強固なセキュリティの意外な弱点？　大企業も抱える“復旧失敗”のリスクをなくすには：事業の生命線を守れ

サイバー攻撃の脅威を多くの企業が意識する一方、万が一攻撃を受けた場合のデータの復旧体制は心もとない――。企業を対象にした調査では「攻撃を受けたか把握できない」ケースが半数を超える現状さえ判明した。高度化する攻撃に備え、より確実な復旧体制をどうつくればいいのか。

　コロナ禍の影響で多くの企業がIT戦略の見直しを余儀なくされる一方で、昨今はデジタルトランスフォーメーション（DX）によるビジネスモデル変革が盛んに叫ばれている。他方ではサイバー脅威の高まりなど、企業ITを取り巻く環境は今、大きな曲がり角を迎えている。アイティメディアは2020年6月、コロナ禍における企業のセキュリティ対策の実態を探るべく読者アンケートを実施した。その結果、日本企業が抱えるさまざまな課題が浮き彫りになった。

パンデミックで露呈した「日本企業の根深い問題」とは

　まず「新型コロナウイルス感染拡大による経済活動自粛は、自社IT戦略の推進やIT投資にどう影響していますか」という質問に対して、「大きくプラス方向に影響する」「ややプラス方向に影響する」という回答は全体の約30％にとどまり、残りの約70％は「マイナス方向」「現状維持」が占めた。DXやセキュリティ対策の重要性を認識していても、コロナ禍による経営環境の悪化を受けて多くの企業はIT投資に慎重になっている実態がうかがえる。

　また「コロナ禍を受け、BCM／BCP（事業継続管理／事業継続計画）の見直しや準備をしましたか」という質問に対して「した」と答えた割合は全体の24％弱だった。「事業継続のために採用している製品やサービスを教えてください」という質問への回答は「Web会議システム」「社内SNS／チャット」などが多くを占め、テレワーク用ツールの導入は進んでいるものの、災害対策やデータ保護といった中長期的なBCM／BCPは後回しになっていると言える。

　「あなたの会社は標的型攻撃や不正アクセス、不正ログインなどを受けたことがありますか」という質問に対しては「攻撃を受けたらしいが詳細は分からない」「攻撃を受けたかどうか分からない」との回答が25％以上を占めた他、「攻撃を受けたことがない」という回答も同じく25％に上った。コロナ禍を受けた「目先の対応」に追われるあまり、サイバー攻撃の脅威や事業継続のリスクに目を向けられていない企業の現状を垣間見る結果になった。

「データ復旧」「システム復旧」の不備が被害を拡大させる

　今回の調査結果について、デル・テクノロジーズの西賴大樹氏（DPS事業本部　事業推進担当部長）は「ランサムウェア攻撃を受けた米国企業が約43.5億円の身代金を支払うなど、サイバー攻撃の被害規模は拡大傾向にあります」と話し、警鐘を鳴らす。

デル・テクノロジーズの西賴大樹氏

　「日本国内でも多くの被害が発生しています。セキュリティベンダーであるSophosの調査『ランサムウェアの現状 2020年版』によれば、日本企業がランサムウェアによるデータ暗号化前に攻撃を阻止できた割合はわずか5％だといいます。日本損害保険協会の調査によれば、サイバー攻撃の被害を受けた企業が被害後の対応で最も苦労した点として『復旧対応』を挙げています」（西賴氏）

　近年発生したランサムウェア攻撃にも、大規模な被害を出すものが目立つ。2021年5月にランサムウェア攻撃で自社データが暗号化される被害を受けた米国の石油大手Colonial Pipelineは、復旧する能力はあったものの、二次被害を想定したデータの安全性に確信が持てなかったために、復旧プロセスを実行する決断ができず、結果1週間にもわたる事業停止に追い込まれた上に、身代金支払に応じてしまった。

　2021年7月に攻撃を受けた国内大手食品メーカーも、ランサムウェアによってバックアップデータの大半が暗号化されてしまった上に、データ復旧の仕組み自体も無効化されてしまった。データ復旧の手段を失ったことで、事業復旧が数カ月間も遅れてしまったという。

　こうした事例からも分かる通り、近年のランサムウェア攻撃はあらかじめターゲットを定め、システムの構成やアーキテクチャを詳細に把握した上で保管されているバックアップデータやバックアップシステムそのものなど、復旧手段を同時に攻撃する手口が主流となっている。こうすることでデータ復旧の可能性を断ち、身代金を獲得する確率をより高めようと画策しているのだ。

　デル・テクノロジーズが実施したアンケート調査（Data Protection Index 2021）によれば、8割近くの回答者が「破壊的なサイバー攻撃を受けた場合に全てのビジネスに不可欠なデータを復旧できる自信がない」と答えた。その要因を西賴氏は次のように考察する。

　「多くの企業では、セキュリティ対策を担う“人材、技術、プロセス”の組み合わせと、データのバックアップ／リストアやシステム運用管理を担う組み合わせは完全に分かれています。そのため、サイバー攻撃の被害発生後を想定したデータ復旧の対策をいざ打とうとしても三者のどの仕組みで担当すべきかが曖昧になり、経営層の指針がない限り投資や施策が中途半端になりがちです」（西賴氏）

セキュアなデータ復旧を実現するために必要な「3つの“I”」

　では、どうすれば高度なランサムウェア攻撃にも耐え得るデータ復旧の体制を構築できるのか。西賴氏は、まずは互いに分断されているセキュリティ対策とシステム運用のプロセスを束ねることを勧める。

　「大前提として、セキュリティとシステム運用の担当者が一つのチームとして動きやすくなるプロセス（計画）が必要です。その上で技術の連携を進める必要がありますが、その際に重要になるのが『データ復旧の仕組みにセキュリティのエッセンスをいかに追加できるか』という点です」（西賴氏）

　その際留意すべきポイントとして、同氏は「3つの“I”」を挙げる。1つ目のIはImmutability（データ防御）、2つ目がIsolated（データ隔離）、3つ目のIはIntelligence（データ衛生）だ。

デル・テクノロジーズは、サイバー攻撃に遭っても確実にデータを復旧する準備として「3つの“I”」を挙げる（画像提供：デル・テクノロジーズ）

　データ隔離とは、データ復旧のために必要なバックアップデータをサイバー攻撃者から見えない場所に隔離しておくことを指す。またデータ衛生とは、隔離したデータが本当にサイバー攻撃によって侵食されていないかどうか検疫し、データを安全に復旧できることを確実にするための取り組みを指す。

　西賴氏によれば、一般的なセキュリティ思考と同様に、データ防御へ対策を偏重してしまい、データ隔離とデータ衛生は特におろそかになりがちだ。3つのIを踏まえた対策を講じてサイバー攻撃への備えを多層化することで、有事の際により確実にデータを復旧できるようになる。

　ノックスは、上記の点を意識したデータ復旧ソリューションをこれまで多くの企業に提案してきた。同社はこれまで、主にDell EMCのデータ保護製品を使ったバックアップソリューションの導入実績を積み重ねてきた。

　同社が推奨する仕組みが、バックアップ専用ストレージアプライアンス「Dell EMC PowerProtect DD（旧Dell EMC Data Domain）」を使ってバックアップデータを隔離環境「Cyber Recovery Vault」に保管するものだ。隔離環境と本番環境との間の通信はバックアップデータの転送時のみ開通する。普段は通信がシャットアウトされているため、サイバー攻撃者から見えない場所にバックアップデータを秘匿できる。

　ノックスは、隔離環境で分析ソフトウェア「CyberSense」を使ったバックアップデータの検疫を実施し、有事の際に安全にデータを復旧できる準備を整えられる環境も提供している。

ノックスの清家 晋氏

　同社の清家 晋氏（技術本部　プリセールス部　部長）によれば、これらの機能は必ずしも全て同時に導入する必要はなく、予算や事情に合わせて段階的に導入することも可能だという。

　「最初にデータ隔離機能だけを導入し、バックアップデータの正常性チェックやデータリストアのテスト基盤を段階的に追加することも可能です。予算が限られていても、セキュアなバックアップ基盤をスモールスタートで整備できます」（清家氏）

「PowerProtect DD」を中心に構築するデータ復旧基盤

　ノックスが考えるデータ復旧の仕組みは多様だ。例えば、仮想化基盤と物理基盤、大規模NAS、小規模NASで構成される大規模システムのサイト間レプリケーションによる災害対策環境。PowerProtect DDを導入して隔離環境によるセキュアなバックアップ基盤を整備することで実現できる、確実なデータ復旧体制だ。この構成の場合、バックアップデータの容量が膨大なため、必要なデータを取捨選択して隔離領域に送ることで無駄なコストを抑えられるという。

ノックスが提案するデータ復旧環境の一例（画像提供：ノックス）

　他にも、基幹システムと業務管理システム、その他システムの3つのインフラそれぞれにPowerProtect DDを使った隔離領域を設け、さらにCyberSenseを導入してバックアップデータの検疫を実施することで、確実にデータをリストアできる仕組みも構築できる。

　「たとえ隔離領域を設けなくても、PowerProtect DDは『DD Boost』という独自インタフェースを通じてデータをやりとりできるので、OSの標準コマンドを悪用したサイバー攻撃をシャットアウトできます。同機能のおかげで、ランサムウェア攻撃を受けたお客さまのデータを無事復旧できた実績もあります」（清家氏）

　PowerProtect DDには、バックアップデータに改ざん防止加工を施す他、ファームウェアの脆弱（ぜいじゃく）性をチェックし、4カ月ごとに自動的に更新するなど、サイバー脅威に対抗する機能を複数備える。

　デル・テクノロジーズは、ノックスと連携して上記の製品を提供するだけでなく、データ保護に関するコンサルティングサービスも提供する。データのバックアップ体制を最適化する支援やソリューションも併せて「PowerProtect Cyber Recovery」というブランド名で提供し、米国にある金融機関が業界のサイバー脅威対策のために立ち上げた非営利団体「Sheltered Harbor」が求めるデータ隔離仕様を実現可能な初のソリューションとして認定を受けている。また「Cyber Recovery」以外にも、デル・テクノロジーズ全体として米国国立標準技術研究所（NIST）のサイバーセキュリティフレームワークが定める5つのプロセスに対応する製品やサービスも提供する。

　「お客さまのサイバー レジリエンスを無料で診断するアセスメントサービスも提供しています。ランサムウェアをはじめとするサイバー脅威対策の第一歩として気軽に試せますので、興味のある方はお問い合わせいただければと思います」（西賴氏）

提供：デル・テクノロジーズ株式会社
アイティメディア営業企画／制作：ITmedia エンタープライズ編集部／掲載内容有効期限：2021年12月22日