連載 今さら聞けない ひとり情シス 知っ得コラム 連載 今さら聞けない ひとり情シス 知っ得コラム 連載 今さら聞けない ひとり情シス 知っ得コラム

なぜ、ランサムウェア対策にバックアップが有効なのか?

セキュリティ バックアップ

2016年以降、個人だけでなく法人においても被害の拡大が確認されているランサムウェアの感染報告は、2017年に入っても留まることを知りません。この脅威に対して、企業としてはどのような対策が必要なのでしょうか?
(参考:トレンドマイクロ「加速するランサムウェアの脅威、2016年第3四半期の脅威動向を分析」)
本コラムでは、セキュリティ脅威であるランサムウェアに、バックアップがどのように有効か、次の流れに沿って解説して行きます。




ランサムウェアとは?

ランサムウェアは、Webサイトやメールなどから、ユーザが意図せずともウイルス入りのソフトをダウンロードしてしまい、結果として特定のファイルが破損や暗号化されてしまったり、PCそのものがロックされてしまったりし、その解除の為として金銭の支払いを要求される身代金要求型不正プログラムです。
ランサムウェア対策として真っ先に考えられるのが、インターネットの出入口でのセキュリティ強化による「感染しない為の対策」です。しかし、他のウイルス対策がそうであるように、ランサムウェアにおいても常に亜種や新種が開発され、新たな脅威として攻撃を仕掛けて来る為、出入口対策だけで確実にブロックするのは困難です。
そこで、「感染してしまった場合に備えた対策」として、バックアップが改めて注目されています。



感染してしまった場合に備えたバックアップの運用方法

それでは、ランサムウェアに感染してしまった場合の対策として、バックアップがどのように効果を発揮するのでしょうか?

(1) バックアップの多世代保管

特定のファイルが暗号化されてしまった場合を考えてみましょう。普通にファイルを開こうとしても、ツールを使って複合化を試みても、ファイルを開くことができません。そこで、社内のセキュリティ調査をした結果、3日前に不審な通信があり、この時点で何かしらウイルスの類に感染したことが確認されました。
ここでバックアップの登場です。
3日前に感染したのですから、4日前の状態に戻してあげることができれば、正常なデータとして利用できるはずです。このように、過去時点のデータにいつでもさかのぼることができる環境を提供するのがバックアップです。
但し、ランサムウェアの中には潜伏期間を持ったものも存在します。数日レベルではなく、数週間/数ヶ月前までさかのぼることのできるバックアップデータを保持しておくことをお勧めします。

【図1:バックアップの多世代保管】

(2) バックアップ環境の感染対策

せっかくバックアップを多世代保持していても、バックアップシステム自体がランサムウェアに感染してしまっては元も子もありません。
そこで重要になるのは、バックアップは社内のユーザが誰でもアクセスできる共有フォルダやネットワークストレージに保管するのではなく、管理者しかアクセスできない環境にするべきということです。その為には、バックアップ専用のサーバを構築し、一般ユーザには開放せず、管理者のみがアクセスできる状態にするのが有効です。これにより、一般ユーザのPCがランサムウェアに感染してしまったとしても、そこからバックアップシステムへの感染拡大を防ぐことができます。

【図2:バックアップ環境の感染対策】

(3)バックアップデータのオフライン保管

更に万全を期す対策としてお勧めするのが、バックアップデータを最終的にテープ媒体やクラウドストレージなどにオフライン/オフサイト保管することです。バックアップデータを常に通信できる状態にない環境に保存しておくことで、ランサムウェアに感染したPCから社内ネットワークにブロードキャストされたとしても、バックアップデータだけは感染せずに保全されます。

【図3:バックアップデータのオフライン保管】

このような3つのポイントを考慮することにより、ランサムウェアに感染してしまったとしても、直ぐに健全な状態に戻すことができるバックアップ環境を整備できます。



二次感染を許さない為のリストア/リカバリの手順

ランサムウェア感染からの復旧に強いバックアップ環境を整備・運用したとしても、復旧手順にも気をつけなければ、感染した状態に逆戻りといった結果にもなり兼ねません。そうならない為には、感染していない時点を確実に特定し、それ以前の状態に戻すことが必須です。復旧前にバックアップ世代毎のデータの健全性をチェックできるような機能があれば安心です。

【図4:バックアップデータの健全性チェック】

更に、復旧作業を行う端末が予期せずランサムウェアに感染していないかを、あらかじめ確認しておく必要もあります。感染している端末から復旧作業をしてしまうと、復旧後のシステムを改めて感染させてしまう恐れがあるからです。

ここまで、バックアップやリストアの観点からランサムウェア対策を考えてきましたが、最後に、ひとつのファイルで感染が確認された場合、その他のファイルも感染してしまっていると考えて頂いたほうが良いでしょう。従って、感染後の復旧に際しては、ファイル単位でリストアするのではなく、システム全体として復旧することを是非ご検討ください。

この記事のライター
本柳克敏(もとやなぎ かつとし)

arcserve Japan合同会社ストラテジック営業統括部 パートナーアカウントマネージャ
SIerにてバックアップやストレージの分野で約15年間、営業およびマーケティングとして勤めた後に現職に就く。データプロテクション専業メーカーの営業として活動する傍ら、業界団体の活動にも携わる。

ライター

  • 池田 利夫(いけだ としお)
    IT系、教育系書籍を扱う出版社の代表。
  • 井上 健語(いのうえ けんご)
    コンピュータ系、ビジネス系の記事を主に扱うライター。
  • 宮下 由多加(みやした ゆたか)
    鋭い観察眼と分かりやすい切り口で複雑な内容を紐解くIT系ライター。
  • 成澤 紀美(なりさわ きみ)
    社会保険労務士。人事労務のホームドクターとして活躍中。
  • 池田 秀司(いけだ しゅうじ)
    情報セキュリティに特化した専門サービスを提供し、日々奮闘中。
  • 羽田 一彰(はだ かずあき)
    中小企業に対するマネジメントシステム構築・運用支援が得意。
  • 吉澤 亨史(よしざわこうじ)
    セキュリティ、IoT、ネットワーク関連の執筆を得意とするライター。
  • 柳井 完司(やない かんじ)
    CAD、CGを中心とするIT系記事全般を取材、執筆するライター。
  • 佐賀井 大樹(さがい だいき)
    IT分野の実績が多いコピーライター/コンテンツディレクター。
  • 落合 純平(おちあい じゅんぺい)
    IT製品の紹介ページやコラムなど、様々なWebコンテンツを制作。
  • 本柳 克敏(もとやなぎ かつとし)
    SIer、マーケティング、営業だけでなく業界団体の活動にも携わる。

Facebook