ランサムウェアに対抗できるバックアップのベストプラクティス6選

Cybersecurity Awareness Month（サイバーセキュリティ意識向上月間）の歴史は、紀元前424年までさかのぼります。当時、アケメネス朝の王クセルクセス2世が書記官に法廷文書のコピーを2部作成するよう命じ、1部はパピルスで城の穀物倉に、もう1部は夏の宮殿の土器に保管したことがバックアップの起源とされています。…というのは全くの嘘ですが、それらしく聞こえませんか？（サイバー攻撃が盛んな時代なので、情報源は常にチェックしましょう）

冗談はさておき、Cybersecurity Awareness Monthは、データをバックアップすることの重要性に着目し、偶発的なデータ損失、システム停止、サイバー攻撃に備える絶好の機会です。現在、特にランサムウェアの脅威レベルが非常に高まっています。ウクライナ戦争によりサイバー攻撃の警戒度がこれまで以上に高まりましたが、それ以前からランサムウェア攻撃の件数と深刻度は全般的に増加しています。Ransomware-as-a-Serviceが「イノベーション」を経たことで、事実上誰でも効果的なランサムウェア攻撃を仕掛けることができるようになりました。

そのため、企業データの脆弱性はこれまでにないほど高まっています。保険会社によっては、ランサムウェア攻撃を防止・特定・軽減する強力なデータ保護プログラムを導入していない組織に対して、保険料の値上げや契約のキャンセルを要求する場合すらあります。この事実を踏まえたうえで、攻撃前、攻撃中、攻撃後に実行できるベストプラクティスをご紹介します。

1. 多要素認証（MFA）を活用する－MFAは、悪質なアクセスをブロックするのに役立つシンプルな制御です。ランサムウェア攻撃における最大のリスクとして、攻撃者によってバックアップデータが破壊され、復元に必要なクリーンデータを完全に失うことが挙げられます。MFAだけではこのリスクを軽減することはできません。しかし、MFAによって攻撃しにくい状況を作ることで、壊滅的なインシデントの進行を遅らせることが期待できます。

2. 最小権限の原則を採用する－ルートアカウントの情報にアクセスできる人数を制限するのは、賢明な方法と言えます。これは通常、アインティティおよびアクセス管理（IAM）よって実現することができます。特に、バックアップシステムにアクセスできるユーザーとアプリケーションについては、他のアプリケーションと同じアクセス情報を使用しないことが重要です。

3. データを暗号化する－これはかなり基本的なことですが、こういった単純なルールが意外と守られていないことがあります。保存時のデータ暗号化（DaRE）を常に使用しましょう。データが暗号化されると、データ盗難による深刻な影響が大幅に軽減されます。データ侵害を報告するのはどの企業にとっても恥ずべきことではありますが、流出したデータが窃盗犯にとって役に立たない場合は、傷も浅くすみます。

4. 3-2-1バックアップ戦略を使用する－この方法では、少なくとも3つのデータコピーが必要になります。3つのうち2つは、異なるメディアのサイト上に保存します。そして、少なくとも1つのコピーをオフサイトに保管します。WasabiのパートナーであるVeeamは、いわゆる3-2-1-1-0ゴールデンバックアップ戦略を推奨しています。これは、コピーをさらにもう1部作り、オフラインまたは仮想のエアギャップクラウドストレージに保存する手法です。この戦略における最後の「0」は、エラーがゼロであることを示します。オンサイトのバックアップはプライマリシステムとともに危険にさらされる可能性があるため、こういった戦略がとても重要です。また、エラーをゼロにするには、バックアップを定期的に監視およびテストする必要があります。WasabiはAWS S3などの他社とは異なり、下り転送料が無料です。下り転送やAPIリクエストの追加料金がかからないため、お手頃な価格でこの戦略を実践することができます。

5. データのイミュ―タビリティ（不変性）を取り入れる－データをイミュータブルな状態でバックアップした場合、内容を変更することができなくなるため、ランサムウェアによる暗号化の影響を受けません。Wasabiのイミュータブル機能には、ガバナンスモードとコンプライアンスモードがあります。コンプライアンスモードは、多くの規制コンプライアンスで求められている削除・保護ポリシーに準拠し、人為的なミスや悪意のある行為からデータを最大限に保護します。ガバナンスモードでは、ルートユーザーに特定のオブジェクトポリシーを変更できる権限が与えられます。たとえば、30日間にわたってオブジェクトを保持する設定にしていても、ルートユーザーであればそれを変更することが可能です。コンプライアンスモードの場合は、ルートユーザーであってもポリシーを変更することはできません。

6. クラウドストレージアカウントの安全性を確保する－イミュータブルバックアップを使用していても、悪意のある人物がクラウドストレージアカウント全体を削除してしまう場合があります。アカウントの安全性を保つために、先述したベストプラクティスの1と2を導入しましょう。また、クラウドストレージアカウントのセキュリティを提供するプロバイダーを検討する必要があります。Wasabiでは、マルチユーザー認証によって1人のユーザーがストレージアカウントを削除できないようにする機能も提供しています。

Wasabiでバックアップ戦略を完璧にする

以上のベストプラクティスを通して、ランサムウェアの軽減ができるほか、サイバー保険会社ともより良い関係を築くことができるようになります。Wasabiには、こういった実感を得ているお客様が多く存在します。Aquatech International社のシニアITエンタープライズアーキテクトであるBrian Fraley氏は、以下のように述べています。「Wasabiは我々のバックアップ戦略に素晴らしい追加機能をもたらしてくれました。昨年、海外オフィスの1つがランサムウェアの攻撃を受け、リポジトリとして機能していたNASも暗号化されたことで、現場で使用可能なバックアップが一切なくなりました。しかし、たった数回クリックするだけでWasabiから環境を復元することができました。イミュータブル機能を取り入れてからはUSB外付けドライブの使用をやめましたが、これ以上ないほど満足しています。」

ケンタッキー州ハーディン郡政府のITディレクターであるAaron Miller氏も、イミュータブル機能によってランサムウェアを軽減できることがWasabiを採用する大きな決め手になったと語っています。「ランサムウェア攻撃を受けた組織に関するニュースを毎日のように耳にします。Wasabiがあれば、万が一ランサムウェアに感染したとしても、OSを再インストールし、数分以内にバックアップを取得することができます。すべてのデータが安全に保護されているとわかっているので、夜間でも安心して眠れます」。