Veeamブログ
Stay up to date on the latest tips and news
By subscribing, you are agreeing to have your personal information managed in accordance with the terms of Veeam’s Privacy Policy
You're all set!
Watch your inbox for our weekly blog updates.
OK

ハイブリッド・クラウド・インフラストラクチャとは?

ハイブリッドクラウドインフラストラクチャはコンピューティングリソースに対してよりバランスの取れたアプローチを提供するため、企業は自社のデータセンターと1つ以上のパブリック(共有)クラウドを組み合わせて利用できるようになります。

近年、ハイブリッド・クラウド・インフラストラクチャの領域は、イノベーションと汎用性の魅力的な融合であることが証明されています。企業はこれまで以上に、パブリックとプライベートのストレージ・ソリューションを独自に組み合わせて、自社のニーズに合うように調整しています。企業は、オンプレミスのデータセンターとハイパーバイザーを通じて、機密データやセキュリティをより細かく管理できるようになる一方で、パブリッククラウドを共有することで、クラウドプロバイダーのインフラストラクチャを活用して、オンプレミスインフラストラクチャの維持と保守を省けるため、柔軟性を高めてコストを削減できます。ワークロードは相互接続された2つのドメイン間で移動できるため、データが複数の場所で利用可能であることを確保し、ランサムウェア攻撃に備えてより柔軟なアーキテクチャを作成できます。

ハイブリッド・クラウド・インフラストラクチャの定義

ハイブリッドクラウドインフラストラクチャは常に、プライベートクラウド、データセンター、パブリッククラウドなどのプライベート環境で構成されます。.パブリッククラウドの構成は、使用するプロバイダーや各ワークロードの需要によって異なります。成長中のテクノロジースタートアップ企業であれ、定評のある金融機関であれ、セキュリティやパフォーマンスを損なうことなく最適なリソース使用率を維持することは極めて重要です。

機密性の高いデータをプライベート環境のオンプレミスに保管する場合もあれば、アプリケーションやコンテナの導入を、さまざまなKubernetesディストリビューションを含むAWS、Azure、Google Cloudに展開することもできます。オンプレミスの機密データは、多くの場合、施設内で働く個人に制限されています。施設外の個人はこのデータにアクセスできますが、適切なセキュリティとアクセス制御が実装されている場合に限ります。

一方、パブリッククラウドは、必要に応じてリソースを拡張または縮小できる環境を企業に提供します。企業は、ワークフローの増加に伴って、従業員が利用できるコンピューティングリソースの量を増やすことができます。パブリッククラウド事業者の多くは、階層的な価格体系ではなく使用量のみに応じて料金を請求します。

ハイブリッド・クラウド・インフラストラクチャとマルチクラウド・インフラストラクチャの比較

ハイブリッド・クラウド・インフラストラクチャとマルチクラウド・インフラストラクチャという用語は、しばしば同じ意味で使用されますが、そこには違いがあります。ハイブリッド・クラウド・インフラストラクチャでは、常に1つのプライベートクラウドまたはデータセンターと、1つ以上のパブリッククラウドがあります。マルチクラウドは異なるプロバイダーから提供される複数のパブリッククラウドを特徴としており、その人気はますます高まっています。実際に、2023年の調査では、データ保護のユースケースを含め、83%の組織がマルチクラウドアプローチが好ましい戦略であることに同意していることが明らかになりました。

この定義では、ハイブリッドクラウドは技術的にはマルチクラウドとみなすことができますが、クラウドベースのマルチクラウドはハイブリッドクラウドとはみなされません。

ハイブリッドクラウドインフラストラクチャの利点

『2024データプロテクションレポート』によると、41%の企業がクラウドモビリティ(クラウド間、オンプレミスインフラストラクチャとクラウド間)を最新のデータ保護ソリューションの最も重要な特徴であると考えています。ハイブリッド・クラウド・インフラストラクチャには多くのメリットがあるため、これは注目に値する発展であり、驚くことではありません。メリットとしては、次のようなものがあります。

柔軟性:ハイブリッドクラウドを使用している企業であれば、新製品の発売時や季節的な高需要の時期に、需要に対応するためのハードウェアを追加購入したり、オンプレミスのフットプリントを拡大したりする必要はありません。こうした企業は運用をクラウドに移行して、需要の高まりに合わせてスケールアップし、需要が戻ったときにはスケールダウンすることができますコンプライアンス:通常、金融および医療分野の企業は厳しいデータコンプライアンス規制に対処しなければなりません。この場合、機密データは、クラウドではなくオンプレミスに保管することが合理的です。そうした機密データ用のスペースを確保するために、企業は規制の少ないタスクをパブリッククラウドに移すことができます投資対効果の高さ:企業は、ハイブリッドアプローチを採用することでハードウェアコストと人件費を削減できます。クラウドプロバイダーの多くは、企業に対して総使用量に応じた料金を請求するだけであり、階層化されたリソースやストレージに対して料金は発生しません。このわかりやすい価格体系も、運用コストの削減に向けて企業がワークロードを適切な環境に移行することを後押ししています。リモートスタッフへのより効果的なサポート: 全てのデータがパブリッククラウドにある場合、分散したスタッフに必要なツールを提供しながら 機密データを保護することは難しい場合があります。しかし、ハイブリッドクラウド環境なら、企業は機密データをプライベートな環境に維持しつつ、パブリッククラウドを使って、アクセスが許可された従業員が重要なアプリケーションやサービスをあらゆる場所で利用できるようにすることができますイノベーション能力の強化:機密データをプライベートのデータセンターやクラウドに保管していれば、開発者はパブリッククラウド上で新しいアイデアやアプリケーション、製品を試したり実験したりできますセキュリティの強化とリスク管理の改善:ハイブリッド・クラウド・インフラストラクチャと連携することで、機密データが漏洩するリスクを軽減します。また、企業はコンプライアンス規制に基づいてワークロードをより適切に割り当てることもできますディザスタリカバリ戦略:ハイブリッドアーキテクチャを使用すると、重要なデータアプリケーションを複数の環境に保管できます。これにより、可用性が向上し、ダウンタイムが最小限に抑えられます。

ハイブリッド・クラウド・アーキテクチャの構築方法

成功するハイブリッドクラウドアーキテクチャの構築は、重要なコンポーネントのシームレスなインタラクションに依存します。

パブリッククラウド: AWS、Google、Microsoft Azureなど多くの企業がスケーラブルなコンピューティングリソースを提供しており、必要に応じて料金を支払うことができますプライベートクラウド:プライベートクラウドではセキュリティが強化され、企業が必要とする専用リソースのみが割り当てられます伝導性:組織は、パブリッククラウドとプライベートクラウドの効果的な管理に接続性を必要とします。これは、安全なネットワークツール、VPN、APIを使用することで実現します。これらのツールにより、環境間の完璧な通信とデータ転送が保証されます管理とオーケストレーション:一元的な場所に集約された管理プラットフォームにより、ハイブリッドインフラストラクチャ全体にわたるパフォーマンス、リソース割り当て、セキュリティの包括的なビューが提供されます。オーケストレーションツールにより、事前定義のポリシーに基づいたワークロードの自動スケーリングと移行が可能になるため、効率性が向上します

成功を収める導入戦略

ハイブリッドクラウドインフラストラクチャを導入する前に、包括的なハイブリッドクラウド戦略を策定する必要があります。リソースのほとんどをプライベートなオンプレミスのデータセンターでホストし、必要な場合にのみパブリッククラウドに拡張したい場合もあります。また、パブリッククラウドで運用をホストし、重要なデータやアプリケーションのためにオンプレミスのデータセンターを確保することもできます。

優れた戦略にするには十分な調査とプランニングが重要です。プライベート環境とパブリック環境を統合することの難しさなど、潜在的な課題に対処する必要があります。各環境は異なるテクノロジー上で実行されるため、バックエンドはフロントエンドから切り離されています。注意しないと、問題が発生する可能性があります。相互に可能な限り互換性のあるクラウドを探してください。

従業員が分散している場合、アクセスの規制が問題になる可能性があります。組織内にグループまたは個人の役割を実装することを検討してください。ロールベースのアクセス制御 (RBAC) により、従業員は場所に関係なく機密データに適切にアクセスできます。

ハイブリッド・クラウド・インフラストラクチャのベストプラクティス

次のハイブリッドクラウド関連のベストプラクティスに従えば、ハイブリッドクラウドインフラストラクチャの導入が複雑になることはありません。

インテリジェントな戦略と達成可能な目標を策定する。コンピューティング戦略を実装する際は、常に組織の目標と目的を特定しましょう。ハイブリッドクラウドを使用することでメリットが得られるワークロードやアプリケーションは何かを自問してください。それを決定した後、潜在的な利点とリスクを評価します強力なデータ管理およびセキュリティプロセスを開発します ハイブリッドクラウドは、データの整合性、セキュリティ、コンプライアンスを保証するデータ管理プラクティスを実践している組織に最適です。強力なアクセス制御、機密データの暗号化、強力なデータバックアップ戦略を含む計画を策定するプロバイダーやパートナー候補を精査する ハイブリッドクラウドを効果的に機能させ、コスト、パフォーマンス、セキュリティの最適なバランスを実現したい場合は、時間をかけてニーズに合った適切なプロバイダーを見つけてください。あるワークロードに対して1つのパブリッククラウドプロバイダーを使用し、別のワークロードをまったく別のプロバイダーに配置することができます帯域幅の要件を最適化する。ハイブリッドクラウド環境で最高のパフォーマンスを維持するには、ハイブリッドクラウドのすべてのコンポーネント間でネットワーク伝導性を優先事項として扱う必要があります。プランニングプロセスの一環として、必要な帯域幅、データ転送コスト、考えられるボトルネックについて検討しますハイブリッドクラウドがどのように機能するかを監視する。ハイブリッドクラウドインフラストラクチャをフル活用するには、貴社にとって最適な監視と管理のツールを特定する必要があります。ハイブリッドクラウド内の適切なコンポーネントや環境全てについてエンドツーエンドの可視性を提供するツールが必要

ハイブリッドクラウドの採用における課題と考慮事項

ハイブリッドクラウドはワークバランスやコスト効率の点で魅力的に思えるかもしれませんが、次の欠点や課題を考慮してください。

必要な専門知識: ハイブリッドクラウドでは、2つ以上の環境の相互運用が必要です。それは必ずしも簡単ではありません。組織は、複数のプラットフォームや異なるテクノロジーで作業するための専門知識を身に付ける必要があります。ハイブリッドクラウドの効果的な保守と運用のために個人を雇用すると、人件費が増加する可能性がありますデータ管理:ハイブリッドクラウドインフラストラクチャへのデータとアプリケーションの分割は複雑になることがあります。一貫性のある統一されたデータ管理戦略の維持に問題が生じることもあります。また、ハイブリッドクラウドおよびマルチクラウドのバックアップの実装において問題が起きる可能性もあります。非効率の原因となるデータストレージの断片化については、チーム全体で注意する必要がありますセキュリティ:複数の環境にわたってセキュリティを維持するのは簡単ではありません。企業は、不正アクセスのリスクを軽減するために、すべてのプラットフォームで一貫したアクセス制御を作成する必要がありますコスト管理: ハイブリッドクラウドインフラストラクチャは、適切に管理すればコスト効率が向上します。企業は、リソースが複数の環境にどのようにデプロイされているかを監視する必要があります。そうしないと、コスト効率がなくなる可能性があります

ハイブリッドクラウドのユースケースと事例

ハイブリッドクラウドインフラストラクチャは複数のユースケースに対応できるため、その人気がさまざまな業界で大幅に高まっています。ハイブリッドクラウドでは、組織はパブリッククラウドのスケーラビリティを活用しながら、より機密性の高いタスクにはオンプレミスインフラストラクチャを使用できるため、環境間で変動する需要を満たしつつ、機密データを保護することができます。

Eコマース: 多くの組織は、ホリデーシーズンやその他の時期に急増を経験しています。ハイブリッドクラウドインフラストラクチャを利用している企業は、機密性の高い顧客データをオンプレミスに維持しながら、パブリッククラウドのリソースを迅速かつ投資対効果の高い方法で拡張し、トラフィックの急増に対処することができます。金融: 金融サービス企業は、重要なデータとアプリケーションのバックアップを複数の場所に分散しています。停止や災害が発生した場合でも、企業は影響を受けていない環境のリソースを使用して迅速に復旧し、運用を再開することができます。ビジネス継続性が確保され、ダウンタイムが最小限に抑えられます医療: あらゆる形態の医療を扱う組織は、厳格なデータプライバシー規制を遵守する必要があります。機密性の高い患者データは、安全なオンプレミス環境または安全なプライベートクラウドに保存できます。パブリッククラウドのリソースは、機密性の低いデータの処理と、重要度の低いアプリケーションの実行のために確保されています

Veeamを使ったハイブリッドクラウドインフラストラクチャの高速化

ハイブリッドクラウドインフラストラクチャを採用することで、最も機密性の高いデータのセキュリティを強化して、ワークロード処理の効率性を高めることができ、企業はエコシステムのシームレスな運用の継続に必要なツールとアクセスを得ることができます。需要の高い時期にはパブリッククラウドを活用して必要なリソースをバーストさせ、需要が低迷している時期にはコンピューティングフットプリントを削減することで、組織はコスト効率を高めることができます

ですので、ハイブリッドクラウドバックアップに関わる複雑さに惑わされないようにしてください。こうした革新的なインフラストラクチャソリューションがあれば安心です。Veeamでは、AWS、Microsoft Azure、Google Cloudといった主要なパブリッククラウドプラットフォームに対応する、標準化された保護と包括的なサポートを提供しています。Veeam独自のデータ保護製品を使用して、業界をリードする1つのプラットフォームで混在環境をシームレスに保護し、ハイブリッドクラウドアプローチの使用に対する信頼性を高めます。

ハイブリッドクラウドバックアップの詳しい管理方法については、『No.1 ハイブリッドクラウドバックアップガイド』をダウンロードしてお読みください。

Read more
Sam Nicholls
Sam Nicholls

Principal, Product Marketing

Veeam強化リポジトリのためのハードウェアの選択と環境の設定

Veeam強化リポジトリは、Veeamのネイティブソリューションであり、Linuxサーバー上のVeeam Backup & Replicationのバックアップに信頼できるイミュータビリティを提供します。汎用Linuxサーバーをサポートすることで、Veeamはベンダーロックインなしに常にハードウェアの選択肢を提供します。また、Veeamでは、顧客は信頼できるLinuxディストリビューション(Ubuntu、Red Hat、SUSE)を使用でき、「カスタムVeeam Linux」の使用を無理強いされることはありません。

強化リポジトリは、3-2-1ルールに準拠し、強化リポジトリをオブジェクトストレージのオブジェクトロックやWORMテープなどの他の書き換え不能オプションと組み合わせながら、Veeamバックアップのイミュータビリティを確保するのに役立ちます。このブログ記事では、後から強化リポジトリとして使用する物理サーバーの環境を選択して準備する方法を説明します。今後のブログ記事では、準備と計画、Linuxシステムの保護、Veeam Backup & Replicationへの統合といったトピックを取り上げていく予定です

せっかちな場合は、内部ディスクを備えた(高密度の)サーバーを使用してください。このアプローチでは、新しい強化リポジトリノードごとに、CPU、RAM、RAID、ネットワーク、ディスク容量、I/Oパフォーマンスが増えるため、直線的に拡張できます。高密度のサーバーを満載したラックでは、約8 PBのネイティブ容量が得られます。Veeamのネイティブデータ削減とXFSスペース削減(ブロッククローニング)により、1つのラックで最大100PBの論理データが節約され、バックアップ速度は最大で420TiB/hです。

小規模な環境でも心配はいりません。2つのラック ユニット、12のデータ ディスク、オペレーティング システム用の2つのディスクから開始します。

ネットワーク

ネットワークは、強化リポジトリが目標復旧時点(RPO、消失可能な最大データ量)と目標復旧時間(RTO、リストアにかかる時間)の達成を支援する上で重要な要素です。「永久増分」バックアップの世界では、「永久増分」アプローチの低帯域幅要件のために、ネットワークが忘れ去られることがあります。「完全リストア」シナリオを想定して設計することをお勧めします。好みの計算ツールを使用し、復元要件に合わせることにより、帯域幅を見積もります。

さまざまなネットワーク速度で、10 TBのデータをコピーするのに要する時間の例を以下にいくつか示します。

1 Gbit/秒                    22時間45分

10 Gbit/秒                 2時間15分

20 Gbit/秒                 1時間8分

40 Gbit/秒                 34分

100 Gbit/s 14分未満

100 Gbit/sは、現実的には、今日の顧客がリポジトリ・サーバーに置く最速の速度です。HPEは 2021年にApollo 4510 サーバーで、このような速度が単一のサーバーで達成できることを示しました。

しかし、それは帯域幅だけではありません。また、冗長性も重要です。スイッチ・インフラストラクチャへのネットワーク・ケーブルが1本しかない場合は、単一障害点を意味します。強化リポジトリには冗長なネットワーク接続を使用することをお勧めします。お使いのネットワーク機能により、それが負荷分散を備えたアクティブ/アクティブ リンク (LACP/802.3adなど)となる場合もあれば、単純なアクティブ/パッシブシナリオとなる場合もあります。

LinuxはVLANタグを使用して簡単に設定できますが、KISS原則ではタグなしのスイッチポートの使用が必須となります。つまり、LinuxでVLANを使用せずにIPアドレスを直接設定するということです。現在のところ最小の冗長構成となるのが、2つのスイッチ/スイッチスタックへの2つの10 Gbit/s接続です(ネットワーク環境によって異なります)。

Linuxセキュリティアップデートを受信するには、Linuxディストリビューションのセキュリティアップデートサーバーにアクセスできる必要があります。

シンプルにするため、ファイアウォール外部への送信用のHTTPインターネットアクセスを許可します。インターネット全体ではなく、選択したLinuxディストリビューションの更新サーバーへの接続のみが許可されます。これに代替する手段として、ご希望のLinuxディストリビューションのミラーを設定して、そこからアップデートとソフトウェアを取得することもできます。

適切なサーバーベンダーとモデルを見つける

Veeamでは、強化リポジトリとして内部ディスクを備えたサーバーを使用することをお勧めします。内部ディスクを推奨するのは、攻撃者がストレージシステムにアクセスしてストレージ側の全てを削除できるリスクを排除できるからです。サーバー・ベンダーによっては、「Veeamバックアップ・サーバー」モデルを採用している場合があります。これらのサーバー・モデルは、バックアップ・パフォーマンス要件に合わせて最適化されており、ベンダーの推奨事項に従うのも良い考えです。

ご希望のLinuxディストリビューションがある場合は、そのLinuxディストリビューションで認定されているモデルを選択するのが理にかなっています。事前検証済みの設定により、Linuxを操作する時間を大幅に節約できます。大手ブランドには通常、Ubuntu、Red Hat(RHEL)、SUSE(SLES)など、主要なLinuxディストリビューションと互換性のあるサーバーがあります。

以前、HPEについて言及したように、CiscoにはS3260シリーズおよびC240シリーズのVeeamを対象とした「シスコ検証済み設計」があります。Veeamとしては、以下の必須要件を満たしてさえいれば、どのサーバーベンダーでも技術的には問題ありません。

バッテリ駆動のライトバックキャッシュ(または同様の技術)を搭載したRAIDコントローラ

障害予測分析機能を備えたRAIDコントローラーを強く推奨

ディスクが多数(50個以上)存在する場合、RAIDコントローラの速度制限(多くの場合、約2GByte/秒)があるため、通常は複数のRAIDコントローラーが有効

オペレーティング・システムとデータ用の分離されたディスク

オペレーティングシステムにはSSDを強く推奨

冗長電源

必要なリンク速度を持つ冗長ネットワーク(上記参照)

Veeamではデフォルトで非常に高速なLZ4圧縮が使用されるため、CPU速度はそれほど重要ではありません。サーバーベンダーが提供するどのようなサーバーでも問題ありません。多くのCPUコアは、多くのタスクを並行して実行するのに役立ちます。RAMは、CPUコアごとに4 GBがベストプラクティスでは推奨されています。16コアCPU×2個を選択した場合は、128 GBのRAMが最適です。このようなサイジングは「単純化しすぎている」ように聞こえるかもしれませんが、私たちのテストや本番環境では何年も問題なく機能しています。

基本的なサーバー設定

Linuxオペレーティングシステムをインストールする前に、いくつかの設定を行う必要があります。前述のように、オペレーティング・システムとデータは異なるディスク上で分離されています。正確には、異なるRAIDセット。

Linuxオペレーティング システムの場合、専用のRAID 1が使用されます。100 GBもあれば十分です。データディスクの場合、ほとんどの顧客がRAID 10よりも費用対効果の優れたRAID 6/60を選択します。RAID 5/50やその他のシングルパリティオプションは、安全上の理由から推奨されません。RAID 6/60は、少なくとも1つのスペア ディスクを「ローミング構成」で構成する必要があります。つまり、故障したディスクはスペアディスクで交換でき、本番ディスクになります。

サーバにはライトバックキャッシュ付きの適切なRAIDコントローラが装備されているため、内部ディスクキャッシュを「無効」に設定する必要があります。推奨されるRAIDストライプサイズは、サーバーベンダーによって文書化されている場合があります。情報が提供されていない場合は、128 KBまたは256 KBが適正な値となります。

UEFIセキュアブートを有効にして、署名されていないLinuxカーネルモジュールがロードされないようにします。

ディスクの破損について通知を受け取る方法は?

サーバー/Linuxシステムを強化する際の最大の課題の1つは、障害が発生したディスクに関する通知を受け取る方法です。最新のすべてのサーバーには、「帯域外」管理があります(HPE iLO、Cisco CIMC、Dell iDRAC、Lenovo XCCなど)。ディスクとRAIDのステータスを表示し、ディスクの障害について電子メールで通知できます。このタイプの通知には、後でLinuxで何も構成する必要がないという利点があります。管理インターフェイスで多要素認証を構成できる場合は、それを使用することをお勧めします。

マルチファクター認証は、帯域外管理システムが過去に抱えていた多くのセキュリティ問題を防御するものではないことを心に留めておいてください。顧客はセキュリティ上の理由から、帯域外管理システムの使用を避けることがよくあります。攻撃者が帯域外管理の管理者になった場合、オペレーティングシステムに触れることなく、強化リポジトリのすべてを削除できます。妥協案としては、管理ポートの前にファイアウォールを配置し、発信通信のみを許可することが考えられます。これにより、ディスクに障害が発生した場合に電子メール通知を送信できます。しかし、ファイアウォールはすべての着信接続をブロックするため、攻撃者は管理インターフェイスを攻撃/ログインできません。

デザインは次の例のようになります。

帯域外管理ポートを完全に取り外すことにした場合、障害が発生したディスクに関する通知は、Linuxオペレーティングシステム上で実行されているソフトウェアで構成できます。サーバーベンダーは、オペレーティングシステム内部からステータスを表示したり、RAIDを設定したりするためのパッケージを提供することがよくあります(例: http://downloads.linux.hpe.com/ )。これらのツールは通常、電子メールを直接送信できますが、スクリプトを使用して構成できます。ベンダー固有ツールのスクリプト作成と設定は、この記事の範囲外です。

もう一つの選択肢は、物理的またはカメラによる監視です。毎日テープを交換していて、強化リポジトリサーバーのステータスLEDを物理的に確認できる場合は、これを回避策にできます。また、強化リポジトリサーバーに向けるカメラを設置したお客様の声も聞いたことがあります。その後、お客様はカメラを介してディスクのLEDを定期的にチェックします。

まとめ

Veeamを使用すれば、イミュータブルなストレージや、WORM準拠ストレージへのVeeamバックアップの格納も簡単です。非常に多くのベンダーとオプションがあるため、サーバーハードウェアの選択は困難な場合があります。次の手順に従って、選択肢を制限し、決定をスピードアップできます。

リポジトリで必要なディスク容量を 計算します。ご希望の(かつVeeamがサポートしている)Linuxディストリビューションを選択します(Veeamのお客様の間では、UbuntuとRHELが最も人気があります)。Linuxディストリビューションのハードウェア互換性リストをチェックして、いくつかのベンダー/サーバーモデルを確認してくださいサーバーベンダーに相談して、要件に合ったソリューションを提供するように依頼します

サーバーベンダー側からのアドバイスがない場合は、次の点を確認してください。

SSDを使用する場合、IOPSは問題ありません。回転ディスクを使用する場合は、純粋なディスク領域だけでなく、I/O制限にも注意してください。ディスクが提供できる速度は、アクセスパターン(シーケンシャルかランダムか)に依存するため、厳密なルールはありません。控えめに計算すると、RAID 60ではディスクあたり10〜50 MByte/sです。シーケンシャルリードでは、7k NL-SASディスクは80 MByte/sまたはそれ以上の速度を実現できます(これにはすべてのRAIDオーバーヘッドが含まれます)上記で計算したリンク速度の2XネットワークカードCPUとRAMについては、Read more
Hannes Kasparick
Hannes Kasparick

Senior Analyst, Product Management

ランサムウェア対策:デジタル世界を守る

ランサムウェアは、多くの企業が直面している問題です。『 2023ランサムウェアトレンドレポートによると、調査対象企業の85%が過去12ヶ月に少なくとも1回のサイバー攻撃を経験しています。影響を受けた企業データのうち、回復できたのはわずか66%でした。ランサムウェアが脅威であることは紛れもない事実ですが、防御戦略を立てることでリスクを大幅に軽減できます。

同じ統計によると、これらの企業のうち16%は身代金を支払っていません。回復できたのは、堅牢なランサムウェア防止システムを導入していたからです。

ランサムウェア対策とは、攻撃のリスクを軽減するために実施できる、一連のプロアクティブな手段のことです。サイバー攻撃を阻止するには、堅牢なIDおよびアクセス管理(IAM)ポリシーを整備する必要があります。IAMを補完するため、SIEMやXDRなどの強力なセキュリティツールを用意して、セキュリティチームが脅威を検出、監視、調査、対応できるように支援する必要があります。最後に、攻撃が成功した場合に迅速かつクリーンな復元ができるように、フェイルセーフなバックアップセットを確保します。これらの対策には、以下などがあります。

堅牢なIDとアクセスの制御

メールのセキュリティ

ネットワークのセグメント化

定期的なソフトウェアアップデート

一貫性のある従業員教育

Webブラウザのセキュリティ

エンドポイントの強化

2つ目の目的は、安全で書き換え不能なバックアップとスナップショットを確実に入手して、攻撃を受けた場合にデータの復元を容易にすることです。

ランサムウェアについて:簡易ガイド

ランサムウェアは、被害者の情報やデータを暗号化する悪意のあるソフトウェアです。FBIによると、サイバー犯罪者がデバイスやアプリにアクセスするために使用する一般的な方法は次のとおりです。

フィッシング:マルウェアをホストするサイトへのリンクが含まれたメール、テキストメッセージ、またはソーシャルメディアの投稿

ドライブバイ攻撃:訪問者のデバイスやシステムにマルウェアをダウンロードさせる、感染したWebサイトへの誘導

ソフトウェアの欠陥の悪用:エンドポイントやサーバーにおけるソフトウェアの脆弱性を通じたシステムへのアクセスの奪取

感染したリムーバブルドライブ:悪意のあるウイルスやマルウェアが仕込まれたUSBなどのリムーバブルドライブの挿入によるデバイスの感染

ソーシャルエンジニアリング攻撃:これらの攻撃は、悪意ある行為を目的に、企業の従業員や請負業者を標的にして、被害者に機密情報を漏えいさせます。

サイバー犯罪者は、システムへのアクセスを奪取すると、暗号化の対象となるデータサーバーを探索するランサムウェアの実行ソフトウェアをダウンロードします。いったん暗号化されると、サイバー犯罪者は復号化キーと引き換えに身代金の支払いを被害者に要求します。また、これらの犯罪者は、機密データを含むファイルを不正に転送し、身代金を支払わなければそのデータを公開または販売すると脅迫することもよくあります。

残念ながら、身代金の支払いが常にうまくいくとは限りません。4件中1件は、復号化キーに欠陥があります。キーが機能しても、暗号化されたデータのうち、復元できるのは平均でわずか55%に過ぎません。

ランサムウェア対策の重要な役割

ランサムウェア攻撃は、サイバー犯罪者にとって非常に有益です。金融犯罪捜査網(Financial Crimes Enforcement Network)によると、2021年のランサムウェアインシデントによる被害総額は約$12億に上ります。また、ランサムウェアインシデントから復旧するまでに平均で3週間半かかるという事実も、同様に憂慮すべき事実です。インシデントが発生すると、企業は多額の経済的損失や風評被害を被る可能性がありますが、顧客の住所、社会保障番号、クレジットカード情報など、個人を特定できる情報(PII)が公開されたり、闇市場で販売されたりするため、顧客も同様に影響を受けます。

このことから、ランサムウェア攻撃を防ぎ、被害を軽減する戦略を確実に実施しておくことが重要な役割が浮き彫りになります。ビジネスが攻撃を受けるのを防ぐ確実な方法というものは存在しません。ですが、包括的なサイバー回復性戦略を策定することで、攻撃の影響を軽減し、機密情報を復元できる可能性を高めることができます。

次のセクションでは、ランサムウェア攻撃を阻止する方法について説明します。

強力なランサムウェア対策戦略の策定

ランサムウェアの撃退には、多層的な戦略が不可欠です。複数の防御層が必要なのは、ハッカーが1つの層を侵害した場合でも、防御が維持されるためです。1つですべてを賄えるソリューションは存在せず、予防戦略や復元戦略を組み合わせて総合的な対策とします。

複数のレイヤーにより、ランサムウェア攻撃をさまざまなポイントで、さまざまなタイプの攻撃に対して防ぐことができます。こうした戦略には、従業員トレーニング、システムの攻撃防御能力の強化、そしてデータ回復力の強化などがあります。

強力な認証と承認:アクセスの保護

防御の最前線となるのが、パスワードを使わない強力なIDおよびアクセス管理戦略です。パスワードは簡単にハッキングされ、覚えて維持するのが困難です。組織では、従業員とワークロードに対して、パスワードレスアプローチまたはパスキーへ移行することを強くお勧めします。

企業の情報、システム、デバイスへのアクセスに 多要素認証 (MFA)を確実に実装することで、ゼロトラストアプローチを強化します。たとえば、Windows Helloのようなパスワードレスソリューションと、PINや、認証のために位置情報の物理的検証を要求するMicrosoft Authenticatorなど、第2の認証形式を併せて活用します。

セキュリティソリューション:最良のパートナー

セキュリティソリューションは、サイバーセキュリティチームがサーバーやオペレーティングシステムを攻撃から迅速かつ効果的に保護するための取り組みを支援するために存在しています。SIEMおよびXDRソリューションは、ネットワークトラフィックを監視し、異常なネットワークアクティビティやサイバー脅威を検出して、マークすることができます。ファイアウォールは、ネットワークとインターネットの間や、VPNとネットワークパーティションの間の不正なトラフィックを防止します。ウイルス対策ソフトウェアは、特にコンピューターウイルスやマルウェアを検出して遮断する一方、エンドポイントセキュリティは、コンピューター、プリンター、サーバー、IoTデバイスなどのネットワーク上のデバイスを保護します。クラウドベースのソリューションは、仮想化されたセキュリティを使用して、仮想マシン、サーバー、ネットワークを保護します。信頼できるセキュリティソリューションを選択し、セキュリティソフトウェアを最新の状態に保ちましょう。

アクセス制御とネットワークセグメンテーション

堅牢なアクセス制御機能を採用します。システムを分離して、感染の可能性を封じ込めます。脆弱で価値の高いシステムがインターネットに外部からアクセスできないようにします。最小権限の原則を採用して、ユーザーが業務を遂行する上で必要なリソースのみにアクセスを制限します。

メールフィルタリングとWebセキュリティ

メールは、ランサムウェアマルウェアを配布する一般的な手段の1つです。ハッカーは、これらの電子メールを本物に見えるように偽装します。堅牢なメールフィルターを設定し、フィッシング攻撃を検出して、堅牢なスパムフィルターを有効にします。Microsoft 365などのコラボレーションアプリには、高度なフィッシング対策機能が組み込まれています。その他にも、モバイルデバイスにおけるSMSや音声フィッシングなどの形態を取るフィッシングがあります。

ソフトウェアとシステムのアップデート:脆弱性の解消

完璧なソフトウェアなど存在しません。どれほど徹底的にテストを行ったとしても、脆弱性はどこかに必ず潜んでいます。サイバー犯罪者はこうした脆弱性を探し求めており、見つけた場合にはそれを悪用して、マルウェアの設置、データの窃取、ファイルの暗号化を行います。ハッカーがこれらの脆弱性を悪用するのを防ぐには、可能な限り早急にセキュリティパッチを適用することが極めて重要となります。サポート対象外の古いソフトウェアは、攻撃に対して特に脆弱です。

一貫性のある従業員トレーニングおよび意識向上

従業員は、セキュリティ体制を強化し、デジタル資産を保護する上で重要な役割を果たします。従業員が自身と組織を保護できるように、従業員のトレーニングと意識向上の取り組みに投資しましょう。KnowBe4Gophishといった教育ツールを使用して、様々な形態のフィッシング攻撃とその対応方法について従業員をトレーニングします。無料Wi-Fiはハッカーには格好の標的のため、個人および企業のデバイスでの使用は避けるべきです。サイバー犯罪者が、誤解を招くURLをどのように使用しているかを紹介するとともに、広告にマルウェアを隠匿して感染させることが多い、海賊版Webサイトにアクセスする危険性についての認識を高めます。

安全なダウンロードの実践

ハッカーはファイル、アプリ、メッセージ、ブラウザにマルウェアを簡単に添付できるため、安全なダウンロード方法を採用することは極めて重要です。信頼できるサイトからのみファイルまたはソフトウェアをダウンロードし、これらのサイトにブラウザのアドレスバーに「https」があることを確認してください。「http」サイトは安全ではないため、避けてください。また、通常はアドレスバーの左側(サイトのURLの前)に表示される、盾のエンブレムまたは鍵のマークがあるのを確認してください。サイトの認証情報が疑わしい場合は、「概要」ページと、住所や固定電話番号などの情報を確認してください。不審なWebサイトや、メールまたはメッセージアプリ内の不明なリンクからファイルをダウンロードしないでください。不審なメールを報告する。添付ファイルを開く前に、セキュリティソフトウェアでスキャンすることをお勧めします。

バックアップの力:データの回復力

バックアップは、決意を定めたランサムウェア攻撃に対抗する最も重要かつ最終防衛線です。最初のステップとなるのが、バックアップおよびレプリケーションコンソールの保護です。というのも、コンソールがないと、何をすればよいかが分からなくなってしまうからです。デジタル資産を強化し、強力なIDとセキュリティ対策を講じるだけでなく、貴社の復旧と貴社データのリストアを迅速に行えるように、構成設定をバックアップしておくことは欠かせません。これにより、コンソールが破損していたり、暗号化されたりした場合に、そのコンソールをリストアできます。また、次のガイドラインに従って、ランサムウェア攻撃からバックアップストレージを保護することも極めて重要です。

定期的なバックアップの実行:最新のバックアップは、最新のトランザクションが含まれたバックアップであるため、最も重要なバックアップです。定期的なバックアップで、ランサムウェア攻撃が発生した際のデータ消失を最小限に抑えます。トランザクションの量、その価値、および複数のバックアップのコストに見合った頻度を選択してください。

イミュータビリティの確保:バックアップをイミュータブルにします。つまり、バックアップの上書き、変更、修正ができないようになります。イミュータビリティは、ランサムウェア攻撃や意図せぬ削除から保護します。

バックアップの暗号化:バックアップは常に暗号化してください。暗号化されていると、ハッカーがバックアップにアクセスしたり、それを傍受したりしても、バックアップを読み取ったり窃取したりすることはありません。これにより、バックアップのセキュリティがさらに強化されます。

バックアップの検証:バックアップを検証する必要があります。使用するバックアップソフトウェアによっては、破損していたり、不完全であったり、使用できなかったりするバックアップが作成される可能性が十分にあります。バックアップを確認する最善の方法は、仮想マシンをセットアップしてテスト リストアを実行することです。または、ファイルレベルでバックアップをチェックする自動バックアップ検証ソリューションを使用します。また、リストアプロセス中にデータを暗号化する可能性のあるマルウェアの痕跡がないか、バックアップをスキャンします。

バックアップへのアクセスを制限:アクセスをできるだけ少数のキーパーソンに制限し、高レベルの認証手順を使用してアクセスを制御します。バックアップサーバーをオンラインシステムから分離します。

3-2-1-0 バックアップルールの採用:オンラインデータセット以外に3つの冗長バックアップセットを保持します。2種類以上の異なるメディアを使用してデータを保存します。これは、ハード・ドライブ、安全なクラウド・リポジトリ、またはテープのいずれであってもかまいません。簡単にアクセスできるように1つのコピーを企業システム内に保管し、もう1つのコピーはオフサイトのオフライン環境で安全に保管します。これにより、ランサムウェアや自然災害、その他の災害から保護されます。3-2-1-0バックアップルールの最後の桁である「0」は、バックアップをテストしてエラーがゼロであることを確認することの重要性を示しています。

結論:ランサムウェアに対する防御を強化する

ランサムウェアは今もなお脅威であり続けています。

同時に、サイバー犯罪者の手が及ばないイミュータブルバックアップにアクセスできた企業は、最小限の中断でシステムをリストアし、事業活動を再開することができました。

この成功は、以下のような複数の防御層を含む強力なランサムウェア防止戦略によってもたらされました。

強力なIDおよびアクセス管理アプローチ

脅威の検知、監視、調査、対応を専門とするセキュリティソリューションベンダー

堅牢なアクセス制御とネットワークセグメンテーション

メールフィルタリングとWebセキュリティ

脆弱性を防ぐための頻繁なソフトウェアアップデートとパッチ

一貫した従業員教育と意識向上プログラム

安全なダウンロードの実践

最後の保護レイヤーは効果的なバックアップ戦略で、異なる場所、異なるメディア、オフラインに保存された複数の冗長バックアップに依存しています。これをサポートするのが、不変性、バックアップの暗号化、バックアップの検証です。他の全ての対策が突破された場合、安全なランサムウェア対応復元ソリューションが、ランサムウェアに対して最も優れた保護機能を果たします。

あらゆる企業にとって、ランサムウェアの脅威は増大しています。統計によると、ほとんどの企業がランサムウェア攻撃を経験しています。バックアップが暗号化されていたために、多くの企業が身代金の支払いを余儀なくされました。ほとんどの企業は、こうした攻撃からの復旧の際、平均3週間以上のダウンタイムを経験しています。

関連コンテンツ

ランサムウェア対策における6つのベストプラクティス

ランサムウェア対策の7つのベストプラクティス

Read more

Misha Rangel
Misha Rangel

Director, Enterprise Product Marketing

NISTフレームワークをデータ保護に活用

今日のデータドリブンの世界では、情報は最も重要な資産であり、機密データの保護は組織のセキュリティにとって不可欠になっています。米国国立標準技術研究所(NIST)は、企業のデータ保護を支援する 包括的なサイバーセキュリティフレームワーク (CSF)を提供しています。このフレームワークを理解して実装することで、組織はサイバーセキュリティ態勢を強化し、潜在的なリスクを軽減できます。

NISTサイバーセキュリティフレームワークの概要と利点

NISTデータ保護フレームワークは、データを保護するためのガイドライン、基準、ベストプラクティスを提供します。米国国立標準技術研究所によって開発されたNISTサイバーセキュリティフレームワークは、組織が堅牢なサイバーセキュリティプログラムを策定するのを支援しており、5つのコア機能(識別、保護、検出、対応、復元)に基づいています。

識別:この機能は、データ関連リスクの理解と管理に重点を置いています。これには、資産管理、リスク評価、および組織のデータランドスケープの包括的な理解の開発が含まれます。

このフレームワークにより、組織は体系的なアプローチをとって、データ関連のリスクを特定して管理できます。識別機能を実装することで、企業はデータ資産と関連するリスクを包括的に理解し、情報に基づいた意思決定を行い、リソースを効果的に割り当てることができます。

保護:この機能は、データの機密性、整合性、および可用性を確保するためのセーフガードを実装することを目的としています。アクセス制御、データ暗号化、従業員向けのセキュリティ意識向上トレーニングなどの活動が対象です。

検出:検出機能には、継続的な監視とプロアクティブな脅威検出が含まれます。これには、セキュリティ・イベント・ログ、侵入検知システム、異常検知などのアクティビティが含まれます。

フレームワークの「保護」および「検出」機能は、組織がプロアクティブなセキュリティ対策を確立するのに役立ちます。アクセス制御、暗号化、継続的な監視を導入することで、組織はデータ侵害を防止したり、早期に検出したりして、潜在的な影響を最小限に抑えることができます。

対応:この機能は、サイバーセキュリティインシデントの発生時に組織が取るべき手順を概説します。これには、インシデント対応計画、通信プロトコル、外部の利害関係者との調整が含まれます。

対応機能は、サイバーセキュリティインシデントに効果的に対応するために必要なツールと手順を組織に提供します。インシデント対応計画を策定することで、組織はインシデントによる被害を最小限に抑え、タイムリーなコミュニケーションを確保し、業務を効率的に復旧することができます。

復元:復元機能は、セキュリティ侵害後のサービスと操作の復元に重点が置かれています。これには、バックアップと復元の戦略、インシデント後のレビューの実施、将来のインシデントに向けたレジリエンスの向上が含まれます。

復元機能は、セキュリティインシデント発生後のビジネス継続性の確保に重点が置かれています。バックアップと復元の戦略を導入することで、組織はデータとシステムを迅速に復元し、ダウンタイムを削減し、運用を維持できます。

VeeamがNISTフレームワークの実装を導入する方法

サイバーセキュリティのフレームワークを導入するには、構造化されたアプローチが必要です。Veeamは、いくつかの主要機能を提供することで、企業がNISTサイバーセキュリティフレームワークを適用するのを支援できます。組織による、以下のデータ保護の取り組みの連携をVeeamがどのように支援するかご覧ください。

データのバックアップと復元:Veeamは、NISTフレームワーク‘の「保護」および「復元」機能と連携する、堅牢なバックアップおよび復元ソリューションを提供します。Veeam Data Platformを導入することで、組織は重要なデータの定期的なバックアップを作成し、アベイラビリティと整合性を確保できます。サイバーセキュリティインシデントが発生した場合、Veeamを使用することで、組織は迅速にデータを復元して、通常業務を復旧することで、ダウンタイムや中断を最小限に抑えることができます。

データの暗号化:暗号化はデータ保護において極めて重要な側面であり、Veeamは機密情報を保護するために強力な暗号化機能を提供しています。保存中および転送中のデータを暗号化することにより、組織はデータの機密性を保護するための要件を満たすことができます。

アクセス制御と認証:Veeamでは、「保護」機能のもう1つの重要な要素である、アクセス制御手段を企業が実装するのを支援します。Veeamにより、組織はきめ細かいアクセス制御を実施し、許可された人員のみがデータにアクセスしてデータを変更できるようにすることができます。さらに、Veeamは、マルチファクター認証を含む様々な認証メカニズムをサポートして、データアクセスのセキュリティを強化します。

継続的なデータ監視:NISTフレームワークは、潜在的な脅威を早期に検出するための継続的な監視の重要性を強調しています。Veeamは、組織がデータ保護環境を効果的に監視できるようにする監視機能とレポーティング機能を提供しています。組織は、 ランサムウェア攻撃などのセキュリティ侵害を示す疑わしいアクティビティや異常を プロアクティブに特定して、迅速に対応できるようになります。

インシデント対応とレポート:Veeamにより、インシデント対応の計画と実行を容易に行い、「対応」機能と連携します。Veeamのソリューションにより、組織は包括的なインシデント対応計画を作成し、通信プロトコルを確立し、セキュリティインシデント時の措置を調整することができます。Veeamでは、レポート作成機能も提供されているため、組織はサイバーセキュリティインシデントを文書化し、報告することができます。

セキュリティツールとの統合:Veeamはさまざまなセキュリティツールやテクノロジーと統合し、組織の全体的なサイバーセキュリティ態勢を強化します。Veeamと、セキュリティ情報およびイベント管理(SIEM)システムの統合により、組織はデータ保護とセキュリティの状況を包括的に把握できます。この統合により、脅威の検出、対応の調整、コンプライアンス レポートの作成が向上し、NISTフレームワークの目標に沿ったものになります。

どこから始めればよいですか?

サイバーセキュリティフレームワークは、サイバーセキュリティリスクを管理し、セキュリティ体制を改善し、業界のベストプラクティスに準拠するための包括的なフレームワークを組織に提供するため、セキュリティにとって重要です。セキュリティ体制を改善するための最初のステップは、組織に固有のリスクを理解することです。組織の現在のサイバーセキュリティ態勢を初期評価することで、データ保護対策の強み、弱み、ギャップを特定できます。環境を把握したら、重要なデータ資産に対するリスクに基づいてNIST機能の実装に優先順位を付け、実装計画を作成して、アクティビティ、リソース、タイムラインを概説できます。

Veeamは包括的なデータ保護ソリューションを提供し、企業がサイバーセキュリティフレームワークを適用するのを支援する上で重要な役割を果たしています。Veeamの機能の活用によって、組織はデータ保護の実践を強化し、リスクを軽減し、サイバーセキュリティ態勢を完成させることができます。最後に、Veeamのソリューションをサイバーセキュリティフレームワークと併せて導入することで、組織はデータ資産を効果的に保護し、サイバーセキュリティインシデントに対応して、価値ある情報を守ることができるようになります。データが企業にとって最も貴重な資産である現代において、データ保護に妥協の余地はありません。

Read more
Jeff Reichard
Jeff Reichard

Senior Director, Enterprise Strategy

WORM(Write Once, Read Many)とは?

業界全体でデータのプライバシーと保持に関する法律の厳格化が進む中、コンプライアンスへの対応は困難なタスクに思えるかもしれません。そこで今回ご紹介するのが、一度書き込んだデータを何度も読み込める「Write Once Read Many」(WORM)ストレージです。データを所定の場所にしっかりと固定し、偶発的な変更や意図的な脅威からデータを保護するように設計された、わかりやすいソリューションです。 Read more
Alexey Strygin
Alexey Strygin
Marco Escobar
Marco Escobar

Solutions Architect

インスタントデータバックアップとインスタントリカバリ:ダウンタイムの最小化

データ消失の危機に直面したときの胃が痛むような感覚は、ご存じのとおりです。業務を円滑に進めることを使命とするITプロフェッショナルとして、ダウンタイムは許されません。しかし、データ消失からの復旧が、時間とストレスの多い試練である必要がないとしたらどうでしょうか。新しいインスタントデータバックアップおよびリカバリソリューションを使用すると、数時間や数日どころか数分で業務を再開できます Read more
Billy Cashwell
Billy Cashwell

Principal Product Marketing Manager

Veeam Data Platformでデータの回復力を容易に実現する

データレジリエンスに関して、Veeam Data Platformは比類のない速さで、企業の要求とコンプライアンスの課題に応えるために必要なものを提供し続けています。1年前のインラインマルウェア検出の提供から、今日では幅広いプロアクティブな脅威検出機能が提供されるまで、データ、ひいてはビジネスの防御に関して、お客様がかつてないほど有利な立場に立っています。  Read more
Matt Crape
Matt Crape

Senior Technical Product Marketer

ハイアベイラビリティ仮想化のベストプラクティス

一貫した運用パフォーマンスを必要とする企業にとって、ハイアベイラビリティ(HA)仮想化には実行する価値があります。HAでは、常にアクセス可能で障害に対する回復力があり、迅速に復旧してダウンタイムを最小限に抑えるシステムを設計できます。中断が重大な結果をもたらす可能性のある今日のビジネス環境では、これは特に重要です。 Read more
Matt Crape
Matt Crape

Senior Technical Product Marketer

サーバーバックアップガイド:バックアップ戦略の作成

企業では、顧客記録や財務記録から電子メール、ビジネスに重要なドキュメントまで、膨大な量の情報を保存するのが一般的です。サーバーはほぼあらゆるものに使用されるため、どのようなビジネス継続性計画であれサーバーのバックアップは必須です。 Read more
Matt Crape
Matt Crape

Senior Technical Product Marketer

VeeamインシデントAPIとは?

VeeamインシデントAPIは、Veeam SoftwareがVeeam Backup & Replication v12.1内で提供するアプリケーションプログラミングインターフェイスです。 Read more
Ivan Cioffi
Ivan Cioffi

Technical Advisor, GSI - Product Management, Alliances