社会のデジタル化が進むにつれサイバー攻撃の脅威が増しています。近年では、侵入したシステムのデータを密かに暗号化し、復号と引き換えに身代金を要求するランサムウェア攻撃が増えています。対策の第一歩は攻撃を未然に防ぐことですが、完全に回避することはできません。そこで三菱電機インフォメーションネットワーク株式会社(以下、MIND)は、ランサムウェアに感染した後の最後の砦として、堅牢なバックアップシステムから速やかにデータを復旧する『ランサムウェア対策バックアップサービス』を提供しています。
目次
サイバー攻撃のビジネス化を象徴するランサムウェア被害の急増
最近のサイバー攻撃の傾向についてセキュリティ事業部 サイバーフュージョンセンター 第三課の小池貴弘氏は次のように分析します。
「最近の傾向として“ビジネス化”があります。一昔前は自分の技術力を誇示したいといった愉快犯による攻撃が大半を占めていました。しかし近年、情報資産の価値が飛躍的に高まったことで、金銭目的の攻撃が主流になりました」
ビジネス化したサイバー攻撃のひとつが「ランサムウェア攻撃」と呼ばれる手法です。ランサムウェア攻撃は、攻撃者が侵入したシステム上でランサムウェアという不正プログラムを実行し、データを暗号化して使用不能にする手法です。犯人は被害者に対してデータを元に戻す方法を教える代償として金銭を要求します。
「警察庁によると2022年の国内ランサムウェアの被害件数は前年比6割近く増加しています。また復旧や調査にかかった費用が1,000万円を超えるケースも4割強増加しています。業務停止による機会損失や社会的信用の失墜なども含め、企業にとって大きなリスクとなっています」(小池氏)
最近のサイバー攻撃では最初にバックアップデータが狙われる
小池氏は、サイバー攻撃への備えとして重要なのは多層防御だといいます。
「攻撃は複数の段階を踏んで行われますので、まず侵入を防ぐ、侵入をいち早く検知する、そして被害を最小化するといった多層防御を備えておく必要があります」
被害を最小化するうえで有効なのがバックアップです。ランサムウェアを実行されてもバックアップがあればデータを復元できます。ところが最近は攻撃の手口が進化し、不正侵入後にまずバックアップデータを破壊してから暗号化を実行することがあります。このため復旧の最後の砦となるバックアップデータをいかに守るかがランサムウェア対策の重要なポイントとなっています。
「攻撃側の手口も進化しています。どれほど対策を行っていてもランサムウェアの侵入を“防ぐことができない”という前提のもと、ランサムウェアを実行されたデータを迅速に復旧し、被害を最小減に抑えることが望ましいといえます」(小池氏)
堅牢なバックアップデータ保護と迅速な復旧へのサポートを提供
MINDのランサムウェア対策バックアップサービスは、 同社が提供する『MIND IaaSサービス』のラインナップのひとつです。
このサービスの概要について、クラウドプラットフォーム事業部 クラウドシステム部 サービス課の野澤崇氏は次のように説明します。
「MIND IaaSサービスでは、仮想マシンを提供する「CloudMinder CR」と物理サーバーごと提供する「Value Platform on Demand」の2サービスがあります。両サービスでは以前からオペレーションミスやシステムトラブルへの備えとしてバックアップオプションを提供してきました。ランサムウェア対策バックアップサービスは、そこにセキュリティという観点を加え新サービスとして打ち出したものです。新サービスではバックアップデータの堅牢な保護、ランサムウェアの確実な検知、迅速な復旧の支援をご提供します」
変更・削除不可能なバックアップシステムでデータを確実に保護
ランサムウェア対策バックアップサービスで使用するバックアップシステムは、独自OSで動く専用のハードウエアで、変更・削除ができない独自のファイルシステムを採用しています。厳密なアクセス管理も行われており、外部からの侵入やデータの破壊は極めて困難です。
お客様のシステムとバックアップサーバーを接続してデータを転送するような構成では、システムに侵入された時にバックアップシステムへの認証情報を盗まれる恐れがあります。
「ランサムウェア対策バックアップサービスでは、仮想マシンを管理する基盤上の仮想マシンの全体をバックアップします。仮想マシン側にはバックアップシステムの認証情報などは保有しません」(野澤氏)
このため、たとえお客様の仮想サーバーが攻撃者に乗っ取られたとしても、そこからバックアップシステムに侵入することはできません。この方式はお客様のシステムに変更を加える必要がないので、短期導入が可能という利点もあります。「すでにMIND IaaSサービスをご利用いただいているお客様であれば1週間以内でサービスを導入できます」(野澤氏)
この堅牢なバックアップシステムは、MIND IaaSサービスのバックアップオプションに標準採用されています。バックアップオプションをご利用されているお客様はすでに新サービスに自動的に移行しているほか、新規にバックアップオプションをご契約されるお客様はすべて新サービスによって保護されます。
また、MIND IaaSサービスをご利用いただいていない場合でもランサムウェア対策バックアップサービスの利用に関して個別でのご相談をお受けいたします。
「バックアップ対象のサーバーがお客様居室内やオンプレ環境、パブリッククラウド上にある場合、お客様のご要件に最適なバックアップ装置を選定し、ランサムウェア対策バックアップサービスのご利用についてもご提案させて頂きます。お気軽にご相談ください。」(野澤氏)
バックアップ情報からマルウェア被害を素早く検出し、ファイルを特定
新サービスには、バックアップ情報からマルウェアの被害を素早く検出する機能も提供しています。取得した複数世代のバックアップデータを機械学習により分析し、ランサムウェアにより暗号化されたファイルを素早く検出できます。
バックアップデータ分析による検知はシステムの早期復旧にも貢献します。
「この仕組みの大きな利点が、仮想マシンのどのファイルに異常があるのかまで具体的に特定できることです。復旧計画を遅らせる要因のひとつに、被害範囲の特定に時間がかかることが挙げられます。感染したファイルを正確に把握することで復旧計画が立てやすくなり、システムの早期復旧が可能になります」(野澤氏)。
お客様の目線に立ったサービス
システムがマルウェアによる被害を検知した場合には、MINDの技術担当者からお客様に報告し感染ファイルの一覧を提供します。お客様はそれを基に対応や復旧計画を策定できます。ファイルの復元作業はMIND 技術担当者が行います。
「感染ファイルへの対応は被害状況とお客様の方針によって変わります。バックアップから復元する場合には、当社にお伝えいただければ、ご指定のファイルやフォルダ―を任意の世代のバックアップから復元します」(野澤氏)
24時間365日対応の統合運用フィールドサービスを利用することもできます。
「緊急時には担当者と直接話したいと思いますので、メールに加えて、電話で対応を進めることもできます。こうしたお客様目線に立った、お客様との距離が近いのが当社サービスの強みです」(野澤氏)
今後のセキュリティサービスの提供について、次のように展望します。
「セキュリティに対する脅威は新しいものが次々と現れます。我々も最新の情報を基に、それらに対応したサービスをお客様にご提供できるよう開発を進めていきます」(小池氏)
「今回は、お客様のニーズを先取りする形で新しい脅威への対策をご案内しました。こうしたご案内と並行して、お客様の声を聞きながら、現場の困りごとや目指す将来像に合わせたご提案も継続していきます」(野澤氏)