ストレージレベルで行うサイバー攻撃への備え

Infinidat Japan合同会社　カントリー・マネージャーの山田秀樹による、ストレージのサイバーセキュリティに関するブログをご紹介します。

 

 

サイバー犯罪は日々企業や人々に襲い掛かっています。2023年に公開されたFortuneのCEO調査でも、企業が懸念する脅威の第２位がサイバーセキュリティでした。さまざまなサイバー攻撃の中でも悪質性が高く、ダメージも大きいのがランサムウェア攻撃だと思います。本稿では、企業にとって最も重要な資産のひとつであるデータを保管したエンタープライズストレージのレベルで、ランサムウェア攻撃に対してどのように備えることができるのかを解説します。

 

ランサムウェアに代表されるマルウェア攻撃は、2005年ごろから本格化してきたと言われています。件数は年々高水準で推移しており、2023年上半期に日本国内で把握された被害件数は103件にのぼります。物流、医療、製造といった業界の企業や自治体がランサムウェア攻撃の犠牲となったことがニュースになりました。独立行政法人情報処理推進機構（IPA）が毎年発表している「情報セキュリティ10大脅威」2024年版でも組織の脅威の1位は9年連続でランサムウェアです。ランサムウェア攻撃の被害は、ストレージに保管されているデータが盗み出されるだけではありません。データを暗号化して使えなくして身代金を要求したり、盗み出した機密データを公開すると脅しをかけるなど、企業にとって事業の存続にかかわる大きな被害をもたらします。

 

サイバーセキュリティには、(1)侵入を防ぐ、防げなかった場合に(2)侵入を検知する、攻撃を受けてしまった場合に(3)被害を最小化する、の３段階があります。ストレージ機器に求められる機能は、２番目の「検知」と３番目の「最小化」です。

 

「検知」においては、ランサムウェアを送り込む乗り物となっているファイルに不審な点がないかを診断します。一般的には拡張子の不整合や、ファイルサイズの変動、さらに文書構造の改変などがチェックされますが、新たなランサムウェアの登場に伴い、コンテンツの一部暗号化や破損といった要素もチェックできることが望ましいでしょう。

 

「被害の最小化」においては、一度ランサムウェアで暗号化されてしまったデータを元に戻すことは簡単ではないため、いかにリアルタイムに近いバックアップデータを安全な場所に格納し、それを瞬時に利用可能にすることができるかが非常に重要となります。ランサムウェアはプライマリストレージだけでなくセカンダリストレージもターゲットとして狙ってくるため、それらのストレージとバックアップコピーについて、改ざん防止機能のついたスナップショットの取得機能や、エアギャップによる隔離状態の実現が重要となります。

 

このようにサイバー攻撃を受けた際に、いちはやくビジネスを復帰させる能力、それがサイバーレジリエンスです。ストレージ装置を選ぶ際には、コストや使いやすさも大事ですが、ビジネス全体を考えるならば、このサイバーレジリエンスも非常に重要な要件のひとつに入れるべきでしょう。

 

では具体的に、どのようにストレージシステムを設定すれば良いか、InfiniBox®をプライマリおよびセカンダリ（バックアップ）ストレージとして用いる場合を例にご紹介します。ベンダーによって異なる部分もあるかと思いますが、大筋は同様だと思います。

 

まず、「被害の最小化」の実現方法です。

ランサムウェア感染時に迅速にデータを復旧できるようにストレージの論理バックアップであるスナップショットを取得します。できる限り直近のデータから復旧できるように高い頻度でスナップショットが取得できることが望ましいでしょう。ストレージによっては本番パフォーマンスへの影響やスナップショット数の制限により十分な世代のスナップショットを取得できない場合もありますが、InfiniBoxはパフォーマンスへの影響なく最大10万個のスナップショットを取得できるため、非常に短い間隔で取得するという運用も可能です。次にスナップショットに対して改ざん防止機能を有効にします。ランサムウェアは長期間潜伏する可能性があるため、スナップショットの保持期間および改ざん防止期間は1ヵ月以上に設定した方が良いでしょう。

 

また万一のランサムウェア感染に備えて、フォレンジック環境用に隔離できる構成にすることも必要です。こうすることでサイバー攻撃を受けた際に、復旧を実行する前に、データにランサムウェアがないことを確認することができます。本番環境で利用しているストレージシステムのネットワークインターフェースを分離する、あるいは論理的なデータパスを分けるという構成も考えられますが、別のストレージシステムを準備しておくことでより柔軟に対処することができます。例えば２台のInfiniBoxでリモートレプリケーション機能を利用してデータを同期し、レプリケーションしていない時間帯は２台のInfiniBox間のネットワークを遮断するといった運用方法が考えられます。

 

次に「検知」の実現方法ですが、ランサムウェア攻撃を検出できるInfiniSafe® Cyber Detectionの利用が有効です。InfiniBoxで定期的に取得した改ざん防止機能のついたスナップショットをCyber Detectionサーバーにマウントしてデータを分析します。Cyber DetectionはセカンダリのInfiniBoxだけではなく、プライマリのInfiniBoxのデータを分析することもできるほか、プライマリストレージのサービスへの影響を最小化するためにQoS機能を有効にすることも可能です。Cyber Detectionはメタデータだけではなくフルコンテンツでデータを分析できますが、問題が発生した場合はアラートを出して管理者に通知します。さらにCyber Detectionの管理画面からはどのファイルが疑わしいのかなど詳しい状況を確認することも可能です。

 

システムの切断、ランサムウェアのタイプの特定、改ざん防止機能のついたスナップショットからのデータ復旧など迅速な対応が求められますが、先に述べたスナップショットの取得、隔離可能なストレージ構成、Cyber Detectionを利用することでサイバー犯罪を早期に検知し迅速にサービスを復旧できるでしょう。

 

Infinidatはさらにサイバーストレージ保証も提供しています。InfiniSafeサイバーストレージ保証では、データセットのサイズに関係なく、InfiniBoxまたはInfiniBox™ SSAでは1分以内、InfiniGuard®では20分以内に改ざん防止機能のついたスナップショットが復旧可能であることを保証します。

 

攻撃を受けた場合に早期の復帰ができるからといって安心していいということではありません。侵入の防止や検知といった最新の防御機能と組み合わせて、安心して利用できるデータ活用環境の構築を行っておくことが大事なのです。

 

以上