VMware Cloud on AWS VMware Cloud クラウド

ランサムウェアの復旧対策が重要な理由

ランサムウェアの被害が拡大しています。サイバー攻撃に備えてあらゆる企業や組織でセキュリティ対策の見直しと再武装が急務とされていますが、そこで忘れてはいけないのが「復旧対策」です。今回は、ランサムウェアの復旧対策の重要性と VMware が提供する解決策についてお伝えします。

 

目次

 

 

 

ランサムウェア被害の実態

ランサムウェアの対策としては「検知」や「防御」に目が行きがちですが、「復旧」の対策も重要だということが被害の実態を見ると明らかになります。警察庁が公表している「令和4年におけるサイバー空間をめぐる脅威の情勢等について」を参考にして振り返ってみましょう。ここには、警察庁に報告されたサイバー攻撃に関する被害の実態がまとめられています。

はじめに「バックアップの取得と活用状況」に関する調査結果からいくつか情報をピックアップして「図1」にまとめました。被害にあった企業や組織全体の83%がバックアップを取得していたと回答しています。しかし、そのうち81%はデータを復元できなかったことが判明しました。復元できなかった理由では「暗号化された」という回答が72%を占めています。

図1 出典「令和4年におけるサイバー空間をめぐる脅威の情勢等について | 2023年3月 – 警察庁」(URL:  https://www.npa.go.jp/news/release/2023/20230314002.html – 外部サイト)

 

ランサムウェアは、企業や組織の大切なデータを暗号化して身代金を要求します。簡単にデータを復旧させないために、バックアップシステムを攻撃してバックアップデータも暗号化します。これらの攻撃を回避するためには、バックアップシステムが攻撃されないようにする工夫や、バックアップデータを暗号化させない仕組みを採用することが非常に重要であることがわかります。

次に「復旧期間や復旧費用」の調査を見てみましょう(図2)。復旧に要した期間では、全体の27%が「1ヶ月以上かかった」と回答しています。また、復旧費用では全体の46%が「1000万円以上」と回答しています。さらに、業務に与えた影響を見ると、13%が「全ての業務が停止した」と回答しています。

図2
出典「令和4年におけるサイバー空間をめぐる脅威の情勢等について | 2023年3月 – 警察庁」(URL:  https://www.npa.go.jp/news/release/2023/20230314002.html – 外部サイト)

 

ビジネスを支える IT システムの復旧だけで2ヶ月以上かかったという状況や、一時的であっても全ての業務が停止する事態は、企業にとって極めて深刻です。長期に渡ってビジネスやサービスが停止すると「ビジネス機会の損失」につながります。同時に「ブランドイメージ低下」や「社会的信用の失墜」など、将来のビジネスに対しても悪い影響を与える可能性があります。このような事態を避けるためにも、復旧対策が重要であることは明白です。

 

 

 

注目される災害対策インフラの活用

ランサムウェアの攻撃を受けた後、できるだけ早くビジネスを再開するにはどのような対策が考えられるのでしょう? 一つの方法として、事業継続性計画(BCP)の一環で対処するという考え方があります。具体的には、IT システムの災害対策インフラを活用してビジネスの継続性を維持するという方法です。

最近の調査では、IT の災害対策インフラでフェイルオーバー(リカバリサイトへの業務の切り替え)を発動した理由の中で、最も多かった回答が「ランサムウェアの被害」だったということがわかっています(図3)。ランサムウェア攻撃によって本番データセンターの利用が不可能に陥ったため、リカバリサイトに切り替えてビジネスを継続したということです。また、災害対策が重要になっている理由についても「ランサムウェア(ランサムウェアの脅威に対応するため)」という回答が最も多く挙げられています

図3 出典:The State of Enterprise Data Resiliency and Disaster Recovery (2019年 – Datrium 社)

 

ランサムウェア被害から復旧する手段として、災害対策の仕組みを利用することはとても理にかなっています。ランサムウェアを含めたサイバー攻撃への対策として「検知」や「防御」を実現するソリューションを導入しておき、可能な限り被害を未然に防ぐことはもちろん重要です。さらに、それらの対策でも防ぎきれない攻撃を受けてしまった場合に備えて、BCP の対応シナリオに「ランサムウェアによる被害」も想定しておくことが理想と言えます。有事の際には、災害対策インフラを活用して迅速にビジネスを復旧させることができます(図4)。

図4 災害対策を活用したランサムウェアの復旧対策イメージ

 

 

 

ランサムウェア攻撃を回避するバックアップと災害対策の要件とは

残念ながら話はそれほど簡単ではありません。ランサムウエアによって災害対策環境(復旧先のインフラ)まで攻撃され、BCP を発動して想定通り復旧できなかった、という被害の事例もあります。警察庁の報告結果も踏まえると、ランサムウェアを意識した災害対策を採用する場合、そのインフラには下記の要素や仕組みが必要だと言えます。

 

1. バックアップデータを攻撃から守る仕組みを採用する

バックアップシステムはランサムウェアの攻撃対象です。社内 LANで接続されていないような攻撃が困難な場所にバックアップデータを確保する対策や、本番サイトとバックアップシステム自体の認証機構(認証方式や認証要素など)を分けて管理するなどの対策が必要です。同様にバックアップデータを暗号化攻撃から守るなどの対策(一度書き込んだデータに後から変更が加えられないイミュータブルなバックアップ機能など)が必要だと言えます(図5)。

 

2. 本番サイトから隔離された安全な場所を準備する

ランサムウェアは、企業や組織に侵入してから社内 LAN を経由して攻撃範囲を広げます。また、ランサムウェアは社内で許可された通信を利用して攻撃するため、Firewall 機能だけで攻撃を防ぐことは困難です。したがって、物理的に離れているデータセンターやリモートオフィスであっても、ネットワークが接続されていれば攻撃を受けてしまいます。ランサムウェアを意識した災害対策インフラを採用する場合は、社内 LAN で接続されていない隔離されたインフラを準備しておくことが重要です(図5)。

 

3. 復元後の安全性をチェックできる仕組みを採用する

隔離された安全な環境で復元する時、復元するデータや OS、アプリケーションがランサムウェアの攻撃を受けていないことを確認する手段が必要です。この機能がないと、万が一復元したシステムにマルウエアが潜んでいた場合、再感染してします。また、復旧後の安全性が確認できなければ、ビジネスの再開を宣言することが難しくなります。ランサムウェア被害からの復旧するフェーズでは、安全性のチェック機能は必須だと言えます(図6)

 

図5 暗号化攻撃に備えてバックアップデータを守る仕組みが必要

 

図6 リカバリサイト側で復元した後の安全性チェック機能がなければビジネスの再開を宣言できない

 

 

 

ランサムウェア復旧対策に最適「VMware Ransomware Recovery」

VMware は、ランサムウェアの復旧対策として「VMware Ransomware Recovery for VMware Cloud Disaster Recovery(以下 Ransomware Recovery)」というクラウドサービスを提供しています(図7)。このサービスは、VMware の 災害対策サービス(DRaaS)の基盤に、ランサムウェアの復旧対策を賄う機能を実装しています。

図7 VMware Ransomware Recovery for VMware Cloud Disaster Recovery の概要

 

Ransomware Recovery では、本番サイトとは隔離されたクラウド上にバックアップデータを保持します。バックアップストレージのデータは、変更が加えられないイミュータブルなアーキテクチャを採用しているため、不正に暗号化される心配はありません(図8)。また、Ransomware Recovery は本番サイトで攻撃を受けてもリカバリサイト側でシステムを全面的に復旧することができます。リカバリサイトで復元する時には、OS を起動するタイミングで脆弱性のチェックやマルウエアの検知などを実行するため、安全性が確認できます。これによって、復元先で感染が広がるという事態を回避できますし、ビジネス再開の判断もできます。

図8 Ransomware Recovery の復旧プロセスイメージ

 

 

 

まとめ

今回は、ランサムウェア対策の中で「復旧」対策の重要性についてお伝えしました。また、BCP という観点で災害対策のインフラを活用する方法や VMware が提供する復旧対策サービス「Ransomware Recovery」の概要をお伝えしました。復旧対策は、バックアップシステムや製品という狭い領域で検討するのではなく、ビジネスの継続性を実現するインフラとして広い視野で検討する方が合理的です。ぜひ、ここでご紹介した VMware の復旧対策もご検討ください。

 

 

 

関連情報リンク