近年のランサムウェアの脅威
ランサムウェアは、ファイルを暗号化し、復元と引き換えに金銭を要求するマルウェアの一種です。IPAが公開している情報セキュリティ10大脅威によると、ランサムウェアによる被害は4年連続で1位となっており、警察庁の調査でも被害は高い水準で推移しています。
ランサムウェアによる被害事例としては、KADOKAWAへのサイバー攻撃があります。連日ニュースで取り上げられていたので皆様も覚えていらっしゃるかと思いますが、2024年6月にKADOKAWAがサイバー攻撃を受け、ニコニコ動画を含む複数のウェブサイトが停止し、36億円の特別損失を計上しました。不正アクセス以前より冗長構成やバックアップなどのセキュリティ対策を行っていたにも関わらず、このような大規模な被害が発生しました。
警察庁の調査によると、ウイルス対策ソフトやバックアップを導入している企業でもデータを完全に復元できない事例が多数報告されています。バックアップから復元が成功したのは56件中わずか14件です。これはバックアップ自体が暗号化されてしまうことが原因で、復元に失敗するケースが多いからです。
万が一ランサムウェアに侵入されても重要データを保護し、バックアップから確実に復旧できる体制を構築することが重要と言えます。
サイバーレジリエンスとしてのバックアップ
多くの企業がバックアップを取っているにもかかわらず、データを復旧できないのは、導入している従来のバックアップシステムが災害対策やシステム障害への対応を主としており、ランサムウェア攻撃に対する対策が十分ではないからです。具体的な課題として、バックアップデータの保護が不十分、被害範囲の特定が困難、バックアップからの再感染リスクが挙げられます。
・バックアップデータの保護が不十分
ランサムウェアはバックアップデータ自体を暗号化することがあり、攻撃者は復旧手段を破壊するために優先的にバックアップを狙いに来ます。
・被害範囲の特定が困難
ランサムウェアの感染が段階的に広がっていくため、どのデータがいつ感染したのかを特定するのに時間がかかり、復旧作業を開始できなくなります。
・バックアップからの再感染リスク
バックアップデータにランサムウェアが混入している可能性があり、リストア後に再度感染するリスクがあります。
昨今ではランサムウェア対策として「サイバーレジリエンス」という考え方の重要性が高まっています。サイバーレジリエンスとは、サイバー攻撃に遭うことを前提として、その被害を最小限にとどめ、早期に事業を復旧させるという概念です。あらゆるセキュリティ対策を実施した上で、万が一ランサムウェアが防御を突破しシステムが感染してしまったとしても、確実にシステムを復旧できるようにする「ポストインシデント対策」の強化が重要です。そこでランサムウェア攻撃からの復旧を支える「サイバーレジリエンスとしてのバックアップ」に着目しています。
サイバーレジリエンスとしてのバックアップと従来のバックアップとの異なる点を3つご紹介します。
1つ目はバックアップシステム、データの堅牢性です。エアギャップ技術、最小権限管理、アクセス制御、イミュータブル機能などにより、バックアップシステムやデータ自体を保護します。特にイミュータブル機能は、データを一度書き込むとその後変更できなくすることで、データを保護します。
2つ目はリストアまでに必要な調査の迅速化です。段階的に感染を広げるランサムウェアに対してその影響範囲、感染タイミング、復旧ポイントを迅速に特定することで復旧作業の開始がスムーズになります。
3つ目はバックアップに潜む脅威の可視化です。バックアップデータからランサムウェアの痕跡を検出しデータ内の脅威を可視化することで、安全なバックアップデータによる復旧が可能です。
サイバーレジリエンスとしてのバックアップは、金融分野におけるサイバーセキュリティに関するガイドラインでも触れられています。2024年10月の改定により、バックアップデータの保護や復旧について記載しています。今後もサイバーレジリエンスとしてのバックアップはますます重要になっていきます。
Rubrikを活用したサイバーレジリエンス
NTTデータのサイバーリカバリーサービスは、ランサムウェア攻撃からデータを確実に保護するためのソリューションを提供します。私たちのゴールは、お客様が万が一ランサムウェア攻撃を受けても早急に復旧し、事業を再開できる状態を確保することです。そのため適切なデータ取得、保管ポリシーの設計や、サイバーリカバリーソリューションの導入支援を行います。
NTTデータは20年以上にわたるインシデント対応経験を有しており、世界最大規模のゼロトラスト環境の構築・運用実績をもとに、グローバル企業など多くの企業ニーズに対応してきました。データセキュリティ領域のグローバル先進企業であるRubrik社との強固なパートナーシップ、そして独自のノウハウによるお客様環境に応じたバックアップポリシー設定可能という強みを活かして、上流から下流まで一気通貫でサービスを提供します。
本サービスにおける重要なパートナーであるRubrik社はデータセキュリティにおける先進企業であり、企業のデータを安全に保護し迅速な復旧を支援する最先端技術を提供しています。NTTデータとRubrik社は2017年より戦略的パートナーとして協業を開始しています。
NTTデータのRubrikの導入実績としては、グローバルに展開する大手ホテル業で1000テラバイトという大量のデータを効率的かつ安全に保護することを実現した実績があります。このほかにNTTデータ社内システムでも導入実績があり、自社でも実証済みのソリューションなので自信を持ってサービス提供しています。
Rubrikは、オンプレミス、クラウド、SaaS、NASなどの非構造化データといったあらゆるデータを保護し、サイバー攻撃からの確実な復旧を実現するためのソリューションです。オンプレミス環境のバックアップを取得するアプライアンス装置、そしてクラウドや各種アプリケーションと連携するためのSaaSであるRubrik Security Cloudに分かれています。
サイバーレジリエンスとしてのバックアップを実現するためにRubrikはデータレジリエンス、データオブザーバビリティ、データリカバリの機能を備えています。
データレジリエンスは確実なデータ保護を実現します。機能は3つあります。1つ目ののっとり防止は、多要素認証による不正アクセスの防止や管理者ユーザーが勝手にバックアップの設定を変更、無効化 or 変更および無効化できないようにロックする機能があります。2つ目の論理エアギャップは、バックアップ取得時のみRubrikのバックアップシステムから通信を開始し普段は外部からアクセスできないようにしています。3つ目はイミュータビリティです。改ざん不可のファイルシステムを利用することでランサムウェアによるバックアップデータの改ざんを防止します。
データオブザーバビリティは、ランサムウェア被害が発生した際に感染したシステムや影響範囲を特定し被害状況を迅速に調査できるバックアップデータの分析機能です。ふるまい検知は、機械学習により一度に大量のデータが追加、削除されているなどの不審なバックアップデータを特定し、被害にあった仮想マシンやファイルを特定します。脅威ハンティングはランサムウェアの痕跡情報を用いてバックアップデータ内にランサムウェアが存在しているかを分析し、復旧に使用可能な安全なバックアップデータを特定します。
データリカバリは、オンプレ、クラウドなどさまざまな環境にデータが点在するなかで柔軟にデータを復旧するための機能です。同じ環境にリストアしたい、別の環境にリストアして検証したいなどさまざまなシナリオにお応えするために、インスタントリカバリやインプレースリカバリなどの復旧方法を提供します。
まとめ
最後になりますが、ランサムウェアは企業にとって今後も避けて通れない脅威であり、その対策には「感染を前提とした復旧力」が欠かせません。
NTTデータはRubrikとの連携を通じて、お客様の大切なデータを守るためのランサムウェア対策サービスの提供を強化し、より多くの企業が安心して事業を継続できるよう支援していきます。 
