ランサムウェア攻撃からのデータリカバリ: データの保護とリカバリ
このようにランサムウェアがまん延する中、ランサムウェアとは何か、攻撃から守るために組織ができる予防策は何か、そして最悪の事態が発生した場合に、どのようにデータを迅速にリカバリするのかを確認しておくことをお勧めします。
ランサムウェア攻撃とは何ですか? 予防策を講じる価値はありますか?
ランサムウェア攻撃とは、簡単に言えば、悪意のあるソフトウェア(マルウェア)がコンピューターに感染し、そのコンピューターを再び機能させるためにランサム(身代金)を要求するメッセージのことです。電子メールメッセージ、インスタントメッセージ、またはWebサイトなどに記載された偽装リンクをクリックすると、通常、ランサムウェアがインストールされ、コンピューターをロックしたり、重要な所定のファイルをパスワードで暗号化したりします。身代金を支払えば、理論的には、攻撃者は復号化ツール/キーを使用してファイルのロックを解除します。ここ数年で、ランサムウェアは大きく進化し、既存のネットワークドライブやバックアップデータを攻撃できるようになりました。洗練されたランサムウェアは、シャドウデータコピーや復旧ポイントデータを破壊します。復旧サービスを利用した場合でも、攻撃後に問題が残る可能性があります。
ランサムウェア攻撃を防ぐために、企業はツールの購入や、不審なメッセージやWebサイトを識別するための従業員向けトレーニングの実施などの対策を講じています。セキュリティツールやトレーニングへの投資は、2020年の183億ドルから2023年には246億ドルに増加すると予測されていますが、それでも攻撃の数は増え続けています。 Cybersecurity Ventures社は、2016年に40秒に1回の割合でランサムウェア攻撃が発生したと報告し、今年は11秒に1回の割合で攻撃が発生すると予測しています。 2020年、サイバー犯罪者が新しい在宅勤務環境を利用して、脆弱な業界や組織を標的にしたため、COVID-19のパンデミック禍でランサムウェア攻撃が148%増加しました。
巧妙なランサムウェア攻撃に対する最後の防御策は、バックアップです。そのため、バックアップデータの保護に役立つツールへの投資は重要です。同時に、攻撃から迅速にデータをリカバリするためのソリューションにも投資する必要があります。
ランサムウェア攻撃からバックアップデータを守るには?
インフラストラクチャを危険にさらすランサムウェアは、サイバー犯罪者にとって宝の山であり、時間も彼らの味方です。 Ponemon InstituteとIBMによると、組織が侵害を特定するのに197日かかります。最悪の事態が発生した場合、バックアップデータが標的になって身代金を支払うことにならないよう、多層的なアプローチをとることが最良の方法です。しかしながら、バックアップデータを保護するための対策を導入し、最善を尽くすだけでは十分ではありません。ランサムウェアは進化を続け、より巧妙になっていく中で、自社のIT本番環境が侵害されていないかどうか、またどの程度侵害されたかを迅速に確認する必要があります。その際には、すべてのデータを完璧にリストアする機能が必要となります。
そのため、ランサムウェア対策には3つの主要なステップがあります。
・バックアップデータがランサムウェアの標的にならないように保護:バックアップデータがランサムウェア攻撃の対象になるのを防ぐために、多層的なアプローチを提供するソリューションが必要です。このソリューションは、イミュータブル(変更不可の)スナップショット、ライトワンス(WORM)、ロールベースアクセス制御(RBAC)と多要素認証(MFA)による厳格なアクセス制御を提供するソリューションが必要です。
・ランサムウェア攻撃の検知:自動化された継続的な監視と機械学習により、ランサムウェア攻撃の検知がより簡単かつ迅速になります。このアルゴリズムは、データの取り込み/変更率の異常を自動的にスキャンして、本番環境でランサムウェア攻撃の可能性があることを警告します。
・迅速かつクリーンにリカバリ:ダウンタイムを最小限に抑えるには、迅速なデータリカバリが不可欠です。そのためには、まずバックアップスナップショットの健全性とサイバー脆弱性指数を表示するダッシュボードが必要です。このダッシュボードがあることで、データの場所や環境にかかわらず、すべてのデータを一括で瞬時にリストアすることが可能になります。
優れたランサムウェア対策バックアップソリューションにはどのような機能がありますか?
ランサムウェア対策向けソリューションに投資する場合、書き換え不可の機能を持つソリューションを選ぶことをお奨めします。レガシー環境には、ランサムウェアを防御するために必要な最新の機能がありません。また、万が一攻撃を受けた場合に、クリーンで迅速なデータ復旧が可能なソリューションであるかどうかを確認する必要があります。データやシステムを可視化し、リストア前に問題がないかどうかをチェックする機能も重要です。以下は、ソリューションに含まれるべき機能のほんの一部です。
・イミュータブル(変更不可の)バックアップ:このファイルシステムは、パフォーマンスへほとんど、またはまったく影響を与えることなく、頻繁で無制限のイミュータブルなスナップショットをサポートします。ランサムウェアは、イミュータブルなバックアップスナップショットにアクセスしたり変更したりすることはできません。
・厳格なアクセス制御:ランサムウェアのハッカーの多くは、脆弱なアクセスポリシーを利用して、攻撃を仕掛けます。RBACとMFAを組み合わせることで、許可したユーザーのみを関連データにアクセスできるようにすることができます。
・機械学習による検出を支援:機械学習を利用した早い段階での検知により、状況をすばやく把握し、侵害を受けた箇所にアクセスし、問題への対応を迅速に開始することができます。
・瞬時の大容量ストア:ランサムウェアが1台のマシンとか数台の仮想マシンだけを攻撃することはほとんどありません。バックアップソリューションは、堅牢で最新のものでなければならず、何百もの仮想マシンや大規模なデータベースを任意の時点へ瞬時にリカバリできる必要があります。
ランサムウェア対策ソリューションを導入するメリットは何ですか?
ランサムウェア対策機能を備えた最新のバックアップソリューションは、組織が、身代金に縛られて、支払いを要求されることがないようにします。このソリューションは、攻撃に対する最後の防衛線となります。適切なバックアップソリューションは、組織に安心感を与えます。不幸を利用して金儲けをしようとするサイバー犯罪者は、ITシステムに侵入するために、絶えず創造的な戦術を展開しています。万が一、主要な防御システムに侵害されても、ランサムウェア対策機能を備えたバックアップソリューションがあれば、攻撃を特定して被害を軽減することができます。万が一ランサムウェアに感染した場合でも、最新のバックアップソリューションは迅速なリカバリ機能を備えているので、リスクを軽減し、問題の長期化を防ぐことができます。
ランサムウェア対策を導入することは、大量のデータ損失を防ぎ、企業の評判を保護し、攻撃の後遺症として残る財政的な苦悩を回避するために、価値のある投資です。このソリューションにより、バックアップデータやとシステムを保護し、早期発見を可能にし、瞬時の大量リストアを行うことで、迅速なリカバリを可能にします。その結果、企業は、データ損失をほぼゼロにし、ランサムウェアの支払いを拒否する自信を得ることができます。
著者:岩上 純一(いわかみ じゅんいち)
Cohesity Japan 代表取締役社長
ネットアップの代表執行役員社長やSAPジャパンの製造業担当バイスプレジデント、日本IBMの製品部門の事業部長などの要職を歴任し、テクノロジー業界で30年以上の経験を持つ。ビジネス課題の解決と業績向上のためにテクノロジーを活用するさまざまな顧客企業やパートナーと親密な関係を構築。これまで培ってきた幅広いITインフラの経験と市場に関する知識を活かして、国内企業がデータからより多くの価値を引き出せるようにし、データの保護、安全、規制準拠を確実にすることを支援している。