「検知/緩和/回復/保護」のランサムウェア対策サイクルを回すことを推奨
ベリタス、NetBackupや可視化製品でランサムウェア対策を強化
2020年03月19日 13時00分更新
ランサムウェア対策においては、いかに速やかに原状回復し、事業を継続できるかが重要なポイントだ。そのための施策のひとつが、システムやデータのバックアップである。たとえば米国では行政機関などにもランサムウェア被害が拡大したことを受け、国家諮問機関のCISA(Cybersecurity and Infrastructure Security Agency)が「事業において重要な情報のオフラインバックアップ」を実施することを勧告している。
しかし、ベリタステクノロジーズが米行政機関などを対象に実施した調査では、実に44%もの組織が「データリカバリ計画がない」もしくは「計画に基づくテストがいつ実施されたかわからない」と回答したという。ベリタスの高井隆太氏は次のように付け加える。
「さらに、最後にテストを実施したのが『1年以上前』という回答もあった。変化の激しい現代のIT環境において、1年前のテスト結果が有効かどうかは疑問だ」(高井氏)
米国公共機関への調査ではランサムウェア攻撃が増加していることが明らかに。ただし、被害を回復するデータリカバリ計画は万全とは言えない
ベリタステクノロジーズ テクノロジーセールス&サービス本部 常務執行役員 高井隆太氏
ここでベリタスが提唱するのが、「検知/緩和/回復/保護」のフェーズを回すランサムウェア対策サイクルだ。組織内でランサムウェアが「検出」されたら、まず感染範囲の特定と封じ込めによる「緩和」を実施し、そのうえでクリーン(ランサムウェアが混入していない)かつ最新のバックアップデータで「回復」を行う。そのうえで、再感染防止対策やアクセス制御を実施しつつ、データ改竄ができないストレージで重要データを「保護」する、という流れだ。
「サイバー攻撃対策では検知や緩和、回復のフェーズにフォーカスが当たりがちだ。しかしランサムウェア対策の場合は、特にデータ損失のリスクの高さをふまえて、『回復』と『保護』のフェーズを組み込んでいくことが重要だ」(高井氏)
ランサムウェア対策サイクル
ランサムウェア対策と相性が良いNetBackupアプライアンス
ベリタスは昨年、データプラットフォーム戦略「Veritas Enterprise Data Service Platform」(Veritas EDSP)を発表した。バックアップ/データ保護製品の「NetBackup」、データの分析や可視化を支援する「Information Studio」、DRソリューションの「Veritas Resiliency Platform」などの製品群で構成され、各製品間をAPI連携しながら柔軟なソリューションを組み上げていくことが可能だ。
NetBackupは30年以上の歴史と実績を持つデータ保護製品で、ソフトウェアから統合型アプライアンス、クラウドのワークロードまで幅広い形態で提供されている。対応するデータソースは500以上で、従来のアプリケーションやOS、ファイルサーバーを始めとして、VMware、Nutanix、Azure Stack、Outpost、オープンソースのMongoDBやHadoop、コンテナ各種と幅広くサポートする。
「特に最近は、昨年発表した小規模・エッジ向けの『Veritas Flex 5150』が、手の届くNetBackup製品としてパートナーや企業からの引き合いが強い」と高井氏。そして、こうしたNetBackupアプライアンスはランサムウェア対策との相性が良いと高井氏は説明する。
内部ネットワーク経由で感染を広げるランサムウェアの場合、NASなどネットワーク上にあるバックアップ先のデータも暗号化されてしまうおそれがある。また、ランサムウェアが暗号化したデータをバックアップしてしまった場合、感染前のデータにさかのぼれなければ意味がない。
NetBackupアプライアンスでは、ハーデニングされた専用OSを用いているためランサムウェアの感染リスクが低いほか、アクセスコントロールによって感染マシンを即座にアクセス排除することが可能。また定期バックアップも十分な数の世代を保持できるほか、オフラインバックアップコピーも作成できる。IDS/IPS機能はビルトイン済みで、セキュアな運用が可能だ。
NetBackupアプライアンスの機能
Information Studioとの連携でランサムウェア対策を強化
さらに最近、Information Studioでもランサムウェア対策機能を強化した。同製品ではバックアップ対象ファイルのメタデータを収集し、ファイルの中身とポリシーを照合しながらタグ付け/自動分類する機能を備えている。この機能において、既知の拡張子に基づき「ランサムウェア」を分類/フィルタリングできるようになった。これにより、感染ファイルを特定し、バックアップ除外リストとしてNetBackupに取り込むことが可能だ。
「バックアップ側のデータカタログもInformation Studioの分析対象に設定できる。バックアップデータの中に感染ファイルが保存されていても、それを知ることができる」(高井氏)
Information StudioとNetBackupアプライアンスとの連携例
ベリタスでは今年度(2020年度)、データ保護対象の拡充、クラウドストレージサービスやストレージベンダーとの連携強化、自動化やオーケストレーションの強化、Information Studioを中心とした機能強化を進める方針だという。
また、データ保護戦略の立案から実装までを包括的に支援する「エンタープライズ・データ・プロテクション・アドバイザリーサービス」についても、国内で人員を確保して本格提供を開始する計画だ。「今後も、安全なデータ保護と回復を支援するソリューションを提供していく」(高井氏)。
