Security Report

#15 今こそバックアップ環境の棚卸が必要

作成者: 山本 太郎|Jun 5, 2024 3:00:00 PM

 

 

IPA「情報セキュリティ 10大脅威 2024」の1位となっていた「ランサムウェアによる被害」や、地震や火事などの災害への対策は準備できていますか?

 

お客様とお話しをする上で、システム毎にバックアップ方法が異なり、管理者もそれぞれで、現状全ての把握ができている者がいないというお話を聞くことがあります。

 

 

バックアップ環境の棚卸

情報処理推進機構が発表した「情報セキュリティ10大脅威 2024」の「適切なバックアップ運用を行う」を参考に、バックアップ環境の棚卸をしてみましょう。

参考URL:https://www.ipa.go.jp/security/10threats/10threats2024.html

 

以下、棚卸例です。

 

1.バックアップの概要把握

  1.   使用しているバックアップソフトウェアやツールの種類とバージョンを確認します。

  2.   バックアップインフラストラクチャー(ハードウェア、ストレージ、ネットワーク)の構成を把握します。

  3.  
  4. 2.バックアップ対象の特定

  5.   バックアップの対象となるシステム、データベース、ファイル、アプリケーションなどを特定します。

  6.   重要度や優先度に応じて、バックアップの対象をランク付けします。

  7.  
  8. 3.バックアップの頻度と保持期間

  9.   フルバックアップ、差分バックアップ、増分バックアップなどのバックアップタイプと頻度を確認します。

  10.   バックアップデータの保持期間と廃棄ポリシーを確認します。

  11.  
  12. 4.バックアップの検証

  13.   バックアップジョブが正常に完了しているかどうかを確認します。

  14.   バックアップログやレポートをチェックします。バックアップデータの一貫性と完全性を検証します。

  15.  
  16. 5.バックアップ保管先の確認

  17.   バックアップデータが保存されている場所(ローカルストレージ、リモートストレージ、クラウド)を確認します。

  18.   バックアップデータの暗号化やアクセス制御などのセキュリティ機能を確認します。

  19.  
  20. 6.管理体制の確認

  21.   バックアップシステムの管理責任者や担当者を確認します。

  22.   バックアッププロセスの監視と管理に関する責任と役割を明確にします。

  23.  

7.リカバリープラン、定期的に復旧テストを行っているか

  災害復旧計画が策定されているかどうかを確認します。

  定期的な災害復旧テストが実施され、その結果と改善点が文書化されているかを確認します。

 

8.設定情報の確認

  バックアップ設定(スケジュール、ターゲット、ポリシーなど)を確認します。

  設定情報の変更履歴やドキュメントが適切に管理されているかを確認します。

 

 

棚卸によって明確になった問題点とリカバリープランの策定

お客様とのディスカッションの中で、「バックアップを取ってはいるが、定期的に復旧テストを行っていない」、「SaaSなので復旧まで考えていない」、「災害復旧テストが計画されていない」などをよく耳にします。

バックアップは取得しているが戻し方がドキュメント化されていない、定期的なリカバリープランが組まれていない等のケースが多いようです。

 

これらの大きな理由として組織内のリソース不足や優先順位の問題が挙げられます。

 

日々の業務やプロジェクトの運営に忙殺され、リカバリープランの作成や更新が後回しにされることがあります。

その結果、予期せぬデータ損失、障害や災害が発生した際に十分な対応ができない等の可能性が高まります。

 

また、技術的な理由も挙げられます。

バックアップの設定情報やリカバリープランの文書化は、時間と労力を必要とする作業であり、特に大規模なシステムや複雑なインフラストラクチャーではさらに困難です。

加えて、環境の定期的なリプレイスによる変化によって、文書化された情報がすぐに古くなってしまう可能性もあります。

 

さらに、組織のリカバリープランの文書化には、リーダーシップの支援や文化の変革が必要です。

リカバリープランの作成や更新には、組織全体での協力とコラボレーションが不可欠ですが、それが不足している場合、リカバリープランの作成が困難となります。

 

これらの要因が重なり、バックアップの設定情報がドキュメント化されたリカバリープランが不足していることがあります。

しかし、リカバリープランの重要性が再認識されつつあり、組織がこれに対処する方法を模索していることも事実です。

 

昨今、自然災害も多く、またIPA10大脅威の一位にもなっている「ランサムウェアによる被害」も事例が増えていることを踏まえ、定期的な災害復旧テストは大切と考えます。

 

実際に災害復旧テストを実施し、結果と実施による改善点が明文化されていることが理想です。

 

現時点で障害が発生した際に確実に復旧できるのでしょうか?

バックアップソフトは、ファイルやデータの整合性は確認しておりません。

ファイルとして読み込みエラーが無くバックアップできているものは、結果として正常として扱われます。

棚卸で不十分と確認ができたところを改善し、サーバー、データ等の優先順位や災害復旧テストの計画を立て、災害や障害時に復旧が可能なのかを確認することが大事です。

 

 

可視化のためのお手伝いをします!

弊社では複数のお客様とのディスカッションや様々な事例を踏まえ、「バックアップ環境ヒアリングシート」を作成しました。

こちらを活用し、バックアップの棚卸から、サイロ化によって管理が分散化している環境整理や、最適なバックアップ取得方法、リカバリープランの提案までお手伝いできますので、バックアップに関するご質問等ございましたらお気軽にご相談下さい。

 

繰り返しになりますが、IIMはセキュリティだけではなく、同じSEIKOグループのバックアップ専門部隊BackStoreと共に、バックアップに関するベストプラクティスの提案が可能です。

セキュリティもバックアップも、ぜひIIMにお任せ下さい。