Arcserve Japanのセッション「サイバー攻撃からデータを守るコツとサイバー被害からの事業再開へのポイント」には、ソリューション統括部プリンシパルコンサルタントの鈴木智子氏が登壇。バックアップデータの保護について解説した。


　警察庁の発表によれば、国内のランサムウェア被害報告件数は年間100～120件で推移している。感染経路としてはVPN機器とリモートデスクトップが多く、感染前の状態を復元できたのは全体の26％程度。鈴木氏は復元に失敗する理由を「バックアップデータも暗号化されてしまうため」と説明する。ランサムウェアの潜伏期間は3週間前後と長く、感染発覚時には“健全な”データが残っていないことが多いのである。

　そこで重要になるのが、バックアップデータの保護。そのためのポイントとして、鈴木氏は「複数世代を保持」「バックアップ環境の保全」「オフライン保管や二重化」の三つを挙げる。

　複数世代を保持しておくのは、長い潜伏期間に対応できるようにするのが目的。Arcserve Japanのバックアップ製品「Arcserve UDP」には継続増分（増分とフルデータを適宜マージする方式）と重複排除（ノード間も含む）の機能があるので、多数のバックアップ世代を保持しても容量はそれほど増えない、とアピールした。

　バックアップ環境の保全とは、バックアップ用のサーバーやネットワークをマルウェアから守ることを意味する。例えば、バックアップシステムをActive Directoryドメインから分離したり、バックアップ専用のLANを用意したりするような対策だ。Arcserve UDPのレジストリー設定を使えば、バックアップ用ドライブのドライブ文字を削除して“見えなく”してしまうこともできる。

　オフライン保管のもっとも簡単なやり方は、磁気テープへのバックアップだ。また、Amazon S3オブジェクトロックを利用すればバックアップ先クラウドをWORM（書き込み禁止）ドライブとして使うことが可能。二重保管にはArcserve UDP Cloud Hybridも利用できる。

　復元にあたっては、そのバックアップデータが健全であることを確認する必要がある。単純に1世代ずつ復元・確認していくと時間がかかるが、Arcserve UDPのインスタントVM機能を使えば、複数世代の並行処理ができて効率的だ。Arcserve
UDP Premium Editionでは、バックアップデータを直接に検査するアシュアードセキュリティスキャンという機能も利用可能。また、証拠保全のために旧環境が使えない場合は、Arcserve UDP Cloud Hybridを“代替”VMとしても使えばよい。

　「Arcserve UDPは、TOPIX500企業の68.4％に導入されている安心できる製品だ」と鈴木氏。「ビジネス損失の防止にぜひ役立てていただきたい」と述べて、セッションを締めくくった。