「ゼロトラストでは不十分」　モダンなIT基盤のデータセキュリティはどう考えるべきか：ランサムウェア対応は「時間」との闘い

ランサムウェアの恐ろしいところは、対応に失敗すると事業の継続が危ぶまれるリスクがある点だ。焦点は「バックアップを含むデータをどう守るか」と「攻撃の有無や影響範囲を速やかに特定して、迅速に復旧する確実な手だてをどう持つか」にある。

「ゼロトラストでは不十分」　事業を継続するために必要な施策は何か

　コロナ禍をきっかけに多くの企業がテレワークの導入に動いた。これに伴い、企業のセキュリティ対策も境界防御からゼロトラストへとシフトし、場所を問わず保護するアプローチが普及してきた。

ルーブリック・ジャパン　石井晃一氏

　「それにもかかわらずこの2年半ほどの間、セキュリティ担当者を悩ませたのがサイバー攻撃の増加だ。特にランサムウェア攻撃の巧妙化は大きな脅威となった」と指摘するのは、データ保護／セキュリティベンダーであるRubrikの日本法人、ルーブリック・ジャパンでカントリーマネージャーを務める石井晃一氏だ。

　サイバー攻撃から企業のビジネスを守るには、ゼロトラストに加えて「データセキュリティ」を強化する必要がある。しかも今まで以上に短期間で状況を把握して対処する能力も求められる。

Rubrik　ダン・ロジャース氏

　RubrikのGTM（Go-To-Market）担当プレジデントのダン・ロジャース氏は「近年は“時間”のプレッシャーがより強まっている」と話す。典型的なケースは次のようなものだ。

　ランサムウェアでシステムを乗っ取った攻撃者は、データを暗号化した上で身代金を支払うよう企業に通知を送る。それを受け取った社員から相談を受けたIT部門やセキュリティ部門は、経営者などからさまざまな質問を受ける──「身代金を支払わずに回復できるか」「機密データが含まれているかどうか」「攻撃の影響範囲はどの程度か」「復旧後、データ内に残ったマルウェアから再び攻撃を受けることはないか」「いつ復旧できるか」──これらの問いに対して、攻撃者が示す期限よりも前に回答できなければ企業の重要データを守れない。

　ここで鍵を握るのが「データセキュリティ」だ。ハイブリッド／マルチクラウドに広がるIT基盤を前提に、「どの場所」の「どのアプリケーションのデータ」であっても同じようにデータセキュリティを適用することが重要だ。

マルチクラウドを前提にデータを保護する「Rubrik Security Cloud」

　ゼロトラストの考え方を取り入れたデータ保護（バックアップ）の先駆者として知られるRubrikは近年、データ保護領域にクラウドを拡大してきた。さらに、ランサムウェアなどによるサイバー攻撃から企業を守るため、データセキュリティの領域にまでバックアップソリューションの対象を広げている。それがデータ保護サービス「Rubrik Security Cloud」だ。

　「SaaS」（Software as a Service）で提供される同サービスは、オンプレミスをはじめ、「Amazon Web Services」などのパブリッククラウド、「SAP S/4HANA Cloud」や「Microsoft 365」といったSaaSにあるデータの保護、監視／可視化、リカバリーを担う。

図1　Rubrik Security Cloud（出典：Rubrik提供資料）

　Rubrik Security Cloudは、大きく分けて「データレジリエンス」（データの保護）、「データオブザーバビリティ」（データの可観測性の確保）、「データリカバリー」（データの復旧）の3種の機能を提供する。

　データレジリエンスにおいては、バックアップデータを攻撃者から論理的に不可視にし、全てを暗号化する「論理エアギャップ」機能を提供する。一度書き込んだデータの上書きができない性質（Append Only）を持つ独自のファイルシステムによってデータ不変性（Immutability）も確保する。

　「サイバー攻撃の大半はユーザー（アカウント）の乗っ取りによって行われます。そこで、Rubrik Security Cloudは多要素認証やワンタイムパスワードも使い、きめ細かなロールベースのアクセスコントロールを行います。万一のために、管理者が最後に作業した日から7日間は必ずデータを残すインテリジェントデータロックの機能も備えています」（ロジャース氏）

図2　データレジリエンス（出典：Rubrik提供資料）

独自アルゴリズムでバックアップデータの異常を検知／可視化

　データオブザーバビリティとは、「バックアップデータが攻撃を受けていないかどうか」「いつ以降の、どのデータが攻撃の影響を受けているか」といったことを可視化する機能だ。

　例えば、高精度の機械学習アルゴリズムでファイルの削除、変更、暗号化を検知して攻撃範囲を特定する他、どこにどのような種類の機密データがあり、誰がアクセスできるのかを調べて機密データの露出リスクを低減する機能などがある。

　「IOC（痕跡情報）を使ってバックアップデータを分析し、感染の時期や範囲を特定します。これらにより、IT部門やセキュリティ部門はデータセキュリティに関するインサイトを容易に得られるのです」（ロジャース氏）

図3　Rubrikデータオブザーバビリティ（出典：Rubrik提供資料）

再感染を防止し、復旧計画の事前定義で迅速なリカバリーを実現

　肝となるのがデータを確実に復旧する「データリカバリー」だ。これに関して重要なポイントの一つは、「ランサムウェアに感染したデータを不用意に復旧することで再度感染してしまうリスクをどう抑えるか」だ。

　「全てのデータを復旧するのに3日を要するとして、全復旧の必要があるのかどうか」「一部のデータ／ユーザーだけを復旧すればよいのかどうか」「データ復旧に優先順位があるかどうか」といった指針の有無もスムーズな復旧の鍵となる。

　Rubrik Security Cloudならば、マルウェアに感染したデータを発見して隔離し、安全かつ迅速にデータを復旧できるという。

　「どのアプリケーションからどう復旧させるかといったことをワークフローや災害復旧計画として事前に定義しておくことで、速やかな復旧を可能にします」（ロジャース氏）

Microsoft 365データ保護やランサムウェアからのデータ復旧保証も

　コロナ禍を契機に多くの企業がリモートワーク環境としてMicrosoft 365の活用を進める現在、同サービスの業務データの保護も喫緊のテーマだ。

　「Microsoft 365専用のデータ保護サービスを提供している点もRubrikの大きな特徴です。このサービスは、Microsoft 365から分離した環境で不変性を確保してデータをバックアップします。Microsoft 365側のデータが攻撃を受けてもバックアップデータに影響が及ぶことはありません」（ロジャース氏）

　復旧の際は「全アカウント一斉」「アカウントごと」「通信ごと」などの粒度でリカバリーできる。「アカウント乗っ取りなどによるバックアップ設定変更の防止」「ポリシーベースのバックアップ設定」などの機能も備える。

　これらのサービスにより、ゼロトラスト時代のデータ保護に絶対の自信を持つRubrikは、業界初となるランサムウェア復旧保証プログラムの国内提供も開始した。Rubrik Security Cloud（Enterprise Edition）と、同社がMicrosoft Azureにホストして提供する「Rubrik Cloud Vault」のユーザーを対象としたもので、ランサムウェア攻撃によって保護対象のデータが復旧不能になった場合は復旧関連費用として最大500万ドルを提供する。

　「Rubrikは業界の先駆者です。この復旧保証プログラムは、私たちが自社の製品に絶対の自信を持っていることの現れでもあります」（ロジャース氏）

国内サポート体制も強化　国内パートナー独自ソリューションも

　Rubrikは世界に約4000社の顧客を抱える。グローバルなサービス提供体制を取る一方で、日本国内の顧客向けの体制も厚い。業種別のマネージドサービスを強みとする日立システムズや、検証環境「Rubrik Virtual Lab」の立ち上げや小規模ユーザー向けに1TB単位のRubrik利用サービスを提供するなど独自のサービスを打ち出す富士ソフトの他、金融機関向けのセキュリティサービスを得意とするブロードバンドセキュリティも自社セキュリティサービスにRubrikの製品を組み込み、付加価値としている。

　「当社はデータ企業であり、データの保護に関して絶えず研さんを続けています。データを守ることがビジネスを守ることにつながります。Rubrikの製品をご利用いただければ皆さまのビジネスが止まることはないのです」（ロジャース氏）

提供：Rubrik Japan株式会社
アイティメディア営業企画／制作：ITmedia エンタープライズ編集部／掲載内容有効期限：2022年10月29日