検索
特集/連載

もしもランサムウェアに感染したら――正しく復旧するポイントは?巧妙化する攻撃にバックアップで対抗【後編】

事業継続計画(BCP)において、近年急速に重要性を増したのがランサムウェア対策だ。データが暗号化されてしまうランサムウェア攻撃に対し、企業はどのような観点で復旧の対策を取ればいいのか。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 予期しないシステム障害や自然災害といった非常事態の発生に備える手段というのが、BCP(事業継続計画)のイメージとして強かった。近年はランサムウェア(身代金要求型マルウェア)被害が「非常事態の代名詞になった」と言っても過言ではないほど、BCPにおけるランサムウェア対策の存在感が増した。ランサムウェア攻撃によってシステムが使えなくなり、事業停止の期間が長引けば、それだけ損害額は膨らむ。攻撃の防御や検知だけではなく、迅速に復旧するための対策も重要だ。復旧ではどのような点を考慮すべきなのか。

ランサムウェアに感染――どうすれば迅速に復旧できる?

 バックアップツール「Veeam Backup & Replication」を中心としたデータ保護ツールを提供するVeeam Softwareは、企業は復旧において課題を抱えがちだとみる。仮にバックアップを取得していたとしても、「復旧に時間がかかる」「バックアップを使っても正常に復旧できない」といった問題が起こりがちだという。日本法人ヴィーム・ソフトウェアでユーザー企業の技術支援を担当する熊澤崇全氏(シニア・システムズ・エンジニア)は、その課題は特に国内において目立つと指摘する。

 復旧を進めるに当たり、熊澤氏が重要だと指摘する視点は「古いリカバリーポイント(復旧時点)」だ。ハードウェア故障などの障害時の復旧においては、最も新しいリカバリーポイントで復旧することが基本になる。ただしランサムウェア攻撃の場合は、感染が判明する以前から、攻撃者がネットワークに侵入して攻撃を始めていた可能性があるため、「どの時点に戻せばいいのか」をまず検討する必要がある。

 リカバリーポイントを判断する際は、セキュリティベンダーに調査を依頼したり、バックアップツールの監視機能を使ったりして、ランサムウェアに侵されていない時点を見極める。例えばバックアップファイルに急激な容量の増減が発生している時点や、「Veeam ONE」といった監視・分析ツールがアラートで異常を指摘する点が判断材料になるという。その上で、異常が発生していない時点のバックアップを使い、復旧させることが安全だと熊澤氏は推奨する。

 その他、前編「『3-2-1』の基本はもう古い? ランサムウェア対策に足りないバックアップは?」で紹介した通り、バックアップをランサムウェアに感染させないための対策や、復旧のテストや自動化など復旧時間短縮のための対策を講じておくことも重要だと、Veeam Softwareは説明する。

コンテナを含めた復旧の重要性も高まる

 データ保護ツールベンダーVeritas Technologiesは、ランサムウェア被害からの復旧を考える上では、企業のITインフラ構成の複雑化が進んでいることが注意点だと指摘する。特に昨今、企業の間ではオンプレミスインフラとクラウドサービスを併用するだけではなく、コンテナを利用する動きも広がりつつある。同社の調べ(注)によれば、コンテナ導入済みの国内組織のうち、約23%が「コンテナに対するランサムウェア攻撃を経験したことがある」と回答した。同じ調査では、約60%の国内組織が「今後2〜3年のうちにコンテナオーケストレーションツール『Kubernetes』を導入する」と回答。バックアップのランサムウェア対策においても、コンテナを考慮する重要性が高まってくる。

※注 2022年2月7日〜20日にかけて、北米・南米(米国およびブラジル)、アジア太平洋(日本、豪州、中国、シンガポール、韓国)、欧州・中東(フランス、ドイツ、アラブ首長国連邦、英国)の3地域、11カ国で、従業員数1000人以上の組織のIT意思決定者1100人を対象にアンケート調査を実施。

 Veritas Technologiesはコンテナに対するランサムウェア攻撃が広がるとの見方を踏まえて、

  • コンテナを含めてシステムにバックアップと復旧の仕組みを広範に適用すること
  • さまざまなシステムのバックアップと復旧を一元的に実施できる仕組みを導入すること

が、ランサムウェア被害からの迅速な復旧を目指す上での鍵の一つになるとみる。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る