サイバー攻撃によるデータの論理破壊に備える ~ミラーリングや瞬時コピーならではの課題と対処

 

データの論理破壊の脅威

 

 今やITインフラは、企業のビジネスを支える中心的な存在と言えるだろう。ひとたびITインフラが停止すれば、ビジネスに大きな影響を与えるだけでなく、企業自身の信頼も失墜しかねない。このようなリスクを避けるために、企業は事業継続計画(BCP)を策定し、ITインフラの停止を最小限にとどめるべく努力している。

 BCPを考えるにあたり、これまでは地震や台風などの自然災害によるシステムの物理的な破壊を想定して計画が立案され、実行されてきた。ところが自然災害による物理破壊だけでなく、最近はハッキングやウイルスなどサイバー攻撃によるセキュリティ・インシデントも、ITインフラの継続利用を阻む要因と化している。

 近年のように発達したネットワーク社会では、すべてのビジネスがネットワーク上で展開されると言っても過言ではない。今や企業のITインフラを、ネットワークから遮断しておくことは不可能である。したがって、どの企業もサイバー攻撃の脅威を避けては通れない。

 サイバー攻撃というと、ハッカーによる情報漏えいというイメージが思い浮かぶ。ところが最近は、ランサムウェアが猛威を振るっている。その代表例が2017年に大きな被害を出した「WannaCry」。ニュースで大々的に報道されたので、知っている人も多いだろう。

 ランサムウェアはシステムに侵入して重要なデータを勝手に暗号化し、復号キーを知りたければ身代金を出せと要求するコンピュータ・ウイルスの一種だ。たとえ一部でも、重要なデータが勝手に暗号化されれば、結果的にはデータが論理的に破壊された状態となる。これでは企業のITインフラは正常に稼働できない。

 それならバックアップからデータを復旧すればよいと安易に考えがちだが、ランサムウェアによってデータが勝手に暗号化され、論理破壊された状態から復旧するには、実は数々の大きな困難を伴う。

 サイバー攻撃によるデータの論理破壊からITインフラを守るには、今までの自然災害による物理破壊を想定したBCPでは対応できない。そこで今回は、データの論理破壊からデータを保護する対策について解説する。

 

論理破壊から
データを保護する必要性

 

 一般的なサイバー攻撃へのセキュリティ対策は、システムに存在するセキュリティの穴を埋め、ネットワークの監視や侵入を検知する体制を整え、実施することである。 

 しかし、それだけでは完全に防御できない。攻撃する側も、あの手この手でこちらを出し抜こうとするからだ。したがってBCPとしては、データの論理破壊を伴うランサムウェアのようなサイバー攻撃による被害を前提に対策を講じる必要がある。

 もちろんデータの論理破壊は、サイバー攻撃だけが原因とは限らない。日々の運用でもオペレータの誤操作、アプリケーションのロジックエラー、単純な不注意によるミスなどでデータが破壊される可能性はある。また内部犯行により、悪意あるデータ破壊が行われる可能性も軽視できない。

 ここでは自然災害などによる物理的な障害を想定したBCPが、ランサムウェアのようなデータの論理破壊に直面した場合の課題を考えてみよう。

 データ保護手法は一般に、本番サイト内でのミラーリングや、本番サイトからDR(災害復旧)サイトへのリモート・ミラーリングが考えられる。つまり1つのデータに対する書き込み要求を、ストレージ装置などの機能により2重化または3重化することでデータを冗長化して保護する。

 この方式を採用すればハードウェア障害でデータが失われても、ミラーリングでコピーされたデータがあるのでシステムを復旧できる。

 しかし、これは自然災害などによる物理的な障害への対応を中心に考えられた方式である。残念ながら、論理破壊からはデータを保護できない。なぜなら、いくら2重・3重のミラーリングを実施していたとしても、ランサムウェアによる勝手なデータ暗号化、操作ミスによる誤ったデータ削除、アプリケーションのロジックエラーなどといった論理的なデータ破壊に対しては意味をなさないからだ。

 当たり前のことだが、ミラーリングにより多重化されたデータは、単一の操作がすべて同時に波及するため、すべてが1度に削除されたり変更されたりする。これは正常な操作なので、元には戻せない。このように物理破壊を想定したデータ保護の方式では、データの論理破壊からデータを完全には保護できない(図表1)。

 

 

 データの論理破壊からデータを保護するには、物理的な破壊を前提としたデータ保護だけでなく、別立ての対策を実行する必要がある。

 

論理破壊からのデータ保護
その課題点

 

 論理破壊からデータを保護するために、ミラーリングによる最新データの保護とは別に、何を準備すればよいのだろうか。必要なのは、ある時点を切り取った形でデータやシステムを保管することである。最も簡単なのは、バックアップ・コピーを取得することだ。当たり前かもしれないが、これにより最新データがすべて論理破壊されたとしても、その前のある時点のデータやシステムイメージのバックアップ・コピーが別立てで保護されていることになる。これらを使えば、データは回復できる。

 現在、ある時点のデータ保管イメージを切り取る方法として、一般に以下の2つが利用されている。

①瞬時コピー機能の利用

 スナップショットなどの瞬時コピー機能の特徴は、コマンド起動により、瞬時にディスク・ボリュームのバックアップ・コピーが取得できる点である。

②バックアップ・ソフトウェアの利用

 バックアップの特徴は、複数世代のバックアップ・コピーを保持できる点である。単なるコピーを保存する場合、次のバックアップ取得によって、古いバックアップ・コピーが上書きされることがある。しかしバックアップ・ソフトウェアを利用すれば、これを自動的に管理する。

 ただし、これで安心と思ってはならない。これまで想定してきた自然災害などによる物理破壊とは異なり、データの論理破壊は即座に発覚するとは限らない。たとえばアプリケーションのロジックエラーは、エラーでアプリケーションの処理が停止するわけではない。そのため、データが論理的に破壊されていることに気づきにくい。

 このようにデータの論理破壊に気づくまで時間がかかった場合、直近のバックアップ・コピーではすでにデータが破壊されている可能性がある。こうした場合を想定して、ある一定の期間にわたり複数世代のバックアップ・コピーを保管することで、ある程度は回避できる。

 ところがランサムウェアとなると、この程度の対策では済まされない。ランサムウェアのとくに厄介な特徴として、ネットワークから侵入すると1つのシステムを乗っ取り、次々に感染し、システム領域やデータ領域をランダムに暗号化し、論理破壊を実行していく。OSやアプリケーションからアクセス可能な領域にバックアップ・コピーを保管していた場合、本番データと同時に論理破壊される可能性がある。

 つまり、バックアップの保管に瞬時コピー機能やバックアップ・ソフトウェアを使用していた場合も、やはりデータはディスク上に保管されるので、ランサムウェアからアクセス可能になる。そのため、本番データと同時にバックアップ・データも破壊されることになる(図表2)。

 

 

 このように、ある時点のデータや、システム自体のバックアップ・コピーを別立てで保管していても、システムからアクセス可能なディスク領域にデータを置く限り、ランサムウェアによる論理破壊からはデータを保護できないのは明らかである。

 論理破壊からデータを保護するには、ある時点で切り出したバックアップ・コピーをシステムから完全に隔離した、ディスクとしてアクセスできない安全な領域に保管することが必須となる。

 

あらゆる脅威からデータを守り抜く
IBM DS8880

 

 ここまで、ランサムウェアなどのサイバー攻撃や人為的なデータの論理破壊からデータを保護する必要性や注意点について解説してきた。以下では、データの論理破壊への対策として、IBMのハイエンド・ディスク装置であるDS8880の新機能を紹介する。

 今回、DS8880の新しい機能として、論理破壊からのデータ保護を目的としたセーフガード・コピーが提供された。セーフガード・コピーは新しい方式の瞬時コピー機能である。最大の特徴は、取得した瞬時コピーをストレージ装置のみが管理する領域に保管することだ。

 これにより、システムからは完全に隔離されたストレージ装置内の安全な領域に、瞬時コピーをバックアップ・コピーとして保管できる。

 この機能を使うことで、システムから直接アクセスできないストレージ装置内の隔離された領域に、破壊される前のデータやシステム自体のバックアップ・コピーを保管する。たとえランサムウェアに乗っ取られたシステムから、暗号化の魔の手が伸びてきたとしても、ディスクとしてアクセスできない場所にデータが保管されていれば、論理破壊されることなく安全にデータを保護できる(図表3)。

 

 

 セーフガード・コピーで保護されたバックアップ・コピーによる復旧では、DS 8880のハードウェア管理コンソール(HMC)上のコピー・サービス・マネージャー(CSM)から復旧操作を実施する。

 このCSMはHMC上だけでなく、別立てのサーバーにソフトウェアとして導入し、複数のDS8880を統合管理することも可能である。その場合、CSMはバックアップ・ソフトウェアとは異なり、ストレージ装置のみと接続し、ほかのシステムと接続する必要はない。したがって、サイバー攻撃によりウイルスが侵入してくるネットワークから完全に遮断できる。

 またCSMではデュアル・コントロールという機能により、この隔離された領域に対するコマンドの実行は、アクセス権限をもった2名の管理者の承認がなければできない仕組みになっている。これは戦略核ミサイルの発射ボタンが2つあるのと同じである。一般に人数が増えるほど犯罪が事前に露呈する確率は高まるので、内部犯行など単独犯で実行される可能性の高い事件を未然に防げる。

 このようにDS8880のセーフガード・コピーを採用することで、これまでに解説してきた論理破壊からのデータ保護が実現できる。

 ITインフラは、企業のビジネスでますます存在感を増している。最近ではAIやIoTの利用などもあり、とくにデータの重要性が高まっている。そんななか、ランサムウェアに代表されるサイバー攻撃や、内部犯行による悪意あるデータ破壊といったデータの論理破壊の脅威は増加傾向にある。論理破壊に対するデータ保護を検討する際に、本稿が少しでも参考になれば幸いである。

 


著者

高井 泰生 氏

日本アイ・ビー・エム株式会社
システムズ・ハードウェア事業本部
ストレージ・テクニカル・セールス
コンサルティング・テクニカル・スペシャリスト

1990年、日本IBMに入社。以来、メインフレーム向けストレージ製品の製品サポートを担当。とくにテープ・ライブラリーに関する米IBM発行の技術ガイド「Redbook」の執筆に携わるなど、テープ製品のスペシャリストとして活動。2007年より、テクニカル・セールスとしてストレージ製品全般の製品サポートおよびプリセールス活動を支援している。

[IS magazine No.24(2019年7月)掲載]

More Posts