クラウド使いにこそ「ランサムウェアからの回復力」が求められる理由と対策

 ランサムウェア(身代金要求型マルウェア)攻撃が深刻化する状況を受け、バックアップベンダー各社は対策強化が必要だと強調する。実際、ランサムウェア攻撃は広範に広がっている。例えばセキュリティベンダーのCybereasonが2022年6月に公開したレポート「Ransomware: The True Cost to Business 2022」によれば、「過去24カ月で少なくとも1回はランサムウェア攻撃の標的になった」と回答した割合は、73%に上った(注)。

バックアップベンダー各社は、攻撃者によるデータ暗号化がバックアップにも及び、復旧が困難になる事案が出ていると注意を促す。システムに攻撃者を侵入させないための防御や、侵入の検知だけではなく、正常に復旧するための対策が重要になる。対策の勘所はどこにあるのか。

バックアップに必要なランサムウェア対策

「ランサムウェアの攻撃者はシステムを停止させるだけではなく、復旧の阻止も狙ってくる」と、Dell Technologies日本法人のデル・テクノロジーズでバックアップなどのデータ保護分野を統括する西頼大樹氏は語る。ランサムウェアから確実にシステムを復旧させるには、復旧用のデータが侵害されないようにする対策が重要だ。

復旧を考える上では、データの改ざんや、復旧機能の無効化への対策である「データ防御」だけではなく、「データ隔離」や「データ衛生」の強化も重要だとデル・テクノロジーズはみる。西頼氏によれば、データ隔離はバックアップと外部ネットワークを遮断する“エアギャップ”を作るなど、攻撃者に侵害されにくい場所でバックアップを保管する対策を指す。データ衛生は、復旧用データがマルウェアに感染していないかどうかの確認を含め、復旧の安全性を確保するための対策だ。

データ保護、データ隔離、データ衛生の3つの対策を具現する製品として、デル・テクノロジーズはサイバー攻撃からのデータ保護ソフトウェア「Dell PowerProtect Cyber Recovery」(以下、Cyber Recovery)を提供している。同社がCyber Recoveryの提供において強化を進めているのは、オンプレミスインフラだけではなくクラウドサービスでもこれら3つの対策を可能にすることだ。例えば「Microsoft Azure」向けにはデータ防御の機能のみを利用可能にしていたが、2022年6月にデータ隔離機能の国内提供を開始。既にデータ防御とデータ隔離の機能を利用可能にしていた「Amazon Web Services」(AWS)向けには、Dell Technologiesの会計年度(2月〜1月)で2022年下半期までにデータ衛生機能の国内提供を開始する。

オンプレミスとクラウドの一元管理が重要

ストレージベンダーNetAppの日本法人ネットアップが注意を促すのは、オンプレミスインフラとクラウドサービスが混在し、企業のシステム構成が複雑化している点だ。システム構成が複雑になると運用管理が煩雑になり、ランサムウェア対策の盲点が生じやすくなる。異なるシステムに対して、一貫したセキュリティ対策を施す難しさも見逃せない。ネットアップのチーフテクノロジーエバンジェリスト、神原豊彦氏は「一貫性を欠いたセキュリティ対策は脆弱(ぜいじゃく)性を生む要因になる」と指摘する。

ネットアップはデータの冗長化やバックアップを担う「データ保護」と、脅威の検出や修復を担う「データセキュリティ」の対策に一貫性を持たせることが、サイバー攻撃からの回復力(サイバーレジリエンス)を高めるために重要だとみる。その一貫性を具現するベースになるのが、ハイブリッドクラウド(オンプレミスインフラとクラウドサービスの併用)やマルチクラウド(複数のクラウドサービスの併用)のストレージを一元管理するためのソフトウェア「NetApp Cloud Manager」(以下、Cloud Manager)だ。

ネットアップは2022年7月に、サイバーレジリエンスに関する一連の機能アップデートを発表した。その一つとしてCloud Managerに、ランサムウェア対策状況の可視化機能「Ransomware Protection Dashboard」を搭載した。Ransomware Protection Dashboardはクラウドストレージやオンプレミスのストレージなど、各種のデータソースをトポロジー形式で一覧表示する。管理者は同一のダッシュボードから、各データソースのデータ保護状況を確認できる。ダッシュボードは例えば

  • 個人情報をはじめとした、厳重に保管すべきデータへのアクセス権限が適切に設定されているかどうか
  • バックアップを取得していないデータがあるかどうか

などの情報を表示する。暗号化ファイルの割合が急激に増える場合はランサムウェア攻撃を受けている可能性が高いため、その状況を知らせる機能も備える。ランサムウェア対策に必要な情報を一元的に確認できる製品だと神原氏は説明する。


後編は、ランサムウェア攻撃からの復旧を確実に進めるためのポイントを紹介する。

https://techtarget.itmedia.co.jp/tt/news/2207/25/news12.html

Leave a Reply