ランサムウェア攻撃やシステム障害に備えるバックアップは重要だ。しかし、管理ツールで「正常終了」と表示されていても、データの復旧に失敗するケースが後を絶たない。こうした事態はなぜ起きるのか。
企業がサイバー攻撃や予期しないシステム障害から復旧するには、データバックアップが不可欠だ。しかし、「ジョブが正常に終了した」というステータスだけでデータの安全性を測るのは無防備だ。担当者がデータの完全性を検証する手順を怠れば、いざという復旧の段階になって初めて「バックアップが使い物にならない」という致命的な事実に直面することになる。
医療分野のITベンダーAlliance Innovationsの共同創業者兼CTO(最高技術責任者)であり、同社のヘルスケア分析サービス「LightTrail」の開発責任者ラッセル・リード氏は、この問題に直面した一人だ。リード氏がデータ処理システムで完全な復元を検証した際、全てのジョブが「正常終了」のステータスを返した。エンドユーザーの操作を録画のように再現する「セッションリプレイ記録」の一部が欠落していたという。完了ログを見ただけでは気付けないデータの抜け落ちが生じていたのだ。
巧妙化するランサムウェア(身代金要求型マルウェア)攻撃や、社内におけるSaaS(Software as a Service)の乱立によって、迅速かつ確実な復旧の重要性はかつてなく高まっている。元のデータが完全に検証されていない状態でステータス上の成功だけを過信することは、壊滅的な被害をもたらしかねない。
経営層やIT部門のリーダーにとって、障害が発生する前に「確実に復元できる信頼性の高いデータがある」と証明することは、ビジネス存続の絶対条件だ。真に効果的なデータ検証とは、単なる完了確認ではなく、システムへのデータ取り込みから保存、復旧の全プロセスを網羅したものでなければならない。
セキュリティベンダーSophosが2025年6月に発行した年次ランサムウェアレポート「State of Ransomware 2025」によると、初期の身代金要求額以上を支払った企業の38%が、その理由の一つとしてバックアップの問題を挙げている。調査会社IDCは2024年7月に発行したアナリストブリーフ「Using the Cloud to Bolster Cyber-Recovery Strategies」の中で、ランサムウェアインシデントの約半数において、攻撃者がバックアップの削除や破損を試みていると報告した。
従来のバックアップ運用では、ジョブのステータスによってバックアップの成否を判定しがちだ。しかし、ITサービスプロバイダーQuest Technology Managementの社長兼CEOであるティム・バーク氏によれば、これは確認するポイントを間違えている。
「バックアップの完了と、実際に機能するかどうかは別問題だ。完了ステータスは書き込みの成功を示すだけで、データの完全性や必要な時間内での復旧を保証するものではない」とバーク氏は語る。
バックアップの管理画面でエラー警告が一度も出なかった企業が、インシデント発生時には想定の3倍の復旧時間がかかるケースを、バーク氏のチームはたびたび目の当たりにしてきた。バックアップベンダーUnitrendsが2025年2月に発行したレポート「The State of Backup and Recovery Report 2025」では、60%以上の企業が数時間以内にダウンタイムから復旧できると信じていたが、実際にそれができたのはわずか35%だった。
バーク氏によれば、主要なインフラの検証を徹底している企業でも、SaaSや従業員のエンドポイント、外部委託先のシステム構成にあるデータを見落としがちだ。「MicrosoftやSalesforceといった大手ベンダーのサービスは可用性が高いため、データも安全だと思い込んでいる人がいるが、システムが落ちないこととデータを元に戻せることは同義ではない」と同氏は指摘する。
復旧の準備が整っていることを確認できる企業とそうではない企業を分けるのは、以下の実践的な手法を取り入れているかどうかだ。
取り込み時と保存時にチェックサム(データから算出する固有の文字列)を照合し、読み出したデータが書き込み時の内容と完全に一致するかどうかを確かめる。
前述のIDCのアナリストブリーフは、バックアップデータの検査を「必須のセキュリティ対策」だと位置付けている。入り口での水際対策(境界防御)を擦り抜けて、発症せずに潜伏しているマルウェアがバックアップに紛れ込んでいる可能性があるためだ。チェックサムなどの整合性チェックを通過したからといって、そのデータが無害であるとは限らない。
データ量の異常な変化、バックアップに異常に時間がかかる、予期しないファイルの削除などの現象は、システム侵害の早期の兆候である可能性がある。境界防御のアラートと同様に、こうした不審な振る舞いも詳細に調査する必要がある。
クラウドバックアップベンダーEonは、2025年6月に公開したレポート「State of Cloud Backup Report 2025」において、企業の39%がクラウドのデータを紛失したか、バックアップデータの安全性を確認できていない状態にあると報告した。
個人特定情報(PII)、財務記録、法令で厳格な保護が義務付けられている医療データ(PHI)などは、一般的な業務データよりも高い頻度での検証と厳格な保持管理を必要とする傾向にある。
AIツールが生成したファイルは、チェックサムで完全な保存と復元を証明できても、生成時の前提条件が侵害されていたかどうかまでは判断できない。バーク氏は、「AIツールへの入力が意図せず操作された際に警告を出す仕組みがなければ、問題を抱えたままデータが復元され、悪影響を後まで持ち越す危険がある」と指摘する。
調査会社Gartnerが2025年6月に発行した市場分析レポート「Magic Quadrant for Backup and Data Protection Platforms」では、単なるデータの保存にとどまらず、侵害されたデータを特定する能力など、サイバーレジリエンス機能が重視された。
脅威の検出において重要なのは、データをバックアップストレージに保存する前と後の2つの段階だ。新たなバックアップおよびリカバリーツールの導入を検討する企業は、そのツールが、データを書き込む前の取り込み時に異常をスキャンして警告を出す機能を持つかどうか確認すべきだ。取り込み後については、チェックサムだけでは検出できないランサムウェアやデータ破損の兆候がないかどうかを、機械学習を用いてバックアップデータを監視する機能を重視するとよい。
IDCは、本番環境のワークロードでデータを使用する前に、まず隔離されたシステムにデータを復元してクリーンであることを確認することを推奨する。バックアップおよびリカバリーツールの導入を検討する企業は、インシデント発生時に隔離がどのように実行されるのか、誰がそのワークフローを所有しているのか、そのプロセスがどのようにテストされているのかをベンダーに質問すべきだ。
IDCは、2025年10月に発行したリカバリーベンダーの評価レポート「IDC MarketScape: Worldwide Cyber-Recovery 2025 Vendor Assessment」において、より強固なリカバリー体制を構築するための重要な評価要因として、他のセキュリティツールとの連携を挙げた。システムのログを集約するSIEM(セキュリティ情報イベント管理)や、脅威への対処を自動化するSOAR(セキュリティオーケストレーション、自動化、対処)との連動機能だ。これによって、バックアップ時の異常な動きが単なるIT部門の運用エラーとして片付けられず、専門のセキュリティチームに通知されるようになる。
IDCは、2025年12月に発行したSaaSデータ保護のベンダー評価レポート「IDC MarketScape: Worldwide SaaS Data Protection 2025-2026 Vendor Assessment」において、「企業はカバーするSaaSの種類の多さと高度な保護機能を両立するツールを見つけるのに苦労している」と指摘する。バックアップおよびリカバリーツールを評価する際は、復元しようとしたときではなく、データを取り込む段階で、侵害されたデータや不完全な内容を特定できるかどうかが鍵となる。
優れた検証手順を定着させている企業は、共通の運用習慣を持っている。近年の厳格な外部監査やサイバー保険の加入条件などにおいて、以下の手順が文書化されているかどうかを厳しく問われる傾向が強まっている。
特定の個人またはチームがバックアップの検証に責任を持ち、報告する必要がある。バーク氏によれば、責任の所在が曖昧な組織では、復旧テストを「誰かの手が空いた時に年1回だけ実施する作業」として後回しにしがちだ。
昨今のサイバー保険会社は、加入や支払いの条件としてバックアップ構造の提示を求め、現実的な条件下でデータを復旧できる証拠を要求する。「特に保険会社は実際の復旧テストの記録を求めてくる。管理者であってもデータを変更、削除できない『不変ストレージ』の有無も厳しく見られる」とバーク氏は説明する。
リード氏は、本番環境と同様のシステム構成で復旧訓練を実施し、そのテストからRTO(目標復旧時間)とRPO(目標復旧時点)といった指標を記録している。「机上の予測がテストのパフォーマンスと一致することはめったにない」と同氏は述べる。
バーク氏の経験では、優れた成果を上げている企業は、一般的な業務データよりも、PII、財務記録、保護対象保健情報などの機密データに対して、より高頻度で整合性チェックを実行している。外部監査においても、これらのデータの重要度に応じた区別ができているかどうかを問われることがある。「監査人はバックアップの成功だけではなく、復元データが要件を満たして使えるかどうかの証明を求めている」とリード氏は語る。
強固な証明体制を築くには、適切な検証手順、導入したツールの機能、日々の運用ルールが緊密に連携していなければならない。システムへの投資だけで満足し、テスト記録などの証拠を直ちに提示できる管理体制を整えていない企業は、最も重要な局面で致命的な弱点を露呈することになる。
「高価なツールを入れていても、要求された際に検証済みの証拠をすぐに出せる運用ルールがない企業ほど、インシデント発生時の事後処理に苦慮することになる」(バーク氏)
Copyright © ITmedia, Inc. All Rights Reserved.
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
