ランサムウェア対策のバックアップ

	マルウェアの一種「ランサムウェア」の脅威ランサムウェアがマシンに感染、業務データやメールデータが暗号化され使用不能に。暗号解除に「身代金」を要求 → 業務停止・機会損失が発生！感染を100%防げる保証はない身代金を払ってもデータが戻る保証はない支払った身代金は次なる脅威の資金源に…
※ランサムウェアとは、感染したマシンやマシンからアクセス可能なデータを高度な暗号化等により使用不能にし、復旧と引き換えに身代金を要求する不正プログラムです。マシンや業務データが利用できなくなることで業務停止・データ損失が発生します。
予め取得しておいたバックアップデータがデータ復旧の最後の砦
ウイルス感染だけでなく、災害/水害、ハードウェア故障、人的ミスなど、業務データが「利用できない」「損失する」リスクは多く存在します。企業経営への影響を最小化するためには、「バックアップ」が必要です。

ランサムウェアの変化

これまでのランサムウェアは、メールの添付ファイルを開いたりWebページへアクセスすることで感染するような、いわゆる「ばらまき型」でしたが、最近のランサムウェアはサイバー攻撃によって侵入される、いわゆる「標的型」と呼ばれるものが出現しています。
データの暗号化によって身代金を要求する脅迫と、盗み出した機密データを公開されたくなければお金を払えといった「二重の脅迫」が行われる被害が出ています。
感染先はPCだけではなく、サーバやシステム全体に広がっており、業務のデータだけではなく、バックアップデータも標的にするケースも出ています。

知っておきたい被害状況　(※2022年7月21日時点)

社員が利用するPCは、Webページの参照やファイルのダウンロードなど、外部とのアクセス機会が多く、依然として感染リスクが高い状況です。不正広告が掲載された正規Webにアクセスして感染、業務を装ったメールの添付ファイルやWebからダウンロードしたファイルを開いてしまい感染、メール文中のURLへアクセスしてしまい感染、など、様々な感染ケースが挙げられています。

PCだけでなく業務サーバにも感染するタイプが出現しており、標的となったサーバのOSから直接アクセス可能なディスク領域や外部デバイスに置かれているデータは暗号化の被害に遭うリスクが高いです。ランサムウェア対策として、バックアップによるデータ保護が重要になっています。

被害ケース：バックアップも含めて使用不能に

被害にあったデータを復旧するために、業務データやメールデータは定期的にバックアップしていても、
“被害を被りやすい場所”へバックアップデータを保管する方法はNGです！

バックアップの保存先が、感染マシンからディスクアクセスできる領域は危険です。
保存したバックアップデータも暗号化されてしまうと、データ復旧さえできません。
PCや業務サーバなど、ランサムウェアが感染しやすいマシンのOSから簡単にアクセスできる場所は、バックアップを含め暗号化されてしまう可能性があるため、注意が必要です。

PC/業務サーバのディスクドライブ、外付けストレージ
PC/業務サーバからCIFS/NFSマウント共有先、ネットワークドライブ
PC/業務サーバにUSB接続されたメモリ/ディスク、RDX
VSSスナップショット

↑VSSスナップショットを削除するランサムウェアの亜種も確認されています。

どのような場所にバックアップを保管するか

感染の可能性があるマシンのOSからアクセスできないディスクやテープへ保管する、サーバクライアント型のバックアップソフトウェアを検討します。

NetBackupはサーバクライアント型のバックアップソフトウェアです。
NetBackupクライアントで読み出したバックアップデータをNetBackupサーバへ独自プロトコルで転送し保管します。PC/業務サーバのOSからはNetBackup保存するバックアップ領域へ直接アクセス出来ない構成を実現しています。

感染マシンのOSからアクセスできるディスクへ保管したバックアップデータは、暗号化されてしまいます。

ファイルサーバの共有フォルダ(CIFS/NFSプロトコル) へ保管したバックアップデータは、暗号化されてしまいます。

感染マシンのOSが認識する共有フォルダへネットワーク経由でバックアップイメージ図

NetBackup のクライアントとサーバが独自プロトコルで通信し、バックアップします。
感染の可能性があるマシンのOSからはアクセスできない、ディスクやテープへ保管します。

NetBackupが独自プロトコルで通信使ネットワーク経由でバックアップイメージ図

データ復旧に備え、データの定期的なバックアップと長期保管を

業務サーバや仮想基盤の業務データを定期的にバックアップし、世代管理を行います。バックアップサーバへの攻撃/不正操作まで前提として対策します。

業務データの保護対策

業務サーバやファイルサーバのデータをバックアップし、一定期間、保管
業務データの利用頻度や法令に定められた保存期間に従い、バックアップを保存

バックアップの保存期間は、データの利用頻度より長く

業務データを利用する際や脅迫メッセージが表示された時点で、感染が判明するケースが多い
データが被害に遭っていれば、過去のバックアップに遡って復旧
再利用する業務データは、利用する間隔よりも長い期間の保存期間が必要

バックアップサーバへの不正侵入/不正操作を前提としてバックアップを検討

サーバクライアント型のバックアップソフト製品を利用
被害リスクを低減するために、「3-2-1ルール」のバックアップ構成を推奨
バックアップ保存先として、WORMストレージ、クラウド不変ストレージ（S3オブジェクトロックとの連携、Azure Blob不変ストレージ、NetBackup Recovery Vault等）、テープ媒体の外部保管を検討

対策：バックアップデータの保存方法

バックアップサーバへの不正侵入/不正操作や、バックアップデータへの攻撃(暗号化/削除アクセス)から、バックアップデータを保護します。

バックアップサーバの感染まで想定して対策する場合は、バックアップデータへの攻撃ケースを考慮し、いわゆる「3-2-1ルール」の構成で、「2種類のデバイスへの保存」や「テープ媒体オフライン保管」を推奨しています。
例えば、バックアップ構成に「3-2-1ルール」を検討します。3-2-1ルールは、アメリカの国土安全保障省が公表したガイドラインに記載されている、データ保護の基本ポリシーのことです。保護したいデータを3箇所に保持し、2つの異なる形態のデバイスにバックアップを保存、バックアップの1つはオフサイトに保存する構成です。

バックアップの「3-2-1ルール」構成

データ保護の基本ポリシー、3-2-1ルールとは、アメリカ合衆国国土安善保障省が公表したガイドラインに記載があります。すべてのコンピューターユーザーは(個人から大企業まで)重要なデータのバックアップを行い、損失や破損に備える必要があります。

「3-2-1ルール」構成の対処に加え、＋３つの最新対策

ランサムウェア対策では、複数箇所・複数種類のデバイスにデータを保持するいわゆる「3-2-1ルール」のバックアップシステム構成が推奨されています。
「3-2-1ルール」はバックアップシステムの ”構成”を示すもので、引き続き、ランサムウェア対策として有効な手法です。

最近のランサムウェア商談においてはバックアップ要件として、以下の3つについて挙がるケースがあります。

不変ストレージ対応（書き換え不能なバックアップ保管）
バックアップ異常の検知（攻撃の予兆を早期につかむ）
バックアップデータのマルウェア検出（復旧予定データの健全さをチェック）

「不変ストレージにバックアップを保管」「ランサムウェア被害の早期検知」「バックアップのマルウェア検出」の３つの最新対策まとめ

「3-2-1ルール」を実現するバックアップ推奨構成

最新のランサムウェアの状況から、２種類以上のデバイスへの保存を推奨しています。

データを3箇所で保持するため、一次バックアップと二次バックアップを実施
バックアップソフトは以下の要件を満たせるもの
- サーバ/クライアント型により一次バックアップできる
- REST API プロトコルで、クラウドストレージへ二次バックアップ（永久増分）できる
- クラウドの不変ストレージと連携して保存期間が設定できる

NetBackupで行うランサムウェア対策構成例を図式化しています。二次バックアップ後、オブジェクトロック機能と連携するか、テープ装置に保管します。

NetBackupは、REST APIのインターフェースを持つクラウドストレージへバックアップを保存することができます。
感染の可能性があるマシンのOSからアクセスできないクラウドストレージの領域へバックアップを保管します。
更に、クラウドストレージ側で一定期間の更新を禁止する、S3オブジェクトロック機能と連携したストレージや、Azure Blob不変ストレージ、Veritas Alta Recovery Vaultにバックアップを保存することもでき、より安全性を高めることができます。

※
上記のクラウドストレージの利用方法とは異なり、PC/業務サーバの特定フォルダにマウントしてクラウドストレージを使用する同期型クラウドストレージやストレージゲートウェイには注意が必要です。
感染の可能性があるマシンのOSからアクセスできるため、バックアップの保存先として使用していると被害に遭う可能性があります。

WORMストレージ（不変性および削除不可性）と連携

NetBackup と WORMストレージによる保護の強化
WORMストレージに格納したデータに対するランサムウェアからの保護を、NetBackup から統合管理することができます。

偶発的または意図的なバックアップデータの消去や改ざんを防止
NetBackup 管理者は、WORMストレージにバックアップされたファイルの保持期間を設定、確認
NetBackupの保持期間が経過したら、バックアップは自動的に削除

OpenStorage機能改ざん防止(WORM)が備わったバックアップストレージへ保存します。

ランサムウェア対策をNetBackupで実現

定期的なバックアップと一定期間の保管
NetBackupで業務データを定期的にバックアップし世代保管します。データを利用しようとした際に感染が発覚する場合も考えられます。バックアップは最新データだけでなく、利用頻度に合わせて一定期間の保管をお勧めします。
業務への影響を最小限にするため、ファイル／アイテム単位で復旧
被害に遭ったファイル/アイテムのみを復旧します。健全な最新の業務データまで過去の時点に復旧してしまうと更に業務へ影響が出ます。ファイル/アイテム単位で復旧できるようにしてください。
様々なシステム構成・プラットフォームに対応
バックアップ対象は、物理マシン、ファイルサーバ装置、仮想マシンなど、様々です。NetBackupは物理・仮想混在、ファイルサーバ専用装置、OSプラットフォームに幅広く対応しています。最新のサポート状況はお問い合わせください。
保存用ディスクのコスト低減、テープ保存も可能
バックアップの世代管理、長期保管を行うと、バックアップを保存する容量が増えます。NetBackupは重複排除機能を搭載しており必要最小限に節約した容量でバックアップを保管します。また、テープ装置へのバックアップも可能です。
バックアップの保存先としてクラウドストレージの活用も可能、災害対策との組合せも可能
AWS/Azureなどの各種クラウドへバックアップデータを転送するなど幅広い選択肢を選べます。クラウドの不変ストレージ（保存期間中の更新を禁止）との連携も可能です。また、災害対策のための遠隔地バックアップ先をクラウドやデータセンターなどへ実施し、ランサムウェア対策と同時に災害対策として備えることもできます。

※
必要なNetBackup製品は、お客様の環境、システム構成、運用要件などにより異なります。

異常なバックアップの検出：Anomaly Detection(異常検出)

バックアップ時の異常を、これまでのバックアップ結果の統計からAI・機械学習によって検出し、お知らせします。
異常に気付かず、バックアップ保持世代を過ぎてしまうと、正常なデータが無くなってしまいます。
データの異常を早期に検出し、正常なデータをリカバリすることで、被害の拡大を抑制します。

異常検出について詳細は、NetBackup概要 - 統計的なバックアップ状況の異常検出をご確認ください。

バックアップ対象のデータから以上を検出すると、NetBackupに通知されるイメージ図です。

バックアップ実行時、トレンドデータ分析を行います。
バックアップデータの予期しない変化を受けて、アラートを出します。以下のような数値から計測します。

バックアップファイル数
重複排除率
バックアップ取得容量
データ転送容量
バックアップ所要時間

バックアップデータのマルウェア検出機能

セキュリティソフトと連携し、マルウェアを検出します。
リストアを行う前に、感染しているとされるファイルを復旧対象から除外して、安全なデータのみをリストアできます。当該クライアントのバックアップ運用は一時停止することで、バックアップ運用を継続します。

NetBackupのマルウェア検出機能について詳細は、概要 - 復旧データの事前検査[ランサムウェア対策強化]をご確認下さい。

バックアップ結果の異常検出時にマルウェアスキャンを自動起動

バックアップ取得時に異常なバックアップを検出し、異常検出スコアが高い場合、そのバックアップに対して自動でマルウェア検出(ウイルススキャニングを起動・実行)を行います。

バックアップ取得時から、バックアップ完了時、リストア前の3段階で見るNetBackupのランサムウェア対策機能

対策：バックアップのポイント

バックアップを世代管理・長期保管して、感染前のデータを復旧

感染前に取得したバックアップが保持されており、その時点のデータに復元できることがポイントです。

直近データのバックアップだけでは、既に暗号化されているリスクがあります
世代管理によって、リスクを下げられます
感染前のバックアップから、被害にあった業務データの復旧が可能
業務データの利用頻度に応じたバックアップの保存期間を設定

ファイル/アイテム単位で復旧

業務データの復旧は、ファイル/アイテム単位で復旧できることが必要です。

復旧が必要なのは、被害にあったマシンで利用されるファイル/アイテムです。他のシステムや社員は、最新の業務データを利用中で、データ更新が行われていることに注意しなければなりません。

OSの復旧における注意ポイント

ランサムウェアによってPC/業務サーバのシステム領域(OS)が破損された場合に備えて、PC/業務サーバのシステムバックアップを運用 →システム領域(OS)を復旧する場合には注意が必要です。

ランサムウェアは感染時点から直ちに活動を開始するとは限らず、データ利用の際になってから気がつくこともあり、セキュリティソフトによって検知されるまでにもタイムラグがあります。そのため、

システム領域のどこかに、ランサムウェアが潜伏している可能性があります。
どの時点で、ランサムウェアに感染していたかを判断するのは困難です。
ランサムウェアの潜伏有無を判断することは難しいため、どの時点のバックアップから、PC/業務サーバのシステム復旧をすれば感染前に戻せるのか判断することはできません。
PC/業務サーバのシステム復旧後、潜伏していたランサムウェアが活動を開始、再度被害にあうケースもあります。

PC/業務サーバのシステム領域は再セットアップとし、業務再開に必要となるデータを復旧する方が、結果的に安全に業務を再開できるケースもあります。

システム構成例

仮想ホストとWindowsファイルサーバをバックアップする構成例です。
実際に搭載されているCPU数によってライセンスが異なります。また、テープライブラリや重複排除機能の利用、ファイルサーバ専用装置のバックアップなど、システム構成やお客様のご要件により別途オプションが必要となる場合がございますので、ライセンスの見積りを弊社営業までご相談ください。

型番	製品名	数量
UL1086-P12-I	NetBackup Enterprise Server v10.2 for Windows Tier 1	1
UL1086-P0HB-I	NetBackup Enterprise Client v10.2 for Windows/Linux Tier 1	2

*
仮想ホストおよびファイルサーバに実際に搭載されているCPU数がそれぞれ1つの場合のライセンス構成例です
*
NetBackupのインストールは、ダウンロードモジュールを使用している構成例です

まとめ

業務データのバックアップを実施します
バックアップできていないPC/業務サーバがあれば、バックアップの導入を検討します。
サーバクライアント型のバックアップ構成を採用
ネットワークドライブなど、OSから容易にアクセスできる場所にバックアップを保存している場合は、業務データだけでなくバックアップも被害に遭いデータを復旧出来ないケースが発生します。サーバクライアン型のバックアップ構成を検討します。
バックアップの保存期間は利用頻度に合わせて設定
3日間や1週間など短い期間でバックアップを保存している場合は、バックアップを世代管理していても、暗号化された状態のバックアップしか残っていないケースも考えられます。データの利用頻度に合わせて十分な期間の長期保管を設定します。
複数の種類のバックアップ保存先を採用する
バックアップサーバ自体へのランサムウェア感染を想定し、2種類以上のバックアップ保存先を検討します（3-2-1ルールの構成）。バックアップサーバのディスクへ保存してい場合は、２種類目の保存先として、クラウドストレージやテープ装置などを検討します。
ファイル単位/アイテム単位で復旧可能な方式を採用
被害にあった業務データ以外は、最新のデータ更新が行われています。二次的な業務への影響を避けるためにも、被害ファイルのみを復旧できる仕組みを採用します。
仮想マシンやシステム領域(OS)の復旧には注意が必要
潜伏しているランサムウェアを検知できるとは限らないため、仮想マシン単位の復旧や、システム領域(OS)の復旧には注意が必要です。業務再開に必要となるファイルのみを順次復旧していく方法も検討します。