「安全なバックアップは企業の最終防衛線である」。当社のこの言葉の意味について聞かれたことがあります。過去10年でセキュリティ業界は気がつきました。先進のランサムウェア対策が攻撃を検知し関連付けを行い、完全に修復するには、エンドポイントからネットワーク、クラウドが1つになった統合型のセキュリティアーキテクチャが必要だ、と。ランサムウェアの攻撃を受けた場合、復旧の選択肢は通常、バックアップから復元するか身代金を払うかのいずれかです。問題は、「バックアップからリストアする」と言うと、そのプロセスがあまりにも簡単に聞こえ、多くの企業が自分たちのバックアップと復元の能力について憶測を立ててしまうことです。あくまで憶測にすぎないので、間違いであることも多く、データを失ったり、身代金を支払わざるを得ない状況に陥ってしまうのです。最悪の事態を防ぐために、必要なのは、検証とテストが実施されていて、かつリストアもすぐにできる安全なバックアップが含まれる計画を策定しておくことです。そこで、バックアップインフラストラクチャはサイバーセキュリティに対する防衛計画全体の一部であること、そしてビジネスを再開するための、あるいはビジネスを止めないための最終手段となり得ることを、我々自身はもちろん当社と関わりのあるすべての人にいま一度思い出してもらいたいと思います。
ランサムウェアのような攻撃が進化したことで、災害復旧チームやバックアップチームといった、これまではセキュリティの一部と見なされていなかった人たちが、対応と復元業務の中心的役割を果たすようになりました。Veeamがまとめた『2022 データプロテクションレポート』によると、調査に参加した人の88%が、ビジネス継続性と災害復旧の大部分または全体がサイバーセキュリティ戦略に組み込まれている、と回答しています。かつてバックアップチームの心配事といえば、少量のファイルをユーザーが削除してしまうことでした。それが今や、サイバー攻撃のせいで、企業のどんなデータも復元できることを証明しなければならないのですから。思いも寄らない状況になりました。
不正攻撃から復旧し、消失したデータはないと証明するということは、身代金を支払う必要はないはずです。残念ながら『2022 データプロテクションレポート』によると、ランサムウェア攻撃を受けた後に80%以上のデータの復元に成功した組織の割合は、36%にとどまっています。なんとももどかしい統計です。そのような組織がデータを取り戻すために、身代金の支払いを検討した、あるいは実際に身代金を支払ったと考えてもなんら飛躍しすぎではないからです。
ランサムウェアから復旧できるよう安全なバックアップを作成する
では、業務を確実に再開できるようにするにはどうすればよいでしょうか。Veeamでは、その答えは、製品の機能と作業のベストプラクティスを組み合わせて、オンラインになったワークロードを検出し、検証可能な方法でデータを保護し、脅威を再び環境に入れないように大規模な復元をできるようにすることである、と考えています。
バックアップの面では、データを保護し、バックアップジョブが期待どおりに機能できるようにすることがすべてです。事態が恐ろしい方向に進んでしまった場合でも、データのコピーを保持しておくことでリストアを可能にするベストプラクティスも重要です。復元の実行中はスピード重視で、これは自動化とオーケストレーションにかかっています。改めて言いますが、製品とプロセスの組み合わせです。最後に、復元したデータによって脅威が再び環境に侵入してしまう、という事態も避けなればなりません。なぜこれが重要なのか、その理由の一部をご紹介します。Veeamのテクニカルエキスパートが執筆したブログへのリンクも含めていますので、さらに詳しく知りたい方はぜひそちらもご覧ください。
信頼できるイミュータビリティ
Veeamはずっと、ソフトウェアファーストの企業です。つまり、ユーザーはストレージの設定の管理が可能で、Veeamが選ぶ設定に縛られません。これは、何層ものイミュータブル(書き換え不能)なストレージを、ユーザーのネットワーク設計に応じてクラウドにもオンプレミスにも作成できるということでもあります。ストレージプラットフォームは現在利用しているものを使用できるため、この柔軟性によって運用コストが削減されるだけでなく、セキュリティも向上します。我々が「ダブルプレー」のイミュータビリティと呼ぶオプションについて、素晴らしいブログがありますので、ぜひご覧ください。
バックアップの検証
バックアップが問題なく完了したことを証明するには、どうすればよいでしょうか。今後リリース予定のランサムウェアに関する調査レポートによると、ジョブの完了ログ頼りだったり、バックアップの完全性を検証するスクリプトを独自で作成している組織がほとんどでした。問題は、バックアップジョブのログに頼る場合、分かるのはジョブが完了したということだけで、データの復元可能性は証明されないということです。一方で、独自のプロセスを作成している人たちは一歩踏み込んだ形ではありますが、スクリプトのメンテナンスという作業が生じる(つまり、手動の、ありきたりと言えるような作業に割く時間があると信じている)ことで自分たちの負荷も増えてしまいます。
Veeamでは、バックアップの検証は「SureBackup」という機能セットに組み込まれています。簡単に言うと、SureBackupとは、バックアップに複数のテストを実行し、データにマルウェアが存在しないこと、データが復元可能であることを確認できるVeeamの技術です。プロセスは必要に応じて簡単にも詳細にもできますし、実行も手動はもちろん、災害復旧の準備の一環としてスケジュールを設定して行うことも可能です。SureBackupでできることについて詳しくは、こちらをクリックしてください。
3-2-1-1-0ルール
Veeamに入社したばかりの頃、当社の素晴らしいカスタマーサポートチームのメンバーに会った私は、お客様に実施してもらいたいことが1つあるとすればそれは何か、という質問をしました。彼らの答えは3-2-1-1-0ルールでした。今どきのマルウェアは、バックアップ層を攻撃することで知られています。そのため、回復力を確保するプロセスを構築しておく必要があるのです。
3-2-1-1-0ルールでは、重要なデータのコピーを少なくとも3つ作成し、少なくとも2種類のメディアに保存し、少なくとも1つをオフサイトに保管することが推奨されています。ランサムウェアの脅威は進化しています。そのため、物理的に隔離したり、オフラインや書き換え不能な状態にしておくことで、少なくとも1つのデータコピーについては回復力を確保しておくことを推奨します。この作業は、ランサムウェアから自社を効果的に守るうえで不可欠です。また、「0」もルールに追加しています。バックアップエラーがゼロという意味です。これは、自動のバックアップ検証機能によって、データが有効であること、また復元に利用できることが保証されているためです。正しくバックアップされなかったデータを復元に利用することはできません。3-2-1-1-0ルールを順守すれば、データ消失を防ぎ、復元が可能になるのです。
大規模での即時復元
『2022 データプロテクションレポート』によると、ダウンタイムにより生じるコストの試算額は、1分あたり1,467ドル、1時間あたり88,000ドルにのぼります。データ復元のSLAと実際の復元速度の差が大きくなっていることも加味すると、身代金を支払う企業が非常に多いことも不思議ではありません。
Veeamは、他社に先駆けて2010年にインスタントVMリカバリ機能を実装して以来、この機能の改良と拡充を続けています。現在、Veeamは多彩な復元オプションを提供しており、ユーザーは自社に最適な復元プロセスを選択できるだけでなく、複数のマシンも同時に素早くリストアすることが可能です。1つのファイルを復元するのにきめ細かいオプションが必要なら、それもできますし、アプリケーションの復元も可能です。ボリュームやサーバーがランサムウェアのせいで丸ごと使用不能になっても、ご心配なく。ユーザーのニーズに最適なツールを利用できるということは、攻撃者の思惑に反して、より短時間かつ投資対効果の高い方法でランサムウェアから復旧でき、「身代金は払ってはいけない」という言葉が現実のものになるということです。
セキュアリストア
Veeamはセキュアリストア機能を提供した最初の企業でもあります。これは、本番環境にマシンをリストアする前に、ご利用のウイルス対策ソフトウェアを使用してマシンデータをスキャンするという機能です。セキュアリストアを有効にするのは簡単で、お使いのウイルス対策ソフトやマルウェア対策ソフトを最新のシグネチャレベルに更新でき(除外なし)、かつネットワークから分離された本番環境以外のサンドボックスで検証を実施できます。そのため、リストア前にデータセンターに脅威が再侵入することはありません。
セキュアリストアのプロセスの作成方法と利用方法については、以下を参照してください。
ディザスタリカバリ(DR)オーケストレーション
願うことは戦略ではありません。願ったところで、災害時にどうにかなるわけでもありません。それから、ランサムウェアは災害であると認めましょう。自動化とオーケストレーションはサイバーセキュリティ対策において不可欠となりましたが、復元についても同じことが言えます。「きっとこう動くんじゃないかな……」「こうなるはず……」。ランサムウェア攻撃を受けたとき、こんな声が聞こえてきたら最悪ですよね。そこでVeeamは、Veeam Disaster Recovery Orchestratorという製品を開発しました。災害復旧は、しっかりと文書化された計画があって初めて成功となります。そしてその計画は、組織がDRの準備を次のレベルへと引き上げるのに役立つこともあります。さらに、計画はきちんと機能することが分かって初めて有効になります。Veeamのソリューションでは、復元SLAのテストが自動で行われるほか、SLAのダッシュボードもあるため、DRの準備状態を簡単に確認できます。
まとめ
バックアップと復元は、もはや「機能するだろう」と思われる、インフラストラクチャの独立したピースではありません。迅速で信頼性の高い復元は、サイバーセキュリティインシデントが発生した際の全体的な対応プロセスにおいて不可欠な要素であり、ほかのセキュリティアーキテクチャと同様、慎重に計画を練る必要があります。詰まるところ、データは企業にとって最も価値ある資産なのです。だからこそ、安全なバックアップソリューションで保護しなくてはなりません。そのバックアップソリューションも、ユーザーのニーズに応じたイミュータビリティを構築できる柔軟性があるだけでなく、バックアップジョブの検証も行い、リストアを実行する際には、データが利用可能な状態で、かつマルウェアが含まれていないことも保証してくれる製品でなければなりません。このほかにも、ランサムウェアについて考えたとき、安全なバックアップは企業の最終防衛線であるとVeeamが考える理由はまだまだあります。
ランサムウェア対策を強化できる方法について詳しくは、次のページをご覧ください。https://www.veeam.com/jp/ransomware-protection.html