
ITシステムのセキュリティ対策において、データのバックアップは代表的な手段とされてきました。しかし、「ランサムウェア(身代金要求型ウイルス)」の被害が拡大する昨今、その常識は揺らいでいます。
ランサムウェア攻撃を受ければ、企業活動は長期的な停滞を余儀なくされます。社会的信用の失墜や、多額の損害賠償といった事態にも直結しかねません。被害を防ぐためには、バックアップの手法を改めて見直すとともに、包括的なセキュリティ対策の検討が不可欠です。
そこで本記事では、ランサムウェア対策としてのバックアップの有効性から正しい方法、ほかに講じるべき対策まで詳しく解説します。包括的なデータ保護に役立つペンタセキュリティのデータ暗号化プラットフォーム「D.AMO(ディアモ)」も紹介しますので、ぜひ参考にしてください。
ランサムウェア攻撃にバックアップ対策は無意味?
結論から言えば、バックアップはランサムウェアに対しても一定の効果があり、決して無意味ではありません。しかし従来型のバックアップだけでは、昨今のランサムウェア対策としては不十分になりつつあります。
ランサムウェアは、データを暗号化して利用不能にし、復旧と引き換えに金銭などを要求する攻撃手法です。近年は、機密データを窃取して公開を迫る「二重脅迫」や、ランサムウェア攻撃の仕組みを提供する「RaaS(Ransomware as a Service)」も登場しました。
こうした脅威の変化に対して、「復旧できる状態を維持する」だけでは企業リスクを抑えきれません。企業はサイバー攻撃の最新動向を理解し、自社のバックアップ戦略を根本から見直す必要があります。
ランサムウェアについては、以下の記事で詳しく解説しています。あわせてお読みください。
「ランサムウェア攻撃による暗号化をどう防ぐ?データの復元方法も紹介」
バックアップだけではランサムウェア対策として不十分な理由
バックアップは重要なセキュリティ対策の1つですが、ランサムウェア対策として十分とは言えません。バックアップは復旧手段であり、侵害そのものを止める仕組みではないためです。ここからは、バックアップだけでは不十分な3つの理由について解説します。
- バックアップデータも暗号化されることがある
- 「感染済みのデータ」をバックアップしてしまうリスクがある
- 二重脅迫(データ暴露)への直接的な対策にはならない
①バックアップデータも暗号化されることがある
ランサムウェア攻撃では、バックアップしたデータも暗号化されることがあります。保管方法が不適切な場合、社内ネットワークを介して攻撃者にアクセスされてしまうためです。復旧を妨害する目的で、バックアップデータを単に削除するケースも少なくありません。
バックアップデータを取得していても、攻撃者によって暗号化・削除されてしまっては復旧手段として無力です。昨今のランサムウェアは企業ネットワークへ深く侵入し、幅広いデータの侵害を図ります。そのため、本番環境と切り離した安全なデータ保管が不可欠です。あわせて、D.AMOのようにデータそのものを守る仕組みも取り入れましょう。
②「感染済みのデータ」をバックアップしてしまうリスクがある
バックアップ対象にランサムウェアが侵入していた場合、感染済みのデータまで保存してしまいかねません。そうなれば、システム復元時にバックアップデータから再感染を引き起こし、被害が何度も繰り返されることになります。
ランサムウェアは、感染から発覚までに時間差が生じるケースも少なくありません。この「潜伏期間」が長くなればなるほど、危険なバックアップデータが積み上がる事態となってしまいます。そのため、システム内の不審な動きをいち早く察知し、脅威が広がる前に異常を検知する仕組みが重要です。
③二重脅迫(データ暴露)への直接的な対策にはならない
バックアップは、ランサムウェアによる二重脅迫(データの暴露を盾に脅す手法)への直接的な対策にはなりません。たとえバックアップデータで復旧できたとしても、攻撃者の手元に機密データが渡っていれば暴露を防げないためです。
二重脅迫の手口では、暗号化を行う前の段階でデータを盗み出されてしまいます。つまり、この段階でデータの中身が攻撃者に知られれば、二重脅迫は成立してしまうのです。
データ暴露の脅迫を無効化するためには、D.AMOなどによるデータ暗号化が欠かせません。あらかじめ重要なデータを暗号化しておけば、万が一盗まれても中身を解読される心配がありません。
データ暗号化については、以下の記事で詳しく解説しています。あわせてお読みください。
「データ暗号化とは?仕組みや身近な例・サービスを選ぶポイントを解説」
ランサムウェアからデータを守る正しいバックアップ方法
バックアップ単体では不十分とはいえ、ランサムウェア対策として一定の効果を持ちます。その効果を発揮させるためには、正しいバックアップ方法の理解が不可欠です。
ここからは、ランサムウェアからデータを守るための具体的なバックアップ方法を4つ紹介します。
- 「3-2-1ルール」の徹底
- イミュータブル(変更不可)ストレージの活用
- 世代数の適切な管理
- 復旧テストの定期的な実施
①「3-2-1ルール」の徹底
バックアップデータを確保する際は「3-2-1ルール」を徹底しましょう。3-2-1ルールとは、バックアップデータを適切なバランスで確保することでリスクに備える考え方です。
具体的には、本番データを含め合計「3つ」のデータ(コピー)を取ります。そのうち「2つ」は、ハードディスクやテープなど、異なる種類の媒体へ保存してください。さらに残りの「1つ」は、ネットワークから切り離した状態で保管しましょう。
このようにデータを配分することで、災害や盗難、破損を含めた幅広いリスクに対処できます。安全なデータから確実に復旧できれば、少なくともランサムウェアによる長期間の業務停滞は防止できるでしょう。
②イミュータブル(変更不可)ストレージの活用
バックアップデータを保存する際には「イミュータブルストレージ」を活用するのが効果的です。イミュータブルストレージとは、書き込んだデータを一定期間にわたり変更や削除できない状態にする記憶媒体のことです。
この仕組みを活用すれば、外部からバックアップデータが不正に破壊・改ざんされるリスクを低減できます。万が一、サイバー攻撃でシステム管理者の権限を奪われたとしても、バックアップを最後の復旧手段として維持しやすくなるでしょう。
③世代数の適切な管理
バックアップデータの世代数を適切に管理することも大切です。バックアップの「世代数」とは、過去のデータを何回分さかのぼって保持するかを意味します。
世代数が少なすぎると、バックアップデータ自体が汚染されていた場合に復旧候補が不足し、感染前の正常な状態へ戻せないリスクがあります。反対に、世代数が多すぎると保存領域を圧迫したり、運用コストが増大したりしがちです。
そのため、世代数はランサムウェアの潜伏期間や検知までの時間、事業継続要件などを踏まえて決定しましょう。数日単位の復旧だけでなく、数週間から数か月前の安全なデータへ戻せる選択肢を確保しておくのが理想です。
④復旧テストの定期的な実施
バックアップデータを用いて実際にシステムを復旧できるか、定期的にテストすることも重要です。必要なバックアップデータが確保されていても、有事の際に復旧手順が機能しなければ、事業再開までの時間が大きく伸びてしまいます。
バックアップは作成して終わりではありません。平時から復旧テストを実施し、復元手順や所要時間、復旧後の動作まで確認しておくことが大切です。復旧時の課題を事前に把握できれば、実際のインシデント発生時にも混乱を抑えながら対応しやすくなります。
バックアップ以外に講じるべきランサムウェア対策
バックアップは復旧のための手段であり、侵害や情報流出そのものを防ぐ仕組みではありません。ランサムウェア被害を抑えるためには、侵入後の被害拡大や情報漏えいまで想定した対策が必要です。
ここからは、バックアップと組み合わせて検討したい代表的な3つのランサムウェア対策を紹介します。
- データ暗号化
- アクセス制御
- ログ監査
①データ暗号化
二重脅迫に対抗するための根本的な対策として、データ自体の暗号化が必須です。暗号化とは、データを第三者が読めない形式へ変換する仕組みを指します。あらかじめ情報を暗号化しておけば、万が一ファイルが盗まれても内容を解読されません。データ暴露という脅しを無効化し、企業の重要資産を確実に守り抜く効果が期待できます。
ただし、暗号化に使用する鍵の管理がずさんだと、攻撃者にデータを復号される恐れがあります。そのため、暗号化から鍵管理までを包括的に提供するD.AMOのようなプラットフォームの活用が効果的です。
②アクセス制御
ランサムウェアの被害を防ぐためには、アクセス制御の強化が求められます。これは「誰がどのデータへアクセスできるか」を厳密に制限する仕組みです。侵入を未然に防ぐだけでなく、事後のリスクを抑える設計が不可欠といえます。
業務に必要な最小限の権限のみを付与し、不要なアカウントは速やかに削除する運用が基本です。アクセス権限の厳格な管理は、ウイルスが別の端末へ感染を広げる「横展開」の対策にもなります。不要な権限を削ることで、重要データへの到達を抑制できるでしょう。
③ログ監査
ネットワーク内の不審な動きを早期に発見する方法としては、ログ監査が有効です。ログ監査とは、システム内の操作履歴を継続的に記録し、異常がないかを監視する仕組みです。大量のデータ転送や深夜帯の不自然なアクセスを素早く検知する体制を整えましょう。
システムの異常を正確に察知できれば、被害が拡大する前にネットワーク遮断といった初動対応へ移れます。暗号化データへのアクセス履歴を残しておけば、インシデント発生後の迅速な原因調査にも役立つでしょう。
ランサムウェアの脅威を最小化するデータ暗号化プラットフォーム「D.AMO」
ここまで見てきたように、ランサムウェア対策ではバックアップと事前のデータ保護を組み合わせる考え方が重要です。その点、データ暗号化プラットフォームD.AMOであれば、暗号化からアクセス制御、鍵管理までを網羅した強固な保護基盤を構築できます。
D.AMOが備える主な特長は以下のとおりです。
- アプリケーション改修不要で既存環境へ導入しやすい
- カラム単位の選択的暗号化で性能負荷を抑制
- DBAとセキュリティ管理者の職務分掌で不正閲覧を防止
- 暗号化・アクセス制御・ログ監査・鍵管理を統合管理
- 国内外の特許・認証取得や韓国国内シェアNo.1の実績
バックアップは重要な要素ですが、それだけでデータ保護は完結しません。データそのものを守る仕組みまで含めて設計することが、長期的な対策につながります。
D.AMOの詳細については、下記のリンクからぜひご確認ください。
「データ暗号化プラットフォーム「D.AMO」とは?機能や特長、利用例を紹介」
まとめ
ランサムウェア対策において、データのバックアップは依然として不可欠な要素です。しかし、従来の手法だけでは二重脅迫やバックアップデータの侵害までは防ぎきれません。復旧だけでなく、データそのものを直接守る対策も欠かせないのです。
バックアップ方法の見直しを進めつつ、データ暗号化やアクセス制御、ログ監査といった包括的なセキュリティ対策を講じましょう。
情報資産の確実な保護を実現するためには、統合型のデータ暗号化プラットフォームD.AMOの活用が効果的です。企業全体の長期的なセキュリティ戦略として、この機会に自社の体制を今一度見直してみてください。