サイト内の現在位置を表示しています。

ランサムウェア対策のバックアップ

困る人のイメージです マルウェアの一種「ランサムウェア」の脅威
ランサムウェアがマシンに感染、業務データやメールデータが暗号化され使用不能に。
暗号解除に「身代金」を要求 → 業務停止・機会損失が発生!

感染を100%防げる保証はない
身代金を払ってもデータが戻る保証はない
支払った身代金は次なる脅威の資金源に…

※ランサムウェアとは、感染したマシンやマシンからアクセス可能なデータを高度な暗号化等により使用不能にし、復旧と引き換えに身代金を要求する不正プログラムです。マシンや業務データが利用できなくなることで業務停止・データ損失が発生します。
予め取得しておいたバックアップデータがデータ復旧の最後の砦
ウイルス感染だけでなく、災害/水害、ハードウェア故障、人的ミスなど、業務データが「利用できない」「損失する」リスクは多く存在します。企業経営への影響を最小化するためには、「バックアップ」が必要です。

多くの被害ケースでバックアップデータも標的に

従来のランサムウェアは、メールの添付ファイルを開いたりWebページへアクセスすることで感染するような、いわゆる「ばらまき型」でしたが、現在のランサムウェアはサイバー攻撃によって侵入される、いわゆる「標的型」と呼ばれるものが多く出現しています。データの暗号化によって身代金を要求する脅迫と、盗み出した機密データを公開されたくなければお金を払えといった「二重の脅迫」が行われる被害が出ています。

感染先はPCだけではなくサーバやシステム全体に広がり、標的は業務のデータのみではありません。システム内に不正侵入され、バックアップサーバも攻撃されるケースが多くなっています。
管理者権限を持つユーザであってもバックアップデータを消去・変更できないといった、バックアップデータを保護する対策が必要です。

ランサムウェアの変化

攻撃されることを前提とした対策 (※2024年2月19日時点)

社員が利用するPCは、Webページの参照やファイルのダウンロードなど、外部とのアクセス機会が多く、依然として感染リスクが高い状況です。不正広告が掲載された正規Webにアクセスして感染、 業務を装ったメールの添付ファイルやWebからダウンロードしたファイルを開いてしまい感染、 メール文中のURLへアクセスしてしまい感染、など、様々な感染ケースが挙げられています。

更にPCだけでなく業務サーバにも感染するタイプが存在します。標的となったサーバのOSから直接アクセス可能なディスク領域や、外部デバイスに置かれているデータは、暗号化の被害に遭うリスクが高くなっています。バックアップデータに対しても、攻撃が行われることが当たり前となってる状況です。

ランサムウェアの攻撃範囲

「3-2-1ルール」の構成の対処 + 2つの最新対策

ランサムウェア対策では、複数箇所・複数種類のデバイスにデータを保持するいわゆる「3-2-1ルール」のバックアップシステム構成が推奨されています。「3-2-1ルール」はバックアップシステムの ”構成”を示すもので、引き続き、ランサムウェア対策として有効な手法です。

この「3-2-1ルール」の構成に加え、WORM等を導入したバックアップデータの保存の検討が必要です。更に最近のランサムウェア商談においては、セキュリティ面での検討も重要です。

「基本的対策」に「削除・更新されない場所」と「攻撃発生時の不審な活動検知」を行うランサムウェア最新対策

バックアップの「3-2-1ルール」構成

バックアップサーバの感染まで想定して対策する場合は、バックアップデータへの攻撃ケースを考慮し、いわゆる「3-2-1ルール」の構成で、「2種類のデバイスへの保存」や「テープ媒体オフライン保管」を推奨しています。
例えば、バックアップ構成に「3-2-1ルール」を検討します。3-2-1ルールは、アメリカの国土安全保障省が公表したガイドラインに記載されている、データ保護の基本ポリシーのことです。保護したいデータを3箇所に保持し、2つの異なる形態のデバイスにバックアップを保存、バックアップの1つはオフサイトに保存する構成です。

データ保護の基本ポリシー、3-2-1ルールとは、アメリカ合衆国国土安善保障省が公表したガイドラインに記載があります。すべてのコンピューターユーザーは(個人から大企業まで)重要なデータのバックアップを行い、損失や破損に備える必要があります。

「3-2-1ルール」を実現するバックアップ推奨構成

ランサムウェアの状況から、2種類以上のデバイスへの保存を推奨しています。

  • データを3箇所で保持するため、一次バックアップと二次バックアップを実施
  • バックアップソフトは以下の要件を満たせるもの
    • サーバ/クライアント型により一次バックアップできる
    • 遠隔地、クラウド、テープ媒体などのオフサイトに二次バックアップできる
    • WORM機能や不変ストレージへバックアップを保管する

NetBackupで行うランサムウェア対策構成例を図式化しています。二次バックアップ後、オブジェクトロック機能と連携するか、テープ装置に保管します。

NetBackupは、REST APIのインターフェースを持つクラウドストレージへバックアップを保存することができます。
感染の可能性があるマシンのOSからアクセスできないクラウドストレージの領域へバックアップを保管します。

  • 上記のクラウドストレージの利用方法とは異なり、PC/業務サーバの特定フォルダにマウントしてクラウドストレージを使用する同期型クラウドストレージやストレージゲートウェイには注意が必要です。
    感染の可能性があるマシンのOSからアクセスできるため、バックアップの保存先として使用していると被害に遭う可能性があります。

不変(WORM)ストレージにバックアップデータを保管

バックアップサーバへの不正侵入/不正操作や、バックアップデータへの攻撃(暗号化/削除アクセス)から、バックアップデータを保護します。

バックアップデータを不変ストレージに保管する

クラウドの不変ストレージへの保管

クラウドストレージ側で一定期間の更新を禁止する、S3オブジェクトロック機能と連携したストレージや、Azure Blob不変ストレージ、Veritas Alta Recovery Vaultにバックアップを保存することもでき、より安全性を高めることができます。

クラウドの不変ストレージによるバックアップデータ保護

WORMストレージ(不変性及び削除不可性)と連携

NetBackup と WORMストレージによる保護の強化
WORMストレージに格納したデータに対するランサムウェアからの保護を、NetBackup から統合管理することができます。

  • 偶発的または意図的なバックアップデータの消去や改ざんを防止
  • NetBackup 管理者は、WORMストレージにバックアップされたファイルの保持期間を設定、確認
  • NetBackupの保持期間が経過したら、バックアップは自動的に削除
OpenStorage機能改ざん防止(WORM)が備わったバックアップストレージへ保存します。

物理的にアクセスできない場所への保管

ランサムウェア感染や不正侵入を想定して、マシンから物理的にアクセスできない場所にバックアップデータを保管します。

エアギャップとテープの外部保管保管
エアギャップの仕組み

エアギャップを利用した対策

遠隔サイトからバックアップデータの転送を要求し、ポートを解放せずにバックアップデータを受け取ります。

NetBackupはPULL型転送方式により、バックアップデータのレプリケーション転送時もセキュア状態を維持します。

ランサムウェア攻撃時の不審な活動を早期検知

WORMやエアギャップを導入したバックアップの保管に加え、ランサムウェア被害の早期検知・マルウェア検出が重要です。

ランサムウェア被害の早期検知

被害範囲を拡大しないため、バックアップ異常を検知し、早期初動対応

・バックアップ量の急増
・重複排除率の急激な低下
・バックアップ時間の急増
・異常発生対象の特定
・管理者への通知/アラート

バックアップのマルウェア検出

復旧するデータがマルウェア感染していないかをチェック

・ウイルススキャン
・バックアップ異常時の自動チェック
・感染疑いファイルを除外した復旧
・管理者への通知/アラート

異常なバックアップの検出:Anomaly Detection(異常検出)

バックアップ時の異常を、これまでのバックアップ結果の統計からAI・機械学習によって検出し、お知らせします。
異常に気付かず、バックアップ保持世代を過ぎてしまうと、正常なデータが無くなってしまいます。
データの異常を早期に検出し、正常なデータをリカバリすることで、被害の拡大を抑制します。

異常検出について詳細は、NetBackup概要 - 統計的なバックアップ状況の異常検出をご確認ください。

バックアップ実行時、トレンドデータ分析を行います。
バックアップデータの予期しない変化を受けて、アラートを出します。以下のような数値から計測します。

  • リカバリワークフローに、スキャンオプションを実装
  • クラウドVM、ユニバーサル共有も対象

バックアップ対象のデータから以上を検出すると、NetBackupに通知されるイメージ図です。

また、バックアップシステムの運用状況をAIが解析し、普段と異なる異常なふるまいを検出し、通知します。[NetBackup 10.3新機能]

  • 感染ファイルの検出、システム操作の異常検出
  • ランサムウェアに関連する拡張子のファイル有無
  • 異常なIPアドレスからのログイン試行
  • クライアントの正常性 / オフライン状態
  • ユーザーによる複数のバックアップ ポリシーの削除
  • イメージの有効期限の変更

システムの運用状況から異常検知する

バックアップデータのマルウェア検出機能

セキュリティソフトと連携し、マルウェアを検出します。
リストアを行う前に、感染しているとされるファイルを復旧対象から除外して、安全なデータのみをリストアできます。当該クライアントのバックアップ運用は一時停止することで、バックアップ運用を継続します。

マルウェア検出機能のしくみ

NetBackupのマルウェア検出機能について詳細は、概要 - 復旧データの事前検査[ランサムウェア対策強化]をご確認下さい。

バックアップ結果の異常検出時にマルウェアスキャンを自動起動

バックアップ取得時に異常なバックアップを検出し、異常検出スコアが高い場合、そのバックアップに対して自動でマルウェア検出(ウイルススキャニングを起動・実行)を行います。

バックアップ取得時から、バックアップ完了時、リストア前の3段階で見るNetBackupのランサムウェア対策機能
クリーンなデータでの復旧

バックアップデータのマルウェアスキャンにより、クリーンなデータでの復旧が可能です。異常検出の機能とも連動し、リスクが高いデータは自動的にスキャンを実施します。

復旧フローにはスキャンオプションがあり、クラウドVMやユニバーサル共有においてもマルウェアスキャンが利用できます。[NetBackup 10.3新機能]

マルウェアスキャンの利用がより便利に

その他のセキュリティ機能

不正アクセス防止

ID管理&アクセス管理

シングルサインオンによるID/パスワードの盗用防止

NetBackupの管理コンソールへのログイン時にはシングルサインオン(SSO)の実現が可能で、盗み見や様々な脅威によるID/パスワードの盗用を避け、より安全なID管理を行うことができます。
なお、SSOではActive Directory、LDAP、およびSAML 2 .0をサポートしています。

役割ベースのアクセス制御 (RBAC) 機能によるユーザーへの権限委譲

組織内での役割(ロール)に基づいて、必要な権限や アクセス制御を定義した役割を設定します。
適切な権限管理による操作環境を実現することで、緊急時の復旧作業が担当者ベースで迅速に対応可能です。

多要素認証による不正アカウントのアクセスを防止

システムへ接続する際に、ID(ユーザー名/パスワード)に加えて追加の認証手順が必要なMFA(多要素認証)とすることで、不正なアカウントアクセスを防止します。[NetBackup 10.3新機能]

  • 時間に基づいたワンタイムパスワードによる認証
  • 一般的なアプリケーション
    ・Microsoft Authenticator
    ・Google Authenticator など

多要素認証の設定画面例

複数人での認証による不正操作の抑制

複数人での認証(MPA)により、悪質なシステム操作の防止や、オペレーションミスによる事故を防止します。[NetBackup 10.3新機能]

MPAでは、特定の操作を行う際にチケットが発行され、別ユーザーの承認を経てから処理を開始します。現在は「イメージの有効期限の操作変更」が対象です。
  1. バックアップ・イメージの有効期限変更操作が行われるときに、二次承認者を要求
  2. 操作のためのチケットが発行・記録
  3. 発行されたチケットに対し、指定の承認者が承認または拒否
また、必要に応じて、特定のユーザーを除外することもできます。

MPAの設定操作画面イメージ

暗号化

バックアップ・リストアのデータ転送時の暗号化

バックアップやリストア実行時のNetBackupサーバ間やNetBackupクライアント等とのデータ転送時は、ベリタスまたはお客様が提供する TLS 1 .2 証明書を活用し、転送中のデータ暗号化を行います(2048 ビットの鍵をサポート)。

バックアップ後のデータ保管時の暗号化

ランサムウェア等の侵入者がデータを入手できたとしても、あらかじめデータを暗号化することで悪用されることを防ぐことができますが、ベリタスはセキュリティ上の最高レベルの AES 256 ビット、FIPS 140-2 による暗号化をサポートし、デフォルトで独自のキーによる暗号化を行っています。
更なるセキュリティ向上のため、KMIP (Key Management Interoperability Protocol) を利用して、お客様が利用している外部キー管理サーバと連携、サーバが管理するキーを利用してバックアップデータを暗号化することもできます。

システム構成例

業務サーバのデータを、クラウドの不変ストレージに二次バックアップする場合の構成例です。

ランサムウェア構成例
型番 製品名 数量
UL4286-S12-I NetBackup Server v10.3 for Linux Tier 1 1
UL4286-S15-I NetBackup Standard Client v10.3 1
UL4086-S1DA-I NetBackup Data Protection Optimization Option v10.3 ( 1 FRONT END TBYTE - SPECIAL VERSION ) ※1 1
  • ※1
    バックアップ対象データ1TBごとに1ライセンス必要です。
  • *
    仮想ホストおよびファイルサーバに実際に搭載されているCPU数がそれぞれ1つの場合のライセンス構成例です
  • *
    NetBackupのインストールは、ダウンロードモジュールを使用している構成例です
  • *
    上記ラインセンスには保守は含まれていません
  • *
    その他システム構成やお客様のご用件により、別途オプションが必要となる場合がございます。ライセンス見積もりを弊社営業までご相談下さい。

ランサムウェア対策のバックアップはご相談ください

ランサムウェア対策のバックアップについては、弊社営業までお問い合わせください。

  • ランサム対策のバックアップにつきましては、お客様の環境、システム構成、運用要件などにより、可能なバックアップ・復旧の方法が異なります。実際の動作要件や復旧範囲・対応プラットフォームの確認も含め、事前に弊社営業までご相談ください。
  • 将来出現する可能性のある全ての未知の亜種に対して同一のバックアップ方式でデータ保護対策が十分であるとは限りません。新たなバックアップ・復旧の方式への変更が必要となる場合があります。

資料ダウンロード

DownLoad(PDF)

※ MyNECに会員登録(無料)が必要です。

関連ソリューション