#17 セキュリティ最後の砦「復旧：バックアップ」

作成者: 山本太郎｜Jul 31, 2024 3:00:00 PM

「ランサムウェア」に対し、「バックアップ・リストア」の観点でお役立ちできることをご紹介いたします。

ぜひ、弊社セキュリティレポート#15「今こそバックアップ環境の棚卸が必要」とあわせてご覧ください。

ランサムウェアの整理、昨今の情勢

本年のIPAの10大脅威で1位となっている「ランサムウェアによる被害」。

統計情報やニュースを見ても、企業の大小や業種を問わず発生していることがわかります。

また、数億円を超える身代金を要求された事例や製造業1時間の稼働停止で数千万円もの損害を出す試算も存在しており、被害が甚大になっております。

ランサムウェアの暗号化により、多くの組織では社内システムが機能不全になり、最悪の場合、稼働停止に追い込まれます。

今やランサムウェア対策は優先して取り組むべき経営課題です。

多層防御は有効だが完璧ではない、最後の砦「復旧：バックアップ」

EPP、EDR、FW、資産管理、パッチ管理、メールチェック、多くの企業が複数の領域に対しセキュリティを強化する「多層防御」を実装しております。

しかし、それでも100％の防御はできず、ランサムウェアの被害が続いている状況です。

今や世界標準となっているNIST（米国国立標準技術研究所）が掲げるサイバーセキュリティフレームワーク2.0を改めて読むと、サイバー対策には「復旧」が必須項目であり、重要な６つの管理策の1つに挙げられています。

復旧：被害を受ける前の状態に円滑に迅速に戻すこと

これは単なるバックアップだけでなく、迅速で効果的な復旧計画を含みます。

仮にランサムウェア被害にあったとしても、復旧が適切に迅速に行われることができれば、業務継続ができ、企業リスクを大きく低減できます。（レジリエンシー）

最後の砦「復旧：バックアップ」を盤石なものにするために

ランサムウェア被害にあった時の頼みの綱がバックアップですが、バックアップを取得できていてもリストアできないケースが多く見受けられます。

前述の警察庁の報告によると、被害を受けた企業の9割がバックアップを取得していたものの、そのうちの約8割が復元できなかったということがわかっています。

このような状況になる原因として考えられるのが、以下2点になります。

１．バックアップデータ・システムが被害（暗号化・削除・破壊など）を受けた
　　攻撃者は事態を深刻化、長期化させるために、本体のデータの前にバックアップシステムを破壊・暗号化させることを常套手段として
　　います。
２．感染前のクリーンなバックアップデータが存在しない
　　多くの企業ではデータ保存期間が短いです。
　　これは機器故障、システムエラー、人為ミスなど従来型のトラブルに対応するためのバックアップ運用になっているためです。
　　攻撃者は確実に攻撃を成功させるため、偵察・潜伏活動などに多くの時間をかけます。
　　また、ランサムウェアによる暗号化が同時期に実施されるケースは少なく複数箇所で複数回実施されるため、できる限り長期のデータ
　　保存が必要となります。

最後の砦「復旧：バックアップ」を盤石なものにするための4つのポイント

万全な復旧を実施するために策定したプランは、それを実現するソリューションがあって成立します。

そのためソリューション選定は非常に重要になります。

選定の際の4点のポイントを以下に示します。

これらに対応したソリューションを選定することで、「バックアップは取っているが、リストアができない」という問題を排除することができます。

ポイント

概要

１．アクセス制御

　（入口の極小化）

■バックアップシステム・データを、社内から切り離されたエアギャップ環境（※1）に存在・保管

　すること

■エアギャップ環境へのアクセスを厳格化すること

　MFA（多要素認証）、RBAC（ロールベースアクセス制御）など

２．改変防止

　（改変リスクの排除）

■上記アクセス制御の利いたエアギャップ環境へのデータ保管をすること

■データを改変できない形式（イミュータブル）で保管すること

３．改変検知

　（インシデント早期発見）

■バックアップ時にデータを検疫し、ランサム化を検知・通報できること

■異常なコードを識別し、エアギャップ環境に隔離し保管できること

４．確実なリストア

　（確実性・迅速性の確保）

■保管するデータの世代数はできる限り長期が望ましく、クラウドストレージなどの利用が効果的

■長期保管による膨大なデータから、感染前のクリーンデータを高速に検出できること

（※1）データやシステムを物理的または論理的に隔離し、セキュリティを向上させた環境

まとめ

ランサムウェア感染が発生しても、復旧工程を整えることで、事業の停止を極小化し、高いレジリエンスが保てることをご紹介しました。

また、確実な復旧を実現するための現状棚卸と再設計、ソリューション選定の４つのポイントをご紹介しました。

本レポートが有益な情報提供になれば幸いです。

貴社のバックアップの状況はいかがでしょうか？

是非とも現状の棚卸を実施し、ランサムウェア対策を考慮したバックアップ環境と運用・リカバリープランになっているかご確認ください。

弊社セキュリティレポート#15「今こそバックアップ環境の棚卸が必要」は棚卸の際に参考になりますので、あわせてご確認ください。

弊社では、バックアップの棚卸からリカバリープランの提案までご支援が可能です。

また、本編ではご紹介しておりませんが、弊社では4つのポイントをクリアした「SaaS型バックアップ・リストアソリューション」や、前述のNISTフレームワークの6つの管理項目に即した各種ソリューションもご用意しております。

詳しい話をお聞きになりたいなど、ご用命の際はぜひ弊社担当営業までお申し付け下さい。

完全な記事を表示

#17 セキュリティ最後の砦「復旧：バックアップ」

「ランサムウェア」に対し、「バックアップ・リストア」の観点でお役立ちできることをご紹介いたします。

ぜひ、弊社セキュリティレポート#15「今こそバックアップ環境の棚卸が必要」とあわせてご覧ください。

ランサムウェアの整理、昨今の情勢

本年のIPAの10大脅威で1位となっている「ランサムウェアによる被害」。

統計情報やニュースを見ても、企業の大小や業種を問わず発生していることがわかります。

また、数億円を超える身代金を要求された事例や製造業1時間の稼働停止で数千万円もの損害を出す試算も存在しており、被害が甚大になっております。

ランサムウェアの暗号化により、多くの組織では社内システムが機能不全になり、最悪の場合、稼働停止に追い込まれます。

今やランサムウェア対策は優先して取り組むべき経営課題です。

多層防御は有効だが完璧ではない、最後の砦「復旧：バックアップ」

EPP、EDR、FW、資産管理、パッチ管理、メールチェック、多くの企業が複数の領域に対しセキュリティを強化する「多層防御」を実装しております。

しかし、それでも100％の防御はできず、ランサムウェアの被害が続いている状況です。

今や世界標準となっているNIST（米国国立標準技術研究所）が掲げるサイバーセキュリティフレームワーク2.0を改めて読むと、サイバー対策には「復旧」が必須項目であり、重要な６つの管理策の1つに挙げられています。

復旧：被害を受ける前の状態に円滑に迅速に戻すこと

これは単なるバックアップだけでなく、迅速で効果的な復旧計画を含みます。

仮にランサムウェア被害にあったとしても、復旧が適切に迅速に行われることができれば、業務継続ができ、企業リスクを大きく低減できます。（レジリエンシー）

最後の砦「復旧：バックアップ」を盤石なものにするために

ランサムウェア被害にあった時の頼みの綱がバックアップですが、バックアップを取得できていてもリストアできないケースが多く見受けられます。

前述の警察庁の報告によると、被害を受けた企業の9割がバックアップを取得していたものの、そのうちの約8割が復元できなかったということがわかっています。

このような状況になる原因として考えられるのが、以下2点になります。

１．バックアップデータ・システムが被害（暗号化・削除・破壊など）を受けた

攻撃者は事態を深刻化、長期化させるために、本体のデータの前にバックアップシステムを破壊・暗号化させることを常套手段として

います。

２．感染前のクリーンなバックアップデータが存在しない

多くの企業ではデータ保存期間が短いです。

これは機器故障、システムエラー、人為ミスなど従来型のトラブルに対応するためのバックアップ運用になっているためです。 攻撃者は確実に攻撃を成功させるため、偵察・潜伏活動などに多くの時間をかけます。

また、ランサムウェアによる暗号化が同時期に実施されるケースは少なく複数箇所で複数回実施されるため、できる限り長期のデータ 保存が必要となります。

最後の砦「復旧：バックアップ」を盤石なものにするための4つのポイント

万全な復旧を実施するために策定したプランは、それを実現するソリューションがあって成立します。

そのためソリューション選定は非常に重要になります。

選定の際の4点のポイントを以下に示します。

これらに対応したソリューションを選定することで、「バックアップは取っているが、リストアができない」という問題を排除することができます。

ポイント

１．アクセス制御

（入口の極小化）

■バックアップシステム・データを、社内から切り離されたエアギャップ環境（※1）に存在・保管

すること

■上記アクセス制御の利いたエアギャップ環境へのデータ保管をすること

■データを改変できない形式（イミュータブル）で保管すること

■バックアップ時にデータを検疫し、ランサム化を検知・通報できること

■異常なコードを識別し、エアギャップ環境に隔離し保管できること

■保管するデータの世代数はできる限り長期が望ましく、クラウドストレージなどの利用が効果的

■長期保管による膨大なデータから、感染前のクリーンデータを高速に検出できること

（※1）データやシステムを物理的または論理的に隔離し、セキュリティを向上させた環境

まとめ

ランサムウェア感染が発生しても、復旧工程を整えることで、事業の停止を極小化し、高いレジリエンスが保てることをご紹介しました。

また、確実な復旧を実現するための現状棚卸と再設計、ソリューション選定の４つのポイントをご紹介しました。

本レポートが有益な情報提供になれば幸いです。

貴社のバックアップの状況はいかがでしょうか？

是非とも現状の棚卸を実施し、ランサムウェア対策を考慮したバックアップ環境と運用・リカバリープランになっているかご確認ください。

弊社セキュリティレポート#15「今こそバックアップ環境の棚卸が必要」は棚卸の際に参考になりますので、あわせてご確認ください。

弊社では、バックアップの棚卸からリカバリープランの提案までご支援が可能です。

詳しい話をお聞きになりたいなど、ご用命の際はぜひ弊社担当営業までお申し付け下さい。

　　攻撃者は事態を深刻化、長期化させるために、本体のデータの前にバックアップシステムを破壊・暗号化させることを常套手段として

　　います。

　　多くの企業ではデータ保存期間が短いです。

　　また、ランサムウェアによる暗号化が同時期に実施されるケースは少なく複数箇所で複数回実施されるため、できる限り長期のデータ
　　保存が必要となります。

　（入口の極小化）

　すること