はじめに
ランサム攻撃はデータを暗号化し、身代金を要求することで組織の業務を停止させます。IPAの解説書では、身代金を支払ってもデータが復旧できる保証はなく、攻撃者を利する行為になると警告しています。このような攻撃に備えるためには、計画的なバックアップとリカバリ戦略を構築し、データ消失時に迅速に復旧できる体制を整えることが不可欠です。本記事では、バックアップの基本に加えて実践的なリカバリ戦略やインフラ設計のポイントを紹介します。
バックアップの基本原則
3-2-1ルール
バックアップの基本として広く知られているのが「3-2-1ルール」です。これは、3つのコピーを2種類のメディアで保持し、そのうち1つをオフサイトに保管するという原則です。複数のコピーを異なる環境に保存することで、ランサム攻撃や自然災害、ハードウェア故障といったリスクに対応できます。
オンラインとオフラインの組み合わせ
クラウドストレージやNASなどネットワーク越しにアクセスできるオンラインバックアップは、手軽に運用できる半面、攻撃者にアクセスされるリスクがあります。一方、外付けHDDやテープなどネットワークに接続されていないオフラインバックアップは物理的に守られるため、ランサム攻撃に強いメリットがあります。両者を組み合わせ、定期的にオフラインバックアップを取得することが重要です。
バックアップの頻度と世代管理
バックアップはシステムやデータの重要度に応じて頻度を決定します。業務システムのデータベースは毎日バックアップし、ファイルサーバーは週次など、業務影響を考慮して設定します。また、世代管理を設けることで、感染時点より前の安全な状態に戻すことができます。差分バックアップや増分バックアップの利用により、ストレージ容量を節約しながら世代管理を行えます。
バックアップストレージの選択
バックアップの保存先として、テープ、ハードディスク、光ディスク、クラウドストレージなど様々なメディアがあります。テープは大容量でコストが安く長期保存に適していますが、復旧までの時間が長くなります。ハードディスクやSSDはアクセス速度が速いため迅速なリカバリが可能ですが、ランニングコストが高く、物理的な衝撃に弱いという特徴があります。クラウドストレージは管理の手間が少なく、複数リージョンにデータを複製できる利点がありますが、ネットワーク障害や事業者依存のリスクも考慮しなければなりません。企業は予算や復旧時間要件に応じてメディアを組み合わせることが求められます。
データ分類と優先順位
全てのデータを同じ頻度・方針でバックアップする必要はありません。機密データや業務に不可欠なデータは高頻度でバックアップし、長期保管が必要なアーカイブデータは低コストのメディアに保存するなど、データの重要度に応じた戦略を立てます。データ分類では、個人情報や顧客情報、業務上重要な設定ファイルなどを洗い出し、保管期間や暗号化の有無を決定します。こうした区分けは、災害時の復旧優先順位を決める上でも役立ちます。
リカバリ戦略
復旧手順の整備
バックアップを取得していても、復旧手順が定義されていなければ迅速な復旧はできません。IPAは、インシデント対応の一環としてバックアップからのリカバリ手順を文書化し、定期的に訓練することを勧めています。復旧手順書には、担当者や連絡先、復旧優先順位、使用するツールやコマンド、復旧にかかる時間の目安などを記載します。
冗長構成と可用性の確保
ミッションクリティカルなシステムでは、単一障害点を排除し、冗長化を図ることも重要です。データセンターやクラウドにおいて、複数リージョンにデータを複製することで大規模障害時にもサービスを継続できます。また、アクティブ/スタンバイ構成やクラスタリングを導入し、故障が発生しても自動的にフェイルオーバーできるようにします。業界標準の可用性要件(SLA)を満たすには、計画停止やメンテナンス時間も含めて設計する必要があります。
早期発見と隔離
バックアップデータが攻撃者に暗号化されないよう、異常を早期に検知し感染が広がる前に隔離することが重要です。ランサム攻撃の多くはネットワーク内を横移動し、バックアップサーバにも侵入しようとします。侵入検知システムやエンドポイントセキュリティを導入し、不審な動きを検知したら該当システムをネットワークから切り離す運用を徹底します。また、バックアップネットワークを業務ネットワークから物理的または論理的に分離し、攻撃者が簡単にアクセスできない構成にすることが重要です。
テスト復旧の実施
バックアップが正常に取得できていても、実際に復旧できるかどうかは別問題です。定期的にバックアップからシステムを復元し、データの整合性やアプリケーション動作を確認するテストを実施します。テスト結果は手順書や計画に反映し、改善に役立てます。訓練は本番環境への影響を避けるためにテスト環境で行い、必要に応じてダウンサイジングしたデータを使用します。クラウドバックアップでは、自動復旧テスト機能を利用して運用の負荷を軽減する方法もあります。
ランサム攻撃者の新たな手口と多層防御
攻撃者は、バックアップが唯一の復旧手段であることを理解しており、バックアップデータそのものを狙う「二重・三重脅迫」を行うケースが増えています。また、「ノーウェアランサム」のように暗号化を行わずデータを抜き取って公開を脅迫する手口もあるため、バックアップだけに頼らない多層防御が必要です。ネットワーク監視、エンドポイント防御、ファイル無害化ソリューションなど複数の技術を組み合わせ、攻撃の早期検知と迅速な封じ込めを図ります。
暗号化とアクセス制限
バックアップデータ自体にも暗号化を施し、アクセス権限を限定することで、不正アクセス時の情報漏えいリスクを減らします。暗号鍵は安全な場所に保管し、バックアップサーバと分離して管理します。バックアップ先へのアクセスは多要素認証を設定し、ログ監視で異常な操作を検知します。特にクラウド環境では、ストレージ側の暗号化(サーバー側暗号化)とクライアント側暗号化を組み合わせることでセキュリティを強化できます。
バックアップとサイバー保険
サイバー保険は、ランサム攻撃やデータ漏えいによる損害を補償する手段として注目されています。保険に加入する際は、バックアップやリカバリ体制が整っているかが審査項目になることが多いため、日頃からバックアップ戦略を実践していることが重要です。保険適用条件には、身代金を支払わない方針やインシデント対応チームの設置、法的報告義務の遵守などが含まれる場合があります。バックアップとリカバリの成熟度を高めることで、保険料の軽減や補償範囲の拡大につながる可能性があります。
遵守すべき標準とガイドライン
バックアップとリカバリには国際的な標準や業界ガイドラインが存在します。NISTのSP 800-34やISO 27031は事業継続と災害復旧計画の策定を支援し、金融業界ではFISC安全対策基準が冗長化やバックアップの要件を定めています。これらのガイドラインを参照して、組織の方針や手順を作成することで、監査や規制への適合性を高めることができます。また、内部監査や第三者監査を活用して適切な運用ができているか定期的に評価することが重要です。
おわりに
バックアップとリカバリ戦略は、ランサム攻撃を含むさまざまな障害に対する最後の砦です。IPAの解説書が強調するように、身代金を支払うのではなく日頃からバックアップを整備し、迅速に復旧できるよう備えることが重要です。3-2-1ルールやオフラインバックアップの実践、復旧手順の整備と訓練、バックアップデータへのアクセス制御に加え、データ分類や多層防御、サイバー保険、標準への適合といった総合的な対策を通じて、攻撃者に付け入る隙を与えないバックアップ体制を構築しましょう。
