『2023データプロテクションレポート』によると、調査対象となった4,200社の組織のうち85%が、2022年に少なくとも1回はランサムウェア攻撃を受けています。さらに驚くことに、攻撃を受けた組織の本番データの39%が暗号化または破壊され、被害組織は平均して被害を受けたデータの半分(55%)しか取り戻せていません。サイバー脅威の勢いが衰える兆しが見えない中、ほとんどの企業が、ランサムウェアによってデータ復元の取り組みが妨げられないようにするために、イミュータブルおよびエアギャップ(存続可能なストレージ)テクノロジーを導入しているのは当然のことと言えます。このブログでは、エアギャップとイミュータブルバックアップテクノロジーの違いと、組織がサイバー回復力戦略でこれらのソリューションを活用する方法について説明することを目的としています。
サイバー回復力戦略の概要
ステップ1:存続可能なバックアップターゲットの確保
何十年もの間、バックアップ用のエアギャップストレージは、企業が重要な資産をほとんどの脅威から保護するために活用できる最も信頼できるオプションでした。WORM(Write Once, Read Many)をテープや回転式ハードドライブで使用することで、災害発生時も、取り出してオフサイトに移動するとデータを復元できます。その後、企業がより安全なアーキテクチャやハイブリッドクラウドアプローチを採用したことで、テープのような回復力のあるデータストレージは進化してきました。イミュータビリティは、WORMと同様の機能を提供し、メディア管理のオーバーヘッドが少なく、これまでとは異なりネットワーク上で到達不能であるため、ますます普及しています。サイバー回復力とディザスタリカバリ戦略を構築する場合、エアギャップとイミュータブルにはそれぞれメリットとデメリットがあります。ただし、両方のテクノロジーを互いに組み合わせて使用することにより、極めてセキュアで回復力のあるコピーを構築できます。
第一に、本番サイトが停止した場合は、影響を受けないセカンダリコピーを確保することが常に推奨されてきました。従来の「3-2-1ルール」では、データのコピーを3つ作成し、少なくとも2種類のメディアを使用し、1つのコピーをオフサイトに保管することが推奨されていました。ほとんどのVeeam導入では、本番データは[コピー1、メディアタイプ=ディスク]、ローカルリポジトリ上のバックアップデータは[コピー2、メディアタイプ=ディスク]、そして3つ目はオフサイトでのディザスタリカバリ用の[コピー3、メディアタイプ=ディスク、クラウド、またはテープ]です。ほとんどの組織は、要件やますます増加するサイバー脅威のリスクを受けて、このプラクティスを採用し、3-2-1ルールを超えて3-2-1-1-0ルールにまで拡大してイミュータビリティとテストも組み込んでいます。ルールに追加された1-0では、1つのコピーを「オフライン」(エアギャップまたはイミュータブル経由でアクセス不能)にし、エラーを0(テストおよび検証済み)にしています。これにより、あらゆるタイプの災害から最高レベルのデータ復元力を確保できます。
ステップ2:アクセスの機会を減らす
現在では、重要となるのはアクセスです。つまり、攻撃者がシステムにアクセスすることだけでなく、復元に必要なバックアップを破壊しようとするのを困難にすることです。そのため、サイバー回復力のあるアーキテクチャを導入することをお勧めします。
ここでは、本番サイト上のあらゆるデータに適切なアクセス制御が設定されています。本番環境を監視して不審なアクティビティがないか確認し、すべてのワークロードが保護され、イミュータブルバックアップがあることを確認するためのレポートを作成できます。次に、バックアップ環境にアクセスするためのユーザーアカウントロールを定義します。Veeamバックアップサーバーでマルチファクター認証(MFA)を有効にすることで、ユーザーを侵害から保護する、より安全な環境を提供できます。続いて、
バグ、サイバー脅威、または意図せぬデータ削除などが生じた場合に復元を可能にするための最初のバックアップメディアとして、イミュータブルターゲットを使用します。最も重要なのは、これらのバックアップを頻繁にテストしてデータの内容を検証し、リストア時に不測の事態が発生しないことを確認することです。これらのストレージデバイスは、専用ハードウェア、重複排除デバイス、S3統合ハードウェアなど多岐にわたります。最後に、サードパーティのコピーがあります。これらは、オフサイトで、暗号化され、かつオフラインまたは物理的に隔離された状態であることが必要です。サイロ化されたコピーをオフラインやオフサイトに保持することが有益となるのは、自然災害や物理的な不正なユーザーアクセスだけではありません。データの整合性、訴訟、およびデータのコンプライアンス/保持ルールは、典型的なデータ消失イベントではないかもしれませんが、データに基づくあらゆるニーズに対応できるクリーンなデータのコピーを確保します。
物理的に隔離されたバックアップとは?
エアギャップは、コピーを物理的に分離する(テープをドライブから取り出す)か、ネットワークからアクセスできない状態にする(ネットワークポートまたはルートを無効にする)ことによって、重要なデータを分離する方法です。エアギャップバックアップには、次のような多くのメリットがあります。
ランサムウェアや他のマルウェアからバックアップを保護する。これは、このようなバックアップは、バックアップサーバーやネットワーク上の他の場所からアクセスできないためです。攻撃者がこのデータを破壊するには、物理的にその場にいる必要があり、データを削除するための適切なアクセス権限を持っている必要があります。これらのバックアップの取り出し/隔離、管理(温度管理、汚れ/埃、湿度など)が適切に行われていれば、復元に失敗する可能性は低くなります。
不正アクセスやデータ漏洩の防止を暗号化によって可能にする。あらゆるバックアップを検討する場合、特に物理的に隔離されたバックアップやオフサイトにあるバックアップについては、デバイスやメディアを暗号化することがより一層重要になります。ドメインコントローラーを暗号化せずにバックアップした後、攻撃者がそのサーバー上にバックアップをリストアしたとしましょう。攻撃者は本番システムへの攻撃に備えるために、じっくりと時間をかけてログイン情報を蓄積することができます。バックアップ(特にオフサイトのバックアップ)の暗号化は、権限のないユーザーによるアクセスから企業の機密情報を保護する上で極めて重要なステップになります。
データの整合性の保持により、コンテンツが悪意を持って変更されていないことが保証される。正確性と一貫性は、規制コンプライアンスだけでなく、信頼性の高い復元のためにも極めて重要です。医療、政府、金融などの組織の場合、さまざまな種類のデータの長期保持は、数年から無期限に及ぶことがあり、場合によっては安全な保管経路を維持する必要があります。州または連邦レベルの規制コンプライアンスによっては、これらの要件が満たされていない場合、法的影響が及ぶ可能性があり、データの完全性と正確性を確保できない組織には多額の罰金が科せられる可能性があります。
イミュータブルバックアップ
イミュータブルバックアップとは、ロールベースのアクセス制御と他の認証方法が設定されているデータのコピーのことで、決められた期間が経過しないと変更や削除ができません。ただし、エアギャップバックアップのような「オフライン」ではなく、依然としてネットワークに接続され、ネットワークからアクセス可能な状態のままです。オンプレミスかクラウドかを問わず、このようなイミュータビリティを活用しているテクノロジーベンダーは多数存在し、オブジェクトロック、セキュアなスナップショット、Veeamの強化リポジトリなどを組み込むことができます。詳細については、こちらのブログ記事をご覧ください。
エアギャップバックアップとイミュータブルバックアップの比較
イミュータブルバックアップはエアギャップバックアップと同じ「存続可能性」の目標に対応するものですが、類似点と相違点の両方があります。どちらもランサムウェアに対する耐性とデータコンプライアンスを提供しますが、違いはこれからご説明します。
テープなどの従来のエアギャップバックアップでは、メディアを管理したり、ベンダーと連携してメディアを適切に保存したりするために、追加コストが発生することがあります。これはイミュータブルストレージにも当てはまり、データポリシーが変われば急激に増加する可能性があります。
目標復旧時間(RTO)も使用するストレージメディアによって変動します。たとえば、クラウドからオンプレミスへのリストア速度をテストしたあるお客様は、顕著なネットワークの制約があり、以前にテープから復元したものと同じデータセットを復元するのにより多くの時間がかかりました。テープの回収にかかったのは数日間でしたが、復元には数週間かかりました。ダウンロード速度を上げることも選択肢の一つでしたが、そのためには追加費用をかけて現在のネットワークをオーバーホールする必要がありました。それに対して、別の組織では、フォレンジック調査のためにオンプレミスのインフラストラクチャにアクセスできなくなったサイバーイベントの後で、パブリッククラウドプロバイダに直接リストアを行い、数週間のダウンタイムを防ぐことができました。調査が完了するまで待った場合、1か月のダウンタイムが発生していたでしょう。
どちらの場合も、お客様は自社に適したデータ回復力戦略を立てることができました。ただし、これは二者択一の状況ではなく、一方が他方に取って代わるべきものでもありません。VMのレプリカはバックアップではなく、その逆もまた同様であることと非常に似ています。この2つのテクノロジーはいずれも、組織におけるデータの迅速な復元を支援するためのものであり、両方を連携して活用することで、サイバーイベント後の復元が成功する可能性が高まります。
Veeamでデータを保護
『2023ランサムウェアトレンドレポート』によると、過去にサイバー攻撃を受けたことのある1,200の組織のうちの82%が現在ではイミュータブルクラウド技術を活用しています。一方で、64%がイミュータブルディスクを使用しており、14%が以前としてデータ保護戦略にテープを使用していると回答しています。組織がよりサイバー回復力のあるデータ保護戦略の導入を目指す中、Veeamは引き続きハードウェアベンダーおよびクラウドベンダーと強力なパートナーシップを構築し、イミュータブルバックアップリポジトリ、エアギャップソリューション、または(ベストプラクティスとして)その両方の導入を容易にしています。最新リリースのv12では、Microsoft Azureによるイミュータビリティ、イミュータビリティを持つS3への直接転送、テープの機能拡張などが実装されているため、組織は迅速に防御を強化してランサムウェアを防ぐことができます。
以下のリンクをクリックしてぜひご自分でお確かめいただき、Veeamとのパートナーシップの詳細をご確認ください。