「全データをバックアップ」は無駄なだけ？ 優先順位は“3つの質問”で決まる：「データセキュリティ」は誰の問題か【第6回】

セキュリティやバックアップの対策を強化するに越したことはない。だが強化するほど運用負荷やコストは増えるため、対策の強度とのバランスをどう取るかが悩みどころになる。適切に判断するためのポイントは何か。

[高井隆太，ベリタステクノロジーズ]

　ランサムウェア（身代金要求型マルウェア）のような脅威がまん延する中で、「セキュリティ対策の強化が重要だ」という指摘には、ほとんどの企業が同意するはずだ。その一方で企業が疑問を抱くのは「セキュリティ対策はどこまで実施すれば十分なのか」という点だ。セキュリティ対策を強化するほど安全度は上がるものの、その分のコストがかかったり、システムの操作性や動作速度が低下したりする問題が起こる。

　企業はセキュリティだけではなく、バックアップにおいても「どこまで対策を強化すればいいのか」という疑問に直面する。どのデータのバックアップをどれくらいの頻度で取得すればいいのか――。この問題を考えるために、何を基準にどう判断したらよいのかを考えてみよう。

“全データバックアップ”は無駄なだけ？　優先順位を決める質問はこれだ

併せて読みたいお薦め記事

データセキュリティの基礎

• ランサムウェアで考える“バックアップがあるだけ”では無意味な理由
• ランサムウェア攻撃者が“暗号化”よりも優先し始めた手口とは？
• クラウドデータ保護「DPaaS」とは？　使い倒す方法は？

　セキュリティをどこまで徹底すればいいのかは、企業によってもシステムによっても異なるため、一概に「こうすればいい」と答えが出るものではない。まずは社内のシステムを洗い出して重要度を順位付けする。それに応じてセキュリティ対策を徹底すべき領域と、最低限のセキュリティ対策を取れば十分な領域を分け、セキュリティ対策に“めりはり”を付けていくべきだ。

　こうした濃淡を付ける考え方は、バックアップにおけるリカバリー（復元）でも生かせる。データによっては即座に復元すべきものがあれば、1日以上かけて復元すればよいものもあるからだ。セキュリティの強度に濃淡を付けるのと同様で、バックアップをするデータを「即復元が必要なデータ」「復元に時間をかけてもいいデータ」といった具合に重要度に応じて分類する。復元に要する時間も、その重要度に応じて設定すればよい。

　企業のバックアップ担当者に「どのデータが大切ですか」と問い掛けると、「全部」という答えが返ってくることがある。本当に全てのデータが“同様に重要”ということはほとんどないと言える。データの優先順位付けをしていないと、全てのデータが等しく重要だと勘違いしてしまう。セキュリティにおいてもバックアップにおいても、データやシステムを重要度に応じて順位付けをしておくことが、対策を強化する上で重要になる。

　優先順位付けについては、「自分たちではできないので専門家に任せたい」という要望を持っている企業がある。だが本来、自社のデータのうちどれが重要なのか、どれが必要不可欠なシステムなのかを知っているのは、自分たち自身だ。もちろん外部の人間が重要なデータやシステムを選定する“手助け”をすることはできるが、優先順位付けの判断は、その企業で働く人でなければできるものではない。

　データやシステムの重要度を見極める過程を進める中においても、「全てが重要」という説明をする人がある。もしそれが本当で、それに従った対策をしようとすれば、コストがどんどん跳ね上がることになりかねない。優先順位付けをする作業は容易ではなく、簡単に答えが出る“魔法の方法”はない。試行錯誤をしながら、地道に検討を重ねていくしかない。

　とはいえ、データやシステムの優先順位付けの過程で活用できる判断ポイントはある。お勧めできるのは、データについてもシステムについても以下の点を明らかにすることだ。

• 何人くらいのエンドユーザーがそれを利用するのか
• エンドユーザーはどれくらいの頻度でそれを利用するのか
• その利用目的は何か

　データであれば、「蓄積しておくことで何に活用できるのか」を明確にすることも欠かせない。漠然と「重要そうだ」といった判断をするのではなく、根拠を明確にして論理的に説明できるようにすると、重要度の順位付けがしやすくなる。

　順位付けが明確になれば、コストの見直しもしやすくなる。必要なデータとそうではないデータの見極めや、システムのどの部分がセキュリティ強化の対象になるのかの見極めができれば、コストを圧縮する部分やコストを積み増す部分を見分けられるようになる。

データの重要度も状況に応じて変化する

　データの優先順位付けは、一度済んだら終わりではない。重要度が変わらないデータもあれば、システムや事業環境の変化に応じて重要度が変わるデータもある。そのため、データの優先順位は時折、見直しをするのが望ましい。見直しにはその分の手間がかかるが、無駄を減らすためにもこの作業は重要だ。実態はそれほど重要ではなくなったにもかかわらず、重要度を下げないままにしておくと、その分コストを無駄に支払ってしまう可能性がある。

　データの優先順位を見直す際は、セキュリティシステムや、バックアップシステムについても見直しをしておいた方がよい。セキュリティシステムやバックアップシステムは、攻撃の状況や企業のニーズに応じて変化を重ねているので、以前は利用できなかった機能が追加になっていることがある。その情報収集をしておくことは無駄にはならない。データやシステムの優先順位付けの見直しをするのと同時に、新しい機能を利用することで何が可能になるのかを検討することは、絶えず出てくる自社の課題に対処することの助けになるはずだ。

　例えば昨今は、バックアップシステムを利用せず、クラウドサービスのスナップショット（特定時点のデータの状態を保存すること）機能を利用する方法が利用可能になった。そうしたスナップショット機能にはクラウドサービスとしてすぐに利用できるという利便性がある一方で、利用頻度が多くなるほどコストが増えるという注意点もある。そこでスナップショットをどれくらいの頻度にすればコストを適正な水準に抑えることができるのか、バックアップシステムで代替できる新機能はあるかといった検討を重ねることで、結果的には自社に最適な手法を選択できるようになる。

　クラウドサービスの利用が広がるのと同時に、企業のシステムは大きく変化している。セキュリティやバックアップが、その変化に応じたものになっているのかどうかを、継続的に見直すことが欠かせない。優先順位付けのポイントとして先に挙げた「誰が利用するのか」「どれくらいの頻度で利用するのか」といった点に加えて、クラウドサービスの利用が混在する中では「どこにあるのか」といった視点も必要になる。こうした点を明確にすることで、バックアップやセキュリティの有効性や強化の必要性を客観的に判断し、結果的には最適な手法を選択していけるようになるはずだ。

執筆者紹介

高井隆太（たかい・りゅうた）　ベリタステクノロジーズ　常務執行役員　テクノロジーソリューションズ本部ディレクター

企業のマルチクラウドのデータ保護・管理に関する課題解決を支援すべく、プリセールスSEおよびプロフェッショナル・サービスチームを統括。事業全体の戦略策定、プロモーション活動にも従事している。