ランサムウェアに対抗するため、必ず必要になるバックアップソリューション。システムやデータを保護するという目的は、ハードウェア障害などを想定した従来のバックアップと共通だが、サイバー攻撃への対応となるとこれまでの仕組みでは十分でないケースもあり、セキュリティ機能の拡充が求められる。前号に引き続き、バックアップソリューションベンダー各社に最新の戦略を聞いた。
（取材・文／日高 彰、藤岡 堯、安藤章司）

データ保護とセキュリティを統合

　ランサムウェアに対抗するためのバックアップ体制を整えるにあたっては、従来の仕組みとは異なるいくつかのポイントを押さえる必要がある。例えば、最近のランサムウェアの多くは、本番環境のみならずバックアップデータも暗号化し、リカバリーを妨げようと試みる。このため、何らかの形でバックアップデータを保護する仕組みが求められる。

　また、ランサムウェアはユーザー組織内への侵入後すぐに活動を開始するとは限らず、一定の潜伏期間をおいてからデータの暗号化を開始するものもある。ランサムウェアの侵入を検知できなかった場合、既に感染した状態のシステムがバックアップされることになる。そのデータを利用してリカバリーしても、またすぐにランサムウェアが活動を開始することになり、システムを復旧することはできない。バックアップデータを安全な状態に保ち続けることも必要だ。

　このような要件に対応するため、バックアップソリューションベンダー各社は、セキュリティ機能の拡充に動いている。

アクロニス・ジャパン
二重三重の防御で脅威を排除

　シンガポールとスイスに本社を置くアクロニスの日本法人アクロニス・ジャパンは、サイバー攻撃全体の8割方が身代金要求型ウイルスの「ランサムウェア」が占めると認識し、情報セキュリティ製品のラインアップを大幅に強化している。もともとの本業はバックアップソフト開発だが、これにセキュリティ製品を自社開発することで「バックアップのみならず情報セキュリティ全般に対処できる」（川崎哲郎社長）総合ベンダーへの移行を急ピッチで進めている。
 
　攻撃者はバックアップデータを利用したシステム復旧を回避する方法を把握しており、「最初にバックアップ機能を無効化する攻撃を仕掛けてくる」（佐藤匡史・ソリューションエンジニアリング統括部統括部長）ケースが増えているという。そこで、アクロニスでは脅威の識別、防御、検知、対応、復旧といった事実上の国際標準である米国立標準技術研究所（NIST）のガイドラインに沿ったかたちで、一連のセキュリティ対策の製品拡充を推進。川崎社長は「セキュリティ専門ベンダーに比べても遜色ないどころか、バックアップ機能を無効化されないようにする独自の保護機構によって総合的に見て優位性がある」と自信を示す。

　バックアップ先のデータセンター設備もアクロニス側で用意し、アクロニス製の改変されていない正規のバックアップソフトでしか接続できない非公開の設計にした。バックアップしたデータに万が一ウイルスが紛れ込んでも、復元するときに再度ウイルス駆除を行うなどして二重三重に脅威を排除する仕組みを構築している。

　アクロニスは投資会社などから直近で2億5000万ドル（約325億円）の資金を調達し、セキュリティ製品の一層の充実と、バックアップ用の自社運営データセンターを、向こう2年で今の2倍に相当する100カ所余りに拡充する計画を立てる。攻撃側がアクロニス製品を完全に乗っ取らない限りバックアップ機能を無効化することは不可能で、かつ乗っ取られないための独自のセキュリティ製品の開発に多額の投資を行っている。
 
　セキュリティ製品では、年内をめどに情報漏えい対策機能の強化に加えて、不審な振る舞いを検知して対処するEDR機能を追加する予定。祖業のバックアップ機能と情報セキュリティを融合させることで「非常に強固なランサムウェア対策が可能になる」（佐藤統括部長）と、バックアップソフト開発ベンダーならではの強みを生かすことで、セキュリティ専業ベンダーよりも優位に立つ構えだ。

　販売面では販売パートナー経由の販売を重視しており、アクロニスの製品群を活用して販売パートナーが独自のセキュリティ対策サービスを顧客企業に提供するOEM販売や、販売パートナーが自前で運営するデータセンター設備をバックアップ先に設定することを可能にするなど、柔軟な対応を行っている。例えば自治体など、域外へのデータの持ち出しが行えない要件を持つユーザーに対し、地場にデータセンターを持つSIerがサービスを提供するときに有効な手法だろう。

　販売パートナーの社数も急速に増えており、今年1～3月に新規に加入したパートナー社数は、昨年1年間の新規加入社数に匹敵する勢いだという。アクロニス・ジャパンでは幅広く販売パートナーの力を借りることで、自前のIT人材が限られる中堅・中小企業ユーザーでも堅牢なランサムウェア対策ができるよう努めていく方針だ。

Commvault Systems Japan
「フレームワーク」提案で被害の発生・拡大を防ぐ

　「『バックアップがあれば大丈夫ですよ』という言い方は少し危険だと思う」と話すのは、Commvault Systems Japanの松澤正芳・Metallic事業本部長だ。
 
　前述の通り、バックアップした時点でシステムがすでにランサムウェアに感染していた場合、それをリストアしても再度問題が起きる可能性がある。松澤氏は「われわれは、ランサムウェアから復旧するためのフレームワークの一つとしてバックアップがある、という形をとっている」とする。

　感染からデータを保護する方法や日常的に環境を監視することが欠かせないほか、ランサムウェアで被害を受けた際に、どの程度の期間で復旧できればいいかを検討し、影響をどれだけ減らせるか計画を立てることが求められる。加えて、リストアする場合にも、その前に感染経路をたどり、いつ感染したかを確かめた上でリストアを実施する。これらの一連の取り組みをフレームワーク化して、恒常的に回していくことが重要だという。

　同社ではユーザー企業のパートナーであるSIerなどと協力し、ユーザーの実情に応じたフレームワークづくりをサポートしている。「『何かあったときはこうしよう』という“避難訓練”的なシナリオを、きちんと作っていく時代になっている」と松澤氏は強調する。

　ソリューションとして注力するのは、マイクロソフトのAzure上に展開するバックアップサービス「Metallic BaaS」だ。バックアップサーバーそのものをクラウド上に移すことで、Azure自体のセキュリティ力も備わった堅牢性を有する。

　老舗バックアップベンダーとしての技術力を生かし、SaaSアプリケーションをはじめ、エンドポイント、ファイルサーバー、DBサーバー、クラウドストレージ、仮想マシン、コンテナ（Kubernetes）まで、新旧を問わずあらゆるワークロードに対応する。

　クラウドでの保管に不安を抱く顧客も少なくないことから、「BYOストレージ」として、Metallicのストレージ以外に顧客自身が用意するクラウド／オンプレミスストレージへの保存も可能とし、保存先の多様化を図っている。

　バックアップソリューションをめぐる市場環境に関し、松澤氏は「バックアップそのものが見直され、（導入の）優先順位が上がってきた」との実感を示す。従来はリストアに時間や手間のかかるバックアップを避け、ファイルサーバーを別ストレージに複製するだけで十分とする考えもあった。しかし、SaaSの利用拡大によって、データがサーバーだけでなく、エンドポイントデバイスにも多数残る状況もあり「繋がっているところは全部バックアップしないとまずい」（松澤氏）との認識が広まっているとみる。

　ランサムウェアによる被害の拡大以外に、社内におけるハラスメントや不正の検知、検証などのため、社内通信のログを長期的に保全したいニーズもバックアップの再評価に繋がっているようだ。

　将来的にはバックアップソリューションをデータレイクとし、分析のために活用することも見据えている。困ったときの「保険」であったバックアップは、価値を生み出すソリューションへと変貌しつつあるのかもしれない。

ルーブリック・ジャパン
「データのセキュリティ」を訴求

　ハイブリッドクラウド環境に対応したデータ管理製品を提供する米Rubrikにも、ランサムウェア対策で需要が集中している。グローバルでの2023年度（会計年度）第1四半期の年間ARR（サブスクリプション事業における年間経常収益）は前年同期比で倍の成長となり、多くの企業の間でデータ管理やセキュリティのあり方を見直す動きが高まっていることが見てうかがえる。日本法人ルーブリック・ジャパンでも2ケタ成長を継続しているという。
 
　ルーブリック・ジャパンの石井晃一カントリー・マネージャーは、「当社は『データセキュリティ』の考え方を推進しており、イミュータブル（書き換え・消去不可能）な追記型ファイルシステムを15年の製品出荷開始当時から提供していた。この機能を後からパッチのように追加したのではなく、ネイティブで実装していた点は他社と大きく違う部分だ」とし、データの安全性については、同社製品のベースとなるアーキテクチャーで当初から担保されていたと胸を張る。

　ルーブリックの製品では、一度データが書き込まれると変更や削除が不可となり、データの変更は追記によって行うイミュータブルファイルシステムを基本としている。また、データの書き込みは認証済みのAPIを通じた専用プロトコルでのみ行えるので、保護対象のサーバー上で活動するランサムウェアがバックアップデータに対して操作を加えることはできない。

　また、バックアップの際にファイルのメタデータ（属性情報）を合わせて取得する。これをクラウド側の機械学習／AI技術によって分析することで、本番環境に負荷を与えることなくランサムウェアなどの混入を早期に検知できるとしている。さらに、もし攻撃の被害に遭った場合には、バックアップデータを直接本番環境にマウントすることが可能で、即時の復旧が行えるのが特徴だという。

　石井カントリー・マネージャーは、「データのレジリエンス（回復力）を守りながら、取得したデータを分析して危険を予測し、有事の際には即時復旧する、という一連の枠組みは、単にデータをミラーリングするだけでは成り立たない」と述べ、NISTで推奨されるようなフレームワークに沿ったデータ保護を実現するには、単純にシステムのコピーを取る伝統的なバックアップの方法では難しいと指摘する。

　エンドポイントやネットワークを保護する「インフラセキュリティ」への投資は多くの企業で進んでいるが、データセキュリティの考え方はこれまで浸透が不十分だった。しかし、ランサムウェアの被害が国内でも顕在化したことから、この1年での引き合いは急増している。「データセキュリティに関するお話をして理解いただけた企業からは、ほぼほぼの確率で選んでいただける」（石井カントリー・マネージャー）といい、ネイティブなイミュータブルファイルシステムや、メタデータベースのデータ管理・保護といった点が大きな差別化要素になっている模様だ。

　同社製品は100％パートナー経由の販売となっており、ここ2年ほどの間で国内でも販売パートナー網の拡充を図ってきた。データセキュリティの訴求とともに、販売後のサポート体制や日本語での情報提供などを一層充実させることで、今年さらなる成長を目指していく考えだ。