企業規模を問わずランサムウェア攻撃の被害が増加しており、バックアップデータを守ることの重要性が高まっている。6月9日に開催されたWebセミナー「TECH+ セキュリティ - 専門家とベンダーの対話 第12回 運用現場の選択肢」にて、Arcserve Japan ソリューション統括部 マネージャ 中田皓介氏は、ランサムウェア対策を踏まえたバックアップを安全に行うためのポイントについて解説。その効果的な手段となる同社のイミュータブルストレージを紹介した。

  • (写真)Arcserve Japan ソリューション統括部 マネージャ 中田皓介氏

    Arcserve Japan ソリューション統括部 マネージャ 中田皓介氏

バックアップを複数世代保持する

ランサムウェア攻撃の対策として、「セキュリティが予防なら、バックアップは治療薬と考えている」と中田氏。「攻撃者にデータが破壊されたり奪われたりしたとしても、バックアップが健全であればそこからリカバリして業務を再開できる」とバックアップの重要性を強調する。ただしランサムウェア対策の場合、ポイントを抑えたアプローチが必要となるため注意が必要だ。

まずポイントとなるのが「バックアップを複数世代保持」すること。毎日バックアップを取っていても1世代しか保持していない場合、ランサムウェアによって暗号化されたデータでバックアップが上書きされてしまう恐れがある。月次、週次、日次で複数世代を保持することで、感染前の世代が残存する可能性は高くなる。

理想をいえばバックアップはたくさん取れば取るほどよいが、その分バックアップ先のストレージ容量がかさんでしまうという問題が生じる。一方、イメージバックアップソフトウェア「Arcserve UDP」では、フルバックアップが必要となるのは初回のみ。増分バックアップを継続的に行い、フルバックアップの取り直しが原則不要となる。また、指定した保存数を超えると最も古い増分データが自動的にマージされていくため、少ないディスク使用量で多くの世代を保持できるだけでなく、フルバックアップと比べバックアップの時間も短縮することができる。

  • (図)Arcserve UDP 継続的な増分バックアップの仕組み

バックアップ環境の保全と、データのオフライン保管/二重化

最近では侵入型のランサムウェア攻撃も増えてきており、実際にバックアップデータまでもが削除されてしまったケースもあるという。そのため、「バックアップ環境の保全」「データのオフライン保管/二重化」も対策の重要なポイントとなる。

バックアップ環境の保全に向けた具体的な方法はさまざまだが、中田氏によると、たとえばNASにバックアップする場合、購入後すぐに共有フォルダのアクセス権を設定して、無用なアクセスを抑制すべきであるという。デフォルトの管理者パスワードを使っているケースも見られるが、パスワード変更は必須だ。バックアップ専用LANを利用するのも対策の1つになりえる。総当たり攻撃の対策機能やセキュリティパッチの情報などについても確認しておくべきだろう。「当たり前のセキュリティ対策をしっかりやっていただくのが一番のポイント」(中田氏)

データのオフライン保管/二重化に関しては、テープデバイスを利用してストレージから切り離しオフラインに保管しておく従来の方法は現在でも有効な対策である。テープデバイスの利用が難しい場合は、簡易的な外付けハードディスクにバックアップし、バックアップの都度ネットワークから切り離すという方法も考えられる。

近年では、オンプレミスのバックアップデータをクラウドへ複製しておく方法もある。オブジェクトロック機能を持つクラウドストレージであれば、仮にアカウントを盗まれてもデータを完全に削除しないよう設定することができる。ここにバックアップデータを保管できれば、バックアップを破壊されリストアできないという事態を防げる。

第三の対策・イミュータブルストレージ

一方で、テープデバイスは交換の手間が掛かるほか、技術者が少なく対応が難しい場合も多い。クラウドについては、社内のセキュリティポリシーの関係で利用できない、ネットワークの負担がかかるといった問題もある。

そこで中田氏が第三の選択肢として検討してほしいとするのが、イミュータブルストレージ「Arcserve OneXafe(以下、OneXafe)」だ。Arcserve UDPおよびArcserve Backupのバックアップデータの保存先として利用できるようになっている。OneXafeは一見するとSMB/NFS共有を提供するNASだが、バックグラウンドで定期的に不変なスナップショットを取得するため、ランサムウェアによってバックアップデータが破壊されてしまった場合にもスナップショットを使って元の状態に復旧できる。

  • (図)バックアップ データが破壊される前の状態に簡単に復旧

物理的にストレージが冗長化されているのも特長だ。OneXafeでは、1つのデータブロックをOneXafe上に書き込む場合、必ず3つの異なるディスクへ自動的に書き込まれる「3コピー」という仕組みを採用している。仮にOneXafe上のハードディスクが2つ同時に壊れても、データが消失してしまうことはない。

また、OneXafeは重複排除・圧縮という機能を持っているため、増分バックアップ機能とあわせるとより効率的にストレージを利用できる。

OneXafeを利用するにあたっては、OneSystemと呼ばれるコンソールへの登録が必要になる。これにより、OneXafe上への共有フォルダの作成、アカウント管理、使用容量の確認などが行えるようになる。OneSystemは、クラウドで利用できるほか、プライベートOneSystemをオンプレの仮想環境上にデプロイすることも可能。運用ポリシーに応じて柔軟に使い分けることができる。

二次バックアップ先としてのArcserve OneXafe

中田氏は、とある企業がランサムウェア対策として二次バックアップ先を複数案検討した事例について紹介した。

1つめの案は、クラウドストレージにコピーする方法。しかし、インターネット回線に対してバックアップデータが大きすぎたため不採用となった。2つめは、テープへ二次バックアップする案。こちらは、離れた拠点にバックアップがあり、定期的にトラブルなく交換できる人材がいないため不採用となった。3つめの案であったOneXafeを利用する方法では、LAN内に設置できるため大容量もOKで、自動でスナップショットを取るため、離れた拠点でも定期的な作業をすることなく運用できるという理由から採用に至った。

  • (図)ランサムウェア対策のための二次バックアップ先比較

Arcserveとしてはテクニカルサポートにも力を入れており、日本語での問い合わせ対応や情報提供も充実している。たとえばポータルサイトの「カタログセンター」には、Arcserve UDPとOneXafeを連携して使う方法など多くの資料がまとめられている。Arcserveのソリューションを利用したことがない人にとって役立つ情報も多いので、ぜひご覧いただきたい。

関連リンク

[PR]提供:Arcserve Japan