ランサムウェアをはじめとしたサイバー攻撃が猛威を振るっており、日本国内でも企業や社会に深刻な被害をもたらしている。セキュリティ上の脅威に対する備えを強化しようとする動きは高まっているが、現状では攻撃を未然に防ごうとする「防御」に対する意識は強い一方、実際に被害を受けてしまった際、いかに迅速に事業基盤を取り戻すかという「復旧」のための投資はまだまだこれからという組織が多い。危機管理という観点で、企業はどのようなセキュリティ対策を行うべきなのか。復旧にフォーカスしたセキュリティソリューション「Dell EMC PowerProtect Cyber Recovery」を提供するデル・テクノロジーズに聞いた。

「回復できない」サイバー被害が社会の脅威に

　サイバー攻撃の被害は、今や人々の安全な社会生活をおびやかすレベルの脅威になりつつある。2021年5月、米国で石油パイプラインを運営する企業がランサムウェアの被害に遭った事件は記憶に新しい。パイプラインの操業が1週間にわたって停止に追い込まれたことで、一部の州では給油所に消費者が押し寄せるなどの大きな混乱が生じたと報じられている。この企業ではシステムの復旧を実施することができず、攻撃者に身代金440万ドル（約4億8000万円）を支払った。

　深刻な被害は海外だけのものではない。同7月には国内の上場企業がサイバー攻撃の被害に遭い、基幹システムがダウン。この影響で、決算報告書の提出が定められた期日から約3カ月遅れるという事態となった。当然のことながら、業績発表の遅れは投資家や市場関係者から厳しい視線が注がれることにつながる。また、同10月には徳島県にある町立病院でランサムウェアへの感染が発生し、電子カルテや会計などのシステムが使用できなくなった。病院は新規患者の受け入れを中止し、通常診療の再開までには実に2カ月を要した。サイバーセキュリティが、人の命にもかかわる時代に私たちは突入したといわざるを得ない。

　これらの事件に共通しているのは、攻撃者の侵入を許しただけでなく、システムを復旧する手段を喪失したために、事業への影響が甚大になってしまったことだ。被害に遭った組織はいずれも何らかのバックアップ体制を用意していたが、ランサムウェアの多くはそれらバックアップデータの暗号化も試みる。さらに、先のパイプライン会社の例では、サイバー有事を想定した予備データを残していたにもかかわらず復旧を断念している。そのデータにマルウェアが含まれていないかといった安全性の確認ができなかったため、二次的な攻撃の可能性を考慮すると、そのデータを使った復旧は危険という判断だった。

　事業継続上の危機に対応するには、システムを攻撃から「防御」することと同時に、もしシステムが破壊された場合、そこからいかに回復するかという、「復旧」のプロセスを構築することが求められるのは明らかだ。しかし、デル・テクノロジーズのDPS事業本部で事業推進を担当する西賴大樹氏は「日本の多くの企業では、グローバルの潮流に反し、『防御』だけにセキュリティ対策が大きく偏っている。このため、もしその防御策を突破されたらなすすべがなくなってしまう」と話し、「サイバー復旧」にも投資が必要という認識は必ずしも高くないと指摘する。
 
　同社が18年に国内に対して行った調査では、約80％の企業がセキュリティ「防御」策に投資したと答えた一方、「復旧」策に投資したとする回答はわずか約7％にとどまった。ランサムウェア「WannaCry」の脅威が大きく報じられた翌年の調査であるにもかかわらず、万が一データが取り戻せなくなった場合にどうするか、という点が意識されていないことがうかがわれる。

　西賴氏はさらに、「『復旧』のための施策を講じているとする企業も、実は安全な状態ではないことが多い」と続ける。同じ調査では、全体の約20％の企業が、攻撃後の復旧を想定した施策を導入していると答えている。しかし、そのうち約75％の企業は、バックアップやDR（ディザスタリカバリー）サイトを用意しているものの、オンライン状態のままになっているといった、不十分な対策であることが分かったという。前述の通り、ランサムウェアはバックアップデータなどの暗号化も行う。オンラインのバックアップやDRサイトは一般的な障害対策にはなっても、サイバー攻撃への対策としては用をなさないことが多い。

　ただ、デルが昨年行った別調査で同様の質問をしたところ、依然8割の企業が「現在備えるデータ復旧の仕組みではランサムウェア被害後にデータ復旧できる自信がない」と回答している。日本は3年前とまったく状況が変わっていないのだ。

バックアップデータの「防御」「隔離」「衛生」を担保せよ

　このような背景から、デル・テクノロジーズでは、サイバー復旧の体制を構築するにあたって、「データ防御」「データ隔離」「データ衛生」の三つを押さえることがポイントだとアドバイスしている。1点目のデータ防御は、復旧用データの改ざんなどからシステムを守ることだ。しかし、繰り返し述べてきたように、サイバーセキュリティの世界で100％の防御を実践するのは困難だ。そこで、攻撃者から見えない場所で復旧用データを保護する、データ隔離が重要になる。そして、隔離したデータが汚染されていないかを検証する、データ衛生のプロセスを踏むことで初めて、有効に機能するサイバー復旧の体制を整えることができる。
 
　この三つの要件を満たせるサイバー復旧ソリューションとして、デル・テクノロジーズでは「Dell EMC PowerProtect Cyber Recovery」を用意している。これは、バックアップ用ストレージとして評価の高い「PowerProtect DD」（旧Data Domain）に、サイバー攻撃の被害を受けた後でも確実なデータの復旧を提供するための機能を組み合わせたものだ。

　このソリューションでは、2台のPowerProtect DDを用意し、一方を本番環境側に、もう一方を外部ネットワークから隔離された「Vault（ヴォルト）」と呼ばれる専用環境に配置する。バックアップデータが本番環境側のPowerProtect DDに保存されると、一時的にVault側からコネクションを構築し、データはVaultへと転送される。この接続は転送完了後にはVault側から即座に遮断される。PowerProtect DDは従来から持つ高度の重複排除機能を活用した高速なレプリケーション機能を備えているため、Vaultへの転送に要する時間を最小化できるのが特徴だ。Vault内では機械学習技術を備えた専用フォレンジックツールを使用して、隔離されたバックアップデータが安全なものであるかを確認することで、データの衛生を担保する。これら一連のプロセスを自動的に行うことで、サイバー復旧の体制を確かにものにしている。

　デル・テクノロジーズのDPS事業本部で営業戦略を担当する鈴木敏通氏は、「データ保護の仕組みとして最も強力なのは、データをネットワークから遮断してしまうこと。もちろん稼働中のシステムをネットワークから遮断することはできないが、バックアップデータに対してはそれが行える」と述べ、サイバー復旧におけるデータ隔離の重要性を強調する。
 
　ただデータを隔離するだけなら、テープメディアで保管するといった方法もあり、容量あたりのコストではそちらのほうが有利となる場合が多い。これに対して鈴木氏は「長期にわたるアーカイブ目的であれば、テープは有効なソリューションだ。しかし、サイバー復旧において重要となる多世代バックアップでは、メディア管理が煩雑になるほか、テープに記録されたデータは、一度リストアしないと中身を確認できないという弱点がある。また、バックアップサーバーそのものが被害を受けてしまうと、バックアップデータがテープに保管されていたとしても、リストア出来なくなるリスクもある」と説明する。サイバー攻撃でダメージを受けたシステムの早期復旧が求められる場合、必要なデータを探し出すのに時間をかける余裕はない。複数の世代にわたって取られたバックアップデータから適切なものを選択し、一刻も早く本番環境に書き戻すという目的を考えると、専用のストレージ装置を備えるのが得策だ。一口にデータ保護といっても、サイバー復旧も想定したバックアップ・リストアとアーカイブとでは選択すべき技術が異なることを認識しておく必要がある。

迅速・確実なサイバー復旧をワンストップで提案可能

　サイバー攻撃からのデータ復旧を目的としたデータ保護ソリューションの需要は、ここへ来て日本市場でも急速に高まっているという。デル・テクノロジーズのストレージ製品を販売するネットワールドのマーケティング本部セールスコンサルティング部の大浦達氏は、「『バックアップがあれば、サイバー攻撃を受けても何とかなる』という安全神話が今や完全に崩れた」と話し、ユーザー企業の間でもその認識が広がっていると見ている。だが、「この課題に対して、全ての企業が完璧なセキュリティ投資をできるわけではない」（大浦氏）。
 
　デル・テクノロジーズのデータ保護ソリューションの良い所はユーザーの規模に合わせた「松竹梅」の提案ができること。そしてネットワールドでは、「バックアップデータを安全なストレージに格納し、ネットワークから切り離す」ことが今後のサイバー復旧において必要不可欠なソリューションとなると想定している。この目的を達成する近道が、PowerProtect Cyber Recoveryの導入だという。大浦氏は「複数のバックアップデータを保持しておくこと、ネットワークから切り離せること、データが健全であること、そして復旧が容易であること。これら全てを兼ね備えるのは容易ではなく、バックアップやストレージ、セキュリティなどのソリューションを複雑に組み合わせる必要があった」とし、これらの要求に対してワンストップで答えられるため、今後のデータ保護ソリューションはデル・テクノロジーズのPowerProtect Cyber Recoveryが牽引していくと考えている。

　大浦氏は、PowerProtect DDがコア技術となっていることもPowerProtect Cyber Recoveryの魅力の一つだと説明する。予算的にValut構成（2台）を組むことが難しい企業においては、最低限の対策としてPowerProtect DDをバックアップストレージとして提案するという。PowerPorotect DDのDDBoost機能を使う事で、サイバー攻撃に狙われやすいCIFSではなく独自プロトコルによる書込みが行われ、さらにデータ改ざんを防ぐリテンションロック機能を追加した対策が可能だ。また、PowerProtect DDはオンプレミスの物理アプライアンスだけでなく、仮想版の「Virtual Edition」が用意されていることから、パブリッククラウドをVault環境として使用することもできる。単一の拠点だけで事業を行っている企業などからは、クラウドを活用したデータ隔離のニーズが高まっているという。

　ネットワールドには、ここ1年ほどの間でランサムウェアの被害が大きく報道される度、ユーザー企業や販売パートナーから「どのように対応すればいいのか」という問い合わせが殺到しているという。ネットワールドのマーケティング本部インフラマーケティング部の齋藤公美氏は「ランサムウェアの脅威は広く知られるようになったが、サイバー復旧ソリューションの存在は、我々のような提供者側から積極的に訴求をしない限り、自然に広まることはないと考えている」と述べ、PowerProtect Cyber Recoveryの販促活動に注力していくとしている。2月には今回の記事内容を深堀したフォローアップセミナーを開催予定。今後はサイバー復旧ソリューションの特徴を分かりやすく伝えるパンフレットなども作成し、認知と販売の拡大を図っていく。

　「他製品と組み合わせた柔軟な提案など、メーカーだけではフォローしきれない、お客様に寄り添った対応を常に心がけている。営業部だけでなく技術部、マーケティング本部一丸となって問題を解決していくので、どんな些細なことでも一度ネットワールドに相談をしてほしい」と話す。
   
　デル・テクノロジーズの西賴氏は「いまや世界では、サイバー脅威はITやセキュリティの課題を越え、気候変動のように突然一般生活に防ぎようがない被害をもたらす存在という意識で捉えられている」と話し、自らの組織がサイバー攻撃による被害に遭うことを前提とし、継ぎ接ぎのセキュリティ対策を行うのではなく、サイバー復旧のプロセスを事業継続とITインフラの中に構築することが重要だと強調する。サイバー脅威から企業の事業そのものを保護するため、今後も「復旧」対策の大切さを伝えていく考えだ。