バックアップのあるべき姿~ランサムウェア対策から考えるデータ保護、再検討の必要性

データ保護は継続的な見直しが必要

 
 メインフレーム一極集中から分散コンピューティング、そして現在のパブリック含むクラウド・コンピューティングの活用へと、ITインフラの形態は大きく変わってきている。しかし、インフラの形態は変わっても、企業にとってデータが大事な資産であることに変わりはない。
 
 それゆえ、たとえデータ保護の方法が確立されていたとしても、データに影響を与えるような新しい事象や、大きな環境の変化があった場合は、現在のデータ保護の方法を見直す必要がある。逆を言えば、この見直しが適切に行われていないために、業務継続が脅かされたり自らのデータを自由に扱えない、あるいは新しい取り組みの足かせになることもあり得る。
 
 そこで今回は、十分な検討のうえで確立した運用であっても、現状に則した見直しをタイムリーに行うべき例として、高度化・巧妙化するランサムウェアへの対応を紹介する。
 
 

データを人質とするランサムウェアの脅威の増大

 
 セキュリティ会社のレポートによると、ランサムウェアに感染したことのある企業は、昨年は10%を越える状況になっていた。その感染の影響も、企業の存続が脅かされるような事態もあるなど、大変な脅威になっている。
 
 ランサムウェアは、感染したコンピュータにロックをかけたりデータを勝手に暗号化するなどして、解除のための身代金(ランサム)を要求するマルウェアの一種だが、潜伏期間が半年や1年を越えるものまで登場している。
 
 そのため、従来十分とされていた運用であっても、最近のランサムウェアの高度化・巧妙化を考えると、十分とは言えないケースが出てきている。
 
 実際に、ランサムウェアへの感染の発見が遅れ、バックアップしたすべてのデータが被害を受けたという事件が複数起きている。
 そのなかでもショッキングだったのは、バックアップを複数世代取得し続けていた運用で有効なデータがすべて失われてしまった、という例である(図表1)。
 
 
 一般的なバックアップの方法は、日次でバックアップを取り、3日分3世代や1週間分7世代といった一定期間の保管を行い、保管世代を超えたデータは上書きする、という運用である。バックアップしたデータの保存期間は、企業やシステムによって幅があるものの、一定期間を過ぎたデータを上書きをする運用は、保管ための容量・スペース・コストを抑えるために、非常によく利用されている。
 
 

ランサムウェア対策としてのデータ保護の再検討

 
 ランサムウェア対策で最も重要なのは、侵入を許さない強固なセキュリティである。これに関する最近の動向として、次世代ファイアウォールや多重ログイン認証などの導入が広く進んでいる。
 
 しかし、1つの側面だけで完璧を目指すのは技術的に難しく、コストも高くなりがちである。何事にも完全はないことから、多方面で対策を講じておくことが肝要だ。
 
 そこで、ファイアウォールの内側に侵入された後の対策としてあらためて見直されているのが、バックアップである。本稿では、データを守り切るのに重要な、バックアップ方法の点検・再検討について解説してみたい。
 
 筆者は、RPOやRTO、世代保管や保存期限といった、通常のバックアップ要件に加えて、ランサムウェア対策として有効なのは、次の4点であると考えている。
 
・長期にデータを保護できる
・感染をできるだけ早く検知できる
・現実的な保管コストである(大量のデータであっても安価)
・保管データを容易に書き替えられない
 
 以下、それぞれのポイントについて紹介しよう。

 

長期にデータを保護できる

 
 長期にデータを保護できると、感染から発見までの期間を越えるバックアップが保持可能である。その期間は、身代金要求までの期間や、解読不能なデータがあることに偶然気づくまでの期間、アンチウイルスソフトによる検知によって気づくまでの期間などが考えられるが、このなかで最長となるのが、身代金を要求されて初めて感染に気づくケースである。
 
 ただし、長期に潜伏するランサムウェアへの対応として、無制限にデータをバックアップし続けることは現実的な解決策とは言い難い。大多数の企業にとって容易に選択できる案ではない。その結果、他の3つの要素を加味して、バックアップ期間や世代などの運用を決めることが必要になる。
 

感染をできるだけ早く検知できる

 
 従来のマルウェア対策では、アンチウイルスソフトを使って侵入を検知するのが一般的だったが、巧妙化するランサムウェアに対抗するには、アンチウイルスソフトだけでは不十分で、多層的な防御と検知精度の向上が求められている。ただし、それさえも未知のランサムウェアには対抗できないことは認識しておく必要がある(図表2)。
 
 
 ここで、未知のランサムウェアであっても、早期の検知に役立つ機能があるので紹介したい。
 
 バックアップ・ソフトウェアの「IBM Spectrum Protect(IS P)」は、毎回のバックアップ状況をモニターして、「バックアップしたファイル数」「バックアップしたデータ量」「重複排除率の大幅な振れ」などをトリガーとして変化を察知し通知する機能を備えている(図表3)。
 
 
 
 たとえば、ランサムウェアの最近の特徴である暗号化を例に、その不正をどのように検知するのかを見てみよう。
 
 まず、全量タイプのバックアップでは、物理ブロック(イメージ)でもファイルでも、ランサムウェアによって暗号化されているとデータ圧縮率が極端に悪くなるため、「バックアップしたデータ量」で変化に気づくことができる。
 
 また、差分タイプのバックアップでは、ランサムウェアにより暗号化されたブロックと非暗号化時のブロックを比較すると、論理的には同じ内容のブロックであっても、物理的なデータの内容が変わってしまうので、重複排除率の違いとして不正を検知できる。これは、VMwareのCBT(Change Block Tracking)などを利用したブロック差分でのバックアップであっても、あるいはファイル差分でのバックアップであっても同様だ。
 
 このような機能は、正確に感染を見つけるというよりも、幅広く不審な点を検出して詳細な調査のきっかけを提供する点でも大きな意味がある。加えて今後、経験を踏まえ運用環境に合わせて、検知のロジックをより賢くすることも可能である。アンチウイルスソフトとは別な角度で対策を講じることの有効性をお伝えしておきたい。
 

現実的な保管コストである

 
 データの保管コストがリーズナブルかどうかは、総容量と容量単価および期間総費用の観点で考える必要がある。
 
 コストという観点では、データの容量だけでなく期間にも従量課金が適用されるパブリッククラウドは、ランサムウェア対策として長期保管を行う場合は、負担が非常に重くなる。また、物理テープという選択肢がパブリッククラウドにはないことも考慮すべきポイントである。このことから、データが大容量で保管が長期になるほど、オンプレミスの物理テープの選択価値が高まる可能性がある。
 

保管データを容易に書き替えられない

 
 マルウェアによる保管データの書き替えを防御するために、「エアギャップ」の考え方に基づく安全な場所にデータを保管する、という方法がある(図表4)。
 
 
 
 エアギャップとは、SANを含むコンピュータ・ネットワークから物理的に接続を断つことである。そして、このエアギャップの特性をもつデータ保管の仕組みを高速のブロック・ストレージ装置で備えているのは、筆者の知る限り、IBMハイエンド・ストレージ「DS8880/DS8880F」および「DS8900F」だけである。そのセーフ・ガード・コピー機能については、昨年発行の本誌No.23とアイマガジン社サイトで紹介されているので、興味のある方はぜひ参照していただきたい。
 
 本稿では、エアギャップ特性をもち、低コストで利用可能な方法として、物理テープ媒体へのデータ退避について触れておきたい。
 
 一般的に、物理テープにバックアップやコピーを行いデータを退避する方法はよく行われているが、しかし単に物理テープにデータを保管するだけでは不十分である。
 
 物理テープであっても、ドライブにマウントされたままであればエアギャップとは言えず、また、ロボットアームを備えたライブラリ装置内に置かれている場合も、システム的に容易にアクセスできるので、もう一段の“保険”をかけることが必要である。
 
 たとえば、特定の世代のデータを別な物理テープ(セット)にコピーしライブラリから出しておけば、正しいエアギャップとなり、安心である。
 
 あるいは、書き換えのできない、WORM(Write Once Read Many)テープを使用する方法もある。すべてのデータをWORMに書き続けるのは、通常は現実的な判断とはなり難い。しかし、特定の世代のコピーだけであれば、比較的安価な保険となり得るだろう。
 
 また、物理テープが受け入れられない場合でも、ディスク装置タイプでWORM機能をもつ、比較的安価なオブジェクト・ストレージなどでも同様の対応が考えられる。
 
 もう1つの注意点として、エアギャップ保管をバックアップ・ソフトウェアで行う場合は、復元に必要なメタデータ(バックアップに関連した情報を記録するDBなど)も退避し保護しておく必要があることを忘れないでいただきたい。
 
 

IBM Spectrum Protectと物理テープ情報

 
 最後に、ハイブリッド・マルチクラウド環境でデータの引越しや相互バックアップなどに有効な、IBM Spectrum Protect(以下、ISP)を紹介しよう。
 
 ISPは、Software Defined Storage(SDS)としてオンプレミスとパブリッククラウドの両方で同一のソフトウェアが動作し、バックアップデータを相互に持ちあえる「ノード・レプリケーション機能」を備えている(図表5)。
 
 
 加えて、それぞれの環境でリストアもできるため、有事の際には別環境でシステムを稼働させることも可能だ。
 
 パブリッククラウド上のバックアップデータをオンプレミス環境にレプリケーションすれば、長期保管用としてテープを利用でき、ランサムウェア対策として効果的なWORMテープも使用できる。またレプリケーションする際、永久増分や圧縮・重複削除により物理データ量を可能な限り削減して送れる。さらに、低速/低帯域や遅延が大きいネットワーク回線を有効に利用できるソフトウェアであるAspera FASPもオプションとして選択できる。
 
 もう1つ、物理テープに関する最近のトピックスを紹介したい。
 
 テープ装置はハードウェアによる圧縮機能を標準的に搭載しており、最新のLTO8では1巻で圧縮30TB(非圧縮12TB)、ハイエンドテープでは1巻で圧縮50TB(非圧縮20TB)もの機能をもっており、さらにこの6倍以上となる、1巻で非圧縮330TB(圧縮では800TB以上)まで保存可能な記録密度技術が、3年前の2017年に既に実証されている。
 
 テープ装置・テープ媒体は、HDDと同じ磁気記録技術を採用しているが、現時点では同じデータ量に対して、HDDよりもはるかに大きな記録エリアを使うため記録密度には大きな余裕があり、HDDで実証されているテクノロジーを活用して、長期にわたり大容量のメディアをリリースしていけるロードマップが見えている。
 
 テープはHDDよりも優れた記録容量単価を維持し続けているが、今後も容量単価の向上は継続されることから、大容量データの保管先として有効な選択肢となり得る。
 
 データが企業の生命線である以上、その保護に関しては十分な設計や運用がある場合でも、定期的な見直しを行う必要がある。当記事が読者の参考になれば幸いである。
 

著者|

佐藤 龍一氏

 
日本アイ・ビー・エム株式会社
ITAストレージ・テクニカル・セールス
 
1990年、日本IBM入社。メインフレーム製品のテストおよび技術支援を担当後、2000年よりストレージ製品の技術サポートを経て、2004年からストレージ製品のプリセールスに従事。全国の多業種のユーザーを経験し、現在はメガバンク・グループの担当として、IBMストレージの支援を継続している。
 
 
 
 
[IS magazine No.27(2020年5月)掲載]