サイト内の現在位置を表示しています。

ランサムウェア対策のバックアップ

多くの被害ケースでバックアップデータも標的に

ランサムウェア被害の多くのケースで、システム内に不正侵入され、業務サーバだけでなくバックアップサーバも攻撃されてしまっています。管理者やユーザのアカウントの乗っ取り、業務データの暗号化、さらには、バックアップデータまで暗号化や消去が行われています。
管理者アカウントが乗っ取られるということは、デバイスの初期化やソフトウェアのアンインストールも容易に行われてしまうということです。

アクセス権の設定などでは、ランサムウェアの被害は防げませんので、バックアップデータは、ランサムウェアに攻撃されない場所に保管する必要があります。

多くの被害ケースで、システム内に不正侵入され、バックアップサーバも攻撃されています
  • 管理者/ユーザーアカウントの乗っ取り
  • 業務データが暗号化される
  • バックアップデータも暗号化/消去される
ランサムウェア被害に遭う企業システムのイメージ
デバイスの初期化やソフトウェアのアンインストール等の攻撃は容易に行われてしまいます。
アクセス権の設定では、ランサムウェアは防げません
「そのため」「結果」を意味する下向きの矢印です
WORM(※)/不変ストレージ、エアギャップ等を導入して、
バックアップデータを保護する対策を検討

  • WORM(Write Once Read Many)は、一度書き込んだデータを消去・変更できない方式のことで、管理者権限を持つユーザであってもデータを消去・変更できないために、ランサムウェア対策として有効な機能として検討されています。詳細は下記にてご確認ください。

攻撃されることを前提とした対策 (※2024年2月19日時点)

社員が利用するPCは、Webページの参照やファイルのダウンロードなど、外部とのアクセス機会が多く、依然として感染リスクが高い状況です。不正広告が掲載された正規Webにアクセスして感染、 業務を装ったメールの添付ファイルやWebからダウンロードしたファイルを開いてしまい感染、 メール文中のURLへアクセスしてしまい感染、など、様々な感染ケースが挙げられています。

更にPCだけでなく業務サーバにも感染するタイプが存在します。標的となったサーバのOSから直接アクセス可能なディスク領域や、外部デバイスに置かれているデータは、暗号化の被害に遭うリスクが高くなっています。バックアップデータに対しても、攻撃が行われることが当たり前となってる状況です。

ランサムウェアの攻撃範囲

ランサムウェアや脅威からデータと企業を守る

保護

検知

復旧

  • ゼロトラストの原則でデータを保護
  • アクセス制御と管理制御、暗号化、MFA、変更不可などのセキュリティ機能で防御

データを保護するイメージ

  • 異常検知、脅威検知、攻撃の影響を分析してダメージを最小限に
  • セキュリティ運用とインシデント対応を連携して、異常や脅威に迅速に対応

異常や脅威を検知するイメージ

  • 脅威をスキャンしたクリーンなデータを、迅速かつ確実に復旧
  • VMやデータベース、NASデータを即時に任意時間・場所に復旧してダウンタイムを削減

正しい状態へ復旧するイメージ

WORMへのバックアップ保管とセキュリティ強化

WORM等の削除/更新されない場所にバックアップを保管し、さらに異常検知/多要素 認証などのセキュリティ対策の検討が必要です。

「削除・更新されない場所にバックアップを保管」し、「セキュリティ強化」を行うことでバックアップのランサムウェアを行うまとめ

バックアップの「3-2-1ルール」構成

バックアップサーバの感染まで想定して対策する場合は、バックアップデータへの攻撃ケースを考慮し、いわゆる「3-2-1ルール」の構成で、「2種類のデバイスへの保存」や「テープ媒体オフライン保管」を推奨しています。
例えば、バックアップ構成に「3-2-1ルール」を検討します。3-2-1ルールは、アメリカの国土安全保障省が公表したガイドラインに記載されている、データ保護の基本ポリシーのことです。保護したいデータを3箇所に保持し、2つの異なる形態のデバイスにバックアップを保存、バックアップの1つはオフサイトに保存する構成です。

データ保護の基本ポリシー、3-2-1ルールとは、アメリカ合衆国国土安善保障省が公表したガイドラインに記載があります。すべてのコンピューターユーザーは(個人から大企業まで)重要なデータのバックアップを行い、損失や破損に備える必要があります。

「3-2-1ルール」を実現するバックアップ推奨構成

ランサムウェアの状況から、2種類以上のデバイスへの保存を推奨しています。

  • データを3箇所で保持するため、一次バックアップと二次バックアップを実施
  • バックアップソフトは以下の要件を満たせるもの
    • サーバ/クライアント型により一次バックアップできる
    • 遠隔地、クラウド、テープ媒体などのオフサイトに二次バックアップできる
    • WORM機能や不変ストレージへバックアップを保管する

NetBackupで行うランサムウェア対策構成例を図式化しています。二次バックアップ後、オブジェクトロック機能と連携するか、テープ装置に保管します。

NetBackupは、REST APIのインターフェースを持つクラウドストレージへバックアップを保存することができます。
感染の可能性があるマシンのOSからアクセスできないクラウドストレージの領域へバックアップを保管します。

  • 上記のクラウドストレージの利用方法とは異なり、PC/業務サーバの特定フォルダにマウントしてクラウドストレージを使用する同期型クラウドストレージやストレージゲートウェイには注意が必要です。
    感染の可能性があるマシンのOSからアクセスできるため、バックアップの保存先として使用していると被害に遭う可能性があります。

不変(WORM)ストレージにバックアップデータを保管

バックアップサーバへの不正侵入/不正操作や、バックアップデータへの攻撃(暗号化/削除アクセス)から、バックアップデータを保護します。

バックアップデータを不変ストレージに保管する

クラウドの不変ストレージへの保管

クラウドストレージ側で一定期間の更新を禁止する、S3オブジェクトロック機能と連携したストレージや、Azure Blob不変ストレージ、Veritas Alta Recovery Vaultにバックアップを保存することもでき、より安全性を高めることができます。

クラウドの不変ストレージによるバックアップデータ保護

WORMストレージ(不変性及び削除不可性)と連携

NetBackup と WORMストレージによる保護の強化
WORMストレージに格納したデータに対するランサムウェアからの保護を、NetBackup から統合管理することができます。

  • 偶発的または意図的なバックアップデータの消去や改ざんを防止
  • NetBackup 管理者は、WORMストレージにバックアップされたファイルの保持期間を設定、確認
  • NetBackupの保持期間が経過したら、バックアップは自動的に削除
OpenStorage機能改ざん防止(WORM)が備わったバックアップストレージへ保存します。

物理的にアクセスできない場所への保管

ランサムウェア感染や不正侵入を想定して、マシンから物理的にアクセスできない場所にバックアップデータを保管します。

エアギャップとテープの外部保管保管
エアギャップの仕組み

エアギャップを利用した対策

遠隔サイトからバックアップデータの転送を要求し、ポートを解放せずにバックアップデータを受け取ります。

NetBackupはPULL型転送方式により、バックアップデータのレプリケーション転送時もセキュア状態を維持します。

ランサムウェア攻撃時の不審な活動を早期検知

WORMやエアギャップを導入したバックアップの保管に加え、ランサムウェア被害の早期検知・マルウェア検出が重要です。

ランサムウェア被害の早期検知

被害範囲を拡大しないため、バックアップ異常を検知し、早期初動対応

・バックアップ量の急増
・重複排除率の急激な低下
・バックアップ時間の急増
・異常発生対象の特定
・管理者への通知/アラート

バックアップのマルウェア検出

復旧するデータがマルウェア感染していないかをチェック

・ウイルススキャン
・バックアップ異常時の自動チェック
・感染疑いファイルを除外した復旧
・管理者への通知/アラート

異常なバックアップの検出:Anomaly Detection(異常検出)

バックアップ時の異常を、これまでのバックアップ結果の統計からAI・機械学習によって検出し、お知らせします。
異常に気付かず、バックアップ保持世代を過ぎてしまうと、正常なデータが無くなってしまいます。
データの異常を早期に検出し、正常なデータをリカバリすることで、被害の拡大を抑制します。

異常検出について詳細は、NetBackup概要 - 統計的なバックアップ状況の異常検出をご確認ください。

バックアップ実行時、トレンドデータ分析を行います。
バックアップデータの予期しない変化を受けて、アラートを出します。以下のような数値から計測します。

  • リカバリワークフローに、スキャンオプションを実装
  • クラウドVM、ユニバーサル共有も対象

バックアップ対象のデータから以上を検出すると、NetBackupに通知されるイメージ図です。

また、バックアップシステムの運用状況をAIが解析し、普段と異なる異常なふるまいを検出し、通知します。[NetBackup 10.3新機能]

  • 感染ファイルの検出、システム操作の異常検出
  • ランサムウェアに関連する拡張子のファイル有無
  • 異常なIPアドレスからのログイン試行
  • クライアントの正常性 / オフライン状態
  • ユーザーによる複数のバックアップ ポリシーの削除
  • イメージの有効期限の変更

システムの運用状況から異常検知する

バックアップデータのマルウェア検出機能

セキュリティソフトと連携し、マルウェアを検出します。
リストアを行う前に、感染しているとされるファイルを復旧対象から除外して、安全なデータのみをリストアできます。当該クライアントのバックアップ運用は一時停止することで、バックアップ運用を継続します。

マルウェア検出機能のしくみ

NetBackupのマルウェア検出機能について詳細は、概要 - 復旧データの事前検査[ランサムウェア対策強化]をご確認下さい。

バックアップ結果の異常検出時にマルウェアスキャンを自動起動

バックアップ取得時に異常なバックアップを検出し、異常検出スコアが高い場合、そのバックアップに対して自動でマルウェア検出(ウイルススキャニングを起動・実行)を行います。

バックアップ取得時から、バックアップ完了時、リストア前の3段階で見るNetBackupのランサムウェア対策機能
クリーンなデータでの復旧

バックアップデータのマルウェアスキャンにより、クリーンなデータでの復旧が可能です。異常検出の機能とも連動し、リスクが高いデータは自動的にスキャンを実施します。

復旧フローにはスキャンオプションがあり、クラウドVMやユニバーサル共有においてもマルウェアスキャンが利用できます。[NetBackup 10.3新機能]

マルウェアスキャンの利用がより便利に

その他のセキュリティ機能

不正アクセス防止

ID管理&アクセス管理

シングルサインオンによるID/パスワードの盗用防止

NetBackupの管理コンソールへのログイン時にはシングルサインオン(SSO)の実現が可能で、盗み見や様々な脅威によるID/パスワードの盗用を避け、より安全なID管理を行うことができます。
なお、SSOではActive Directory、LDAP、およびSAML 2 .0をサポートしています。

役割ベースのアクセス制御 (RBAC) 機能によるユーザーへの権限委譲

組織内での役割(ロール)に基づいて、必要な権限や アクセス制御を定義した役割を設定します。
適切な権限管理による操作環境を実現することで、緊急時の復旧作業が担当者ベースで迅速に対応可能です。

多要素認証による不正アカウントのアクセスを防止

システムへ接続する際に、ID(ユーザー名/パスワード)に加えて追加の認証手順が必要なMFA(多要素認証)とすることで、不正なアカウントアクセスを防止します。[NetBackup 10.3新機能]

  • 時間に基づいたワンタイムパスワードによる認証
  • 一般的なアプリケーション
    ・Microsoft Authenticator
    ・Google Authenticator など

多要素認証の設定画面例

複数人での認証による不正操作の抑制

複数人での認証(MPA)により、悪質なシステム操作の防止や、オペレーションミスによる事故を防止します。[NetBackup 10.3新機能]

MPAでは、特定の操作を行う際にチケットが発行され、別ユーザーの承認を経てから処理を開始します。現在は「イメージの有効期限の操作変更」が対象です。
  1. バックアップ・イメージの有効期限変更操作が行われるときに、二次承認者を要求
  2. 操作のためのチケットが発行・記録
  3. 発行されたチケットに対し、指定の承認者が承認または拒否
また、必要に応じて、特定のユーザーを除外することもできます。

MPAの設定操作画面イメージ

暗号化

バックアップ・リストアのデータ転送時の暗号化

バックアップやリストア実行時のNetBackupサーバ間やNetBackupクライアント等とのデータ転送時は、ベリタスまたはお客様が提供する TLS 1 .2 証明書を活用し、転送中のデータ暗号化を行います(2048 ビットの鍵をサポート)。

バックアップ後のデータ保管時の暗号化

ランサムウェア等の侵入者がデータを入手できたとしても、あらかじめデータを暗号化することで悪用されることを防ぐことができますが、ベリタスはセキュリティ上の最高レベルの AES 256 ビット、FIPS 140-2 による暗号化をサポートし、デフォルトで独自のキーによる暗号化を行っています。
更なるセキュリティ向上のため、KMIP (Key Management Interoperability Protocol) を利用して、お客様が利用している外部キー管理サーバと連携、サーバが管理するキーを利用してバックアップデータを暗号化することもできます。

システム構成例

業務サーバのデータを、クラウドの不変ストレージに二次バックアップする場合の構成例です。

ランサムウェア構成例
型番 製品名 数量
UL4286-V12-I NetBackup Server v11.0 for Linux Tier 1 1
UL4286-V15-I NetBackup Standard Client v11.0 1
UL4086-V1DA-I NetBackup Data Protection Optimization Option v11.0 ( 1 FRONT END TBYTE - SPECIAL VERSION ) ※1 1
  • ※1
    バックアップ対象データ1TBごとに1ライセンス必要です。
  • *
    仮想ホストおよびファイルサーバに実際に搭載されているCPU数がそれぞれ1つの場合のライセンス構成例です
  • *
    NetBackupのインストールは、ダウンロードモジュールを使用している構成例です
  • *
    上記ラインセンスには保守は含まれていません
  • *
    その他システム構成やお客様のご用件により、別途オプションが必要となる場合がございます。ライセンス見積もりを弊社営業までご相談下さい。

ランサムウェア対策のバックアップはご相談ください

ランサムウェア対策のバックアップについては、弊社営業までお問い合わせください。

  • ランサム対策のバックアップにつきましては、お客様の環境、システム構成、運用要件などにより、可能なバックアップ・復旧の方法が異なります。実際の動作要件や復旧範囲・対応プラットフォームの確認も含め、事前に弊社営業までご相談ください。
  • 将来出現する可能性のある全ての未知の亜種に対して同一のバックアップ方式でデータ保護対策が十分であるとは限りません。新たなバックアップ・復旧の方式への変更が必要となる場合があります。

資料ダウンロード

DownLoad(PDF)

※ MyNECに会員登録(無料)が必要です。

関連ソリューション