-0」ルールをはじめとした具体的な設計・運用の実践ポイントを見ていきましょう。

  1. ランサムウェアとバックアップの基本
  2. ランサムウェアに強いバックアップ設計
  3. 企業で実践するバックアップ運用のポイント
  4. まとめ - ランサムウェアを想定してバックアップ戦略を見直しましょう

ランサムウェアとバックアップの基本

はじめに、ランサムウェア攻撃による具体的な被害の実態と、その対策においてバックアップが果たす重要な役割について解説します。

ランサムウェア攻撃で起こる被害

ランサムウェアによるデータの暗号化は、業務システムなどを使用不能にし、事業活動の停止や甚大な経済的損失を招く恐れがあります。

さらに近年は、暗号化に加えて窃取データの公開を盾に金銭を要求する「二重恐喝」が一般化し、復旧できても信用失墜や取引先への影響、法務・対応コストが残り続けるようになってきています。

ランサムウェア対策におけるバックアップの役割

バックアップは、暗号化されてしまったデータを正常な状態に戻すための最も確実な手段であり、身代金を支払うことなく業務を復旧させるための要となります。適切なバックアップ戦略を構築していれば、攻撃者の不当な要求に応じることなく、自社の主導権を持ってシステムを再稼働させることができます。

ただし、データを人質に取る二重恐喝型攻撃に対しては、バックアップによる復元だけでは情報漏えいの脅威を防げないため、他のセキュリティ対策と組み合わせた多層防御が不可欠です。

バックアップが狙われるリスク

攻撃者は、被害を受けた企業の復旧手段を奪います。身代金の支払いを強要するために、本番環境への攻撃前にバックアップデータを削除・暗号化する戦術を常とう手段としているのです。

近年では、VPN装置のぜい弱性を悪用して管理者権限を奪取し、Active Directory を経由してバックアップシステムに侵入する高度な攻撃も確認されています。ネットワークに接続されたストレージは常に危険にさらされているといえるでしょう。

また、ランサムウェアには長い潜伏期間を持つものもあるため、保存期間が短いとすべてのバックアップが使用不能になるリスクがあり、オフライン化やイミュータブル化(変更不可化)といった保護策が欠かせません。

ランサムウェアに強いバックアップ設計

ここでは、バックアップの基本原則から、現代のセキュリティ基準に合わせた高度なルールや具体的な実装手法について見ていきましょう。

バックアップで押さえたい基本

バックアップはシステムの重要度に応じて適切な頻度と保存期間を設定し、定期的に取得することが大前提となります。感染前の健全な状態に戻せるように複数世代を保持するとともに、保存場所や形式を分散させる多層的な防御戦略が欠かせません。

緊急時に「データが戻せない」という事態を避けるためにも、バックアップデータの整合性チェックと復元テストを定期的に実施し、確実性を維持する必要があります。

「3-2-1ルール」と「3-2-1-1-0ルール」の考え方

特にランサムウェア対策として覚えておきたいバックアップのルールが「3-2-1ルール」と「3-2-1-1-0ルール」です。

「3-2-1ルール」は、データ損失リスクを最小化するための基本原則です。データコピーを3つ作成し、異なる2種類のメディアに保存、そのうち1つを遠隔地に保管します。「3-2-1-1-0ルール」は、これをさらに強化したものになります。

「3-2-1」から加えられている「1」と「0」の部分は、1つのコピーをオフラインまたは変更ができない状態で保護し、復旧エラーがゼロになるよう検証を徹底する、というものです。米国CISA(Cybersecurity and Infrastructure Security Agency)も推奨するこの新基準を採用することで、HDD故障や災害だけでなく、高度なランサムウェア攻撃に対しても高い復元力を確保できます。

オフライン・オフサイト・イミュータブルバックアップの活用

ネットワークから物理的に切り離されたオフラインバックアップは、ランサムウェアのネットワークからの侵入を遮断できる強力な防御手段です。また、イミュータブルバックアップを活用すれば、保存データが一定期間変更・削除できなくなるため、万が一侵入を許しても改ざんを防ぐことができます。

自社で第2拠点を持てない場合でも、クラウドサービスなどを利用してオフサイトかつイミュータブルな環境を構築し、災害や全社的な攻撃からデータを守る体制を整えることが可能です。

バックアップ頻度と世代管理の考え方

バックアップの頻度は、業務への影響度やデータ更新のペースを考慮し、目標復旧時点に確実に戻せるように設計する必要があります。特に重要なシステムでは、フルバックアップと増分バックアップを組み合わせて頻繁にデータを保存し、万が一の際のデータ損失を最小限に抑えることが重要です。

さらに、ランサムウェアには長い潜伏期間を持つものも存在するため、直近のデータだけでなく数カ月前までさかのぼれるよう、十分な世代数を確保しておくことが推奨されます。

企業で実践するバックアップ運用のポイント

バックアップの設計が整っても実際の運用体制が伴わなければ、いざという時に機能しない恐れがあります。ここでは、復旧を確実にするためのテスト手法と、攻撃者による不正操作を防ぐアクセス管理の実践ポイントを見ていきましょう。

ランサムウェアを想定した復旧テストと手順書の整備

バックアップが本当に使えるかを確認するため、簡易テストとフルリストア検証を計画的に実施し、復元機能が確実に動作することを定期的に検証する必要があります。簡易テストは月次、フルリストア検証は年次というように計画するとよいでしょう。

テストはステージング環境で実行し、主要機能の動作確認・所要時間の計測・エラーの記録をレポートとして残すことで、実際の被害時に迅速な判断ができる体制を整えられます。

バックアップ環境のアクセス制御と体制づくり

攻撃者が管理者権限を奪取してバックアップを破壊する事態を防ぐため、バックアップ管理者とセキュリティ管理者の役割を分離しましょう。ロールベースのアクセス制御(RBAC)を適切に実装することが重要です。

オペレーターには復元操作のみを許可し、削除権限は厳格に制限するなど、職務に必要な最小限の権限だけを付与する原則を徹底します。さらに、重要なバックアップの削除や設定変更には、複数の承認者による確認を求めるマルチユーザー承認の仕組みを導入することが推奨されます。

リソースレベルでのアクセス許可を正しく割り当て、定期的な権限見直しを行うことで、内部不正や権限悪用のリスクを最小化することが可能です。

まとめ - ランサムウェアを想定してバックアップ戦略を見直しましょう

ランサムウェア攻撃は、企業規模を問わずバックアップデータ自体を標的とする深刻な脅威となっており、従来の対策だけでは守りきれないのが現状です。

3-2-1-1-0ルールに基づくバックアップ施策や、定期的な復旧テストの実施が事業継続を担保する最後のとりでとなります。攻撃の手が及ばない安全なバックアップ環境を構築し、万が一の際にも迅速に復旧できる堅牢な運用体制を整備しましょう。

日立ソリューションズ・クリエイトでは、ランサムウェアに強いセキュアバックアップを実現する「Barracuda Backup」を提供しています。攻撃者がバックアップデータを狙う昨今、セキュアなバックアップの重要性が高まっています。

ランサムウェア対策としてバックアップ環境の構築を検討されている場合は、ぜひ一度お問い合わせください。

参考:
警視庁「マルウェア「ランサムウェア」の脅威と対策(対策編)
政府広報オンライン「ランサムウェア、あなたの会社も標的に?被害を防ぐためにやるべきこと

当社の関連ソリューション/サービス

関連記事はこちら

詳細はこちら