Arcserve Japanのセッションでは、ソリューション統括部プリセールスコンサルタントの成田梨花氏が登壇。「バックアップデータを迅速・確実に『復旧』できることから備える、ランサムウェア対策」をテーマに講演した。


　他のサイバー攻撃を受けたときとは異なり、ランサムウェア攻撃の場合は企業が自ら被害を軽減できる可能性がある。業務データを暗号化されてしまう前の状態がバックアップデータとして残っていれば、それをリストアすることによってある程度復活させることができるからだ。そのためにはどのような準備をしておけばいいのか。成田氏が示したのは、「より多くのバックアップ世代」「バックアップデータ自体の保護」「オフライン保管と二重化」の三つだ。

　バックアップの世代数が多いほど良いのは、感染する前の状態に戻せるため。最近のマルウェアは潜伏期間が長いので、保持している世代数が少ない場合、感染したファイルがバックアップデータに含まれることがあるからだ。「当社のバックアップツール『Arcserve UDP』には古い世代のバックアップをマージ（併合）する仕組みがあるので、少ないディスク容量でより多くの世代を保持できる」と成田氏。既定値は7世代だが、最大1440世代まで指定できるという。

　同じ理由から、攻撃者がバックアップデータを削除・書き替えできないようにする仕組みも必要だ。そのためには、バックアップ環境のセキュリティ設定を見直すとともに、業務LANとは切り離された、特定のユーザーしかアクセスできないバックアップ専用LANにつなぐことを推奨。「Arcserve UDPはバックアップ専用LANに対応しているほか、管理コンソールへのログイン時に多要素認証（MFA）も使える」と成田氏は言う。

　バックアップデータをさらに安全に保持するには、バックアップデータをテープにオフライン保管するか、システム管理者とは別アカウントで契約したクラウドにバックアップデータを複製しておくと良い。Arcserve UDPの場合は、クラウド「Arcserve UDP Cloud Hybrid」が便利だ。

　このほか、同社のイミュータブルストレージ「Arcserve OneXafe」を併用すると、外部からアクセスできない変更不能なスナップショットを定期的に自動作成し、攻撃者がバックアップデータを変更できない仕組みも作れるので、ランサムウェア被害からの復旧はさらに確実になる。成田氏は、「3-2-1ルール（3バックアップ＋2媒体＋1オフサイト）とOneXafeを組み合わせて、3-2-1-1ルールで運用すると効果的だ」と呼びかけた。