ストレージレベルで行うサイバー攻撃への備え
PR TIMES / 2024年9月12日 14時40分
Infinidat Japan合同会社 カントリー・マネージャーの山田秀樹による、ストレージのサイバーセキュリティに関するブログをご紹介します。
サイバー犯罪は日々企業や人々に襲い掛かっています。2023年に公開されたFortuneのCEO調査でも、企業が懸念する脅威の第2位がサイバーセキュリティでした。さまざまなサイバー攻撃の中でも悪質性が高く、ダメージも大きいのがランサムウェア攻撃だと思います。本稿では、企業にとって最も重要な資産のひとつであるデータを保管したエンタープライズストレージのレベルで、ランサムウェア攻撃に対してどのように備えることができるのかを解説します。
ランサムウェアに代表されるマルウェア攻撃は、2005年ごろから本格化してきたと言われています。件数は年々高水準で推移しており、2023年上半期に日本国内で把握された被害件数は103件にのぼります。物流、医療、製造といった業界の企業や自治体がランサムウェア攻撃の犠牲となったことがニュースになりました。独立行政法人情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威」2024年版でも組織の脅威の1位は9年連続でランサムウェアです。ランサムウェア攻撃の被害は、ストレージに保管されているデータが盗み出されるだけではありません。データを暗号化して使えなくして身代金を要求したり、盗み出した機密データを公開すると脅しをかけるなど、企業にとって事業の存続にかかわる大きな被害をもたらします。
サイバーセキュリティには、(1)侵入を防ぐ、防げなかった場合に(2)侵入を検知する、攻撃を受けてしまった場合に(3)被害を最小化する、の3段階があります。ストレージ機器に求められる機能は、2番目の「検知」と3番目の「最小化」です。
「検知」においては、ランサムウェアを送り込む乗り物となっているファイルに不審な点がないかを診断します。一般的には拡張子の不整合や、ファイルサイズの変動、さらに文書構造の改変などがチェックされますが、新たなランサムウェアの登場に伴い、コンテンツの一部暗号化や破損といった要素もチェックできることが望ましいでしょう。
「被害の最小化」においては、一度ランサムウェアで暗号化されてしまったデータを元に戻すことは簡単ではないため、いかにリアルタイムに近いバックアップデータを安全な場所に格納し、それを瞬時に利用可能にすることができるかが非常に重要となります。ランサムウェアはプライマリストレージだけでなくセカンダリストレージもターゲットとして狙ってくるため、それらのストレージとバックアップコピーについて、改ざん防止機能のついたスナップショットの取得機能や、エアギャップによる隔離状態の実現が重要となります。
このようにサイバー攻撃を受けた際に、いちはやくビジネスを復帰させる能力、それがサイバーレジリエンスです。ストレージ装置を選ぶ際には、コストや使いやすさも大事ですが、ビジネス全体を考えるならば、このサイバーレジリエンスも非常に重要な要件のひとつに入れるべきでしょう。
では具体的に、どのようにストレージシステムを設定すれば良いか、InfiniBox(R)をプライマリおよびセカンダリ(バックアップ)ストレージとして用いる場合を例にご紹介します。ベンダーによって異なる部分もあるかと思いますが、大筋は同様だと思います。
まず、「被害の最小化」の実現方法です。
ランサムウェア感染時に迅速にデータを復旧できるようにストレージの論理バックアップであるスナップショットを取得します。できる限り直近のデータから復旧できるように高い頻度でスナップショットが取得できることが望ましいでしょう。ストレージによっては本番パフォーマンスへの影響やスナップショット数の制限により十分な世代のスナップショットを取得できない場合もありますが、InfiniBoxはパフォーマンスへの影響なく最大10万個のスナップショットを取得できるため、非常に短い間隔で取得するという運用も可能です。次にスナップショットに対して改ざん防止機能を有効にします。ランサムウェアは長期間潜伏する可能性があるため、スナップショットの保持期間および改ざん防止期間は1ヵ月以上に設定した方が良いでしょう。
また万一のランサムウェア感染に備えて、フォレンジック環境用に隔離できる構成にすることも必要です。こうすることでサイバー攻撃を受けた際に、復旧を実行する前に、データにランサムウェアがないことを確認することができます。本番環境で利用しているストレージシステムのネットワークインターフェースを分離する、あるいは論理的なデータパスを分けるという構成も考えられますが、別のストレージシステムを準備しておくことでより柔軟に対処することができます。例えば2台のInfiniBoxでリモートレプリケーション機能を利用してデータを同期し、レプリケーションしていない時間帯は2台のInfiniBox間のネットワークを遮断するといった運用方法が考えられます。
次に「検知」の実現方法ですが、ランサムウェア攻撃を検出できるInfiniSafe(R) Cyber Detectionの利用が有効です。InfiniBoxで定期的に取得した改ざん防止機能のついたスナップショットをCyber Detectionサーバーにマウントしてデータを分析します。Cyber DetectionはセカンダリのInfiniBoxだけではなく、プライマリのInfiniBoxのデータを分析することもできるほか、プライマリストレージのサービスへの影響を最小化するためにQoS機能を有効にすることも可能です。Cyber Detectionはメタデータだけではなくフルコンテンツでデータを分析できますが、問題が発生した場合はアラートを出して管理者に通知します。さらにCyber Detectionの管理画面からはどのファイルが疑わしいのかなど詳しい状況を確認することも可能です。
システムの切断、ランサムウェアのタイプの特定、改ざん防止機能のついたスナップショットからのデータ復旧など迅速な対応が求められますが、先に述べたスナップショットの取得、隔離可能なストレージ構成、Cyber Detectionを利用することでサイバー犯罪を早期に検知し迅速にサービスを復旧できるでしょう。
Infinidatはさらにサイバーストレージ保証も提供しています。InfiniSafeサイバーストレージ保証では、データセットのサイズに関係なく、InfiniBoxまたはInfiniBox(TM) SSAでは1分以内、InfiniGuard(R)では20分以内に改ざん防止機能のついたスナップショットが復旧可能であることを保証します。
攻撃を受けた場合に早期の復帰ができるからといって安心していいということではありません。侵入の防止や検知といった最新の防御機能と組み合わせて、安心して利用できるデータ活用環境の構築を行っておくことが大事なのです。
以上
企業プレスリリース詳細へ
PR TIMESトップへ
この記事に関連するニュース
-
Infinidatが見る2025年のエンタープライズストレージトレンド
PR TIMES / 2024年12月18日 13時40分
-
「ランサムウェア攻撃を防ぐ自信がない」中小企業が約4分の3バラクーダネットワークス調べ
PR TIMES / 2024年12月16日 13時15分
-
エルテックス、InfinidatのInfiniBox(R)エンタープライズストレージソリューションで革新的なECソリューション開発を強化
PR TIMES / 2024年12月12日 13時15分
-
「Wasabi with SC」提供開始のお知らせ
PR TIMES / 2024年12月12日 13時15分
-
<年末年始の長期休暇の前後は、サイバー攻撃が2倍以上に増加 >デジタルデータソリューションが年末年始に潜むサイバーセキュリティリスクの被害調査 を発表
PR TIMES / 2024年12月11日 11時45分
ランキング
-
1「フレッシュネス」チキンに"もも肉"使うプライド クリスマス時期の「チキン難民」を狙う戦略
東洋経済オンライン / 2024年12月22日 9時0分
-
2管理職にならない選択が「普通」に? 「責任の重圧」「年収減の可能性も」…“なりたくない”リアルな理由とは
まいどなニュース / 2024年12月21日 20時32分
-
3「ドイツ旅行のコスパ最強ホテル」実は東横INN!? 実際に泊まったら「日本人には最強仕様」…でも違いも?
乗りものニュース / 2024年12月22日 11時12分
-
4「青春18きっぷ」利用者に朗報!“豊橋ダッシュ” 解消へ 東海道線の乗り換え利便性が向上
乗りものニュース / 2024年12月22日 7時12分
-
5103万円の壁問題とともに浮上した106万円の壁撤廃は別の経済苦を生むか パート主婦「手取りも減るってことですよね」コンビニオーナー「スポットで働く人を増やすか」
NEWSポストセブン / 2024年12月22日 7時15分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください