ランサムウェア感染のリスクを抑えるために、多くの企業が対策を進めています。そして、ランサムウェアの主な対策は、ネットワークへの侵入対策とバックアップの2つが重要な観点とされています。今回、そのうちのバックアップを取り上げ、その基本知識から企業のバックアップ対策に求められる要件、それを満たすことができるストレージ製品の概要や特徴まで幅広く解説していきます。

ランサムウェアの感染を完全に防ぐことは非常に難しく、データ損失がいつ発生するか予測することはできません。

侵入対策はランサムウェア対策の起点となりますが、100％の安全性は担保できないため、有事に備えたバックアップが極めて重要です。普段から適切にバックアップを取得していれば、被害発生時でもバックアップ時点のデータを復元でき、影響を最小限に抑えながら業務継続が可能になります。

バックアップは種類や手法によっていくつかに分類できます。まず、バックアップの取得方法の分類を見ていきましょう。

・完全バックアップ（フルバックアップ）

　すべてのデータをバックアップ

・差分バックアップ（ディファレンシャルバックアップ）

　直近の完全バックアップ以降に、追加・変更されたデータのみをバックアップ

・増分バックアップ（インクリメンタルバックアップ）

　前回の完全バックアップ以降に、追加・変更されたデータのみをバックアップ

差分バックアップと増分バックアップの違いは、バックアップ対象となる「差分の基準」にあります。

差分バックアップは、直近の完全バックアップ以降に追加・変更されたデータを毎回バックアップする方式です。差分の基準は「直近の完全バックアップ」です。一般的に、差分バックアップは増分バックアップよりも多くのディスク容量を必要としますが、リストア時には「完全バックアップ＋最新の差分バックアップ」のみで復旧できるため、比較的短時間でリストアできるという特徴があります。

一方、増分バックアップは、前回実施したバックアップ後に追加・変更されたデータのみをバックアップする方式です。差分の基準は「前回のバックアップ」です。一般的に、増分バックアップは保存に必要なディスク容量を抑えられる反面、リストア時には完全バックアップとすべての増分バックアップが必要となるため、復旧に時間を要するという特徴があります。

バックアップデータの保存先は、使用する記憶メディアや保存場所によって分類できます。記憶メディアには、ハードディスク、SSD、NAS、磁気テープなどがあり、保存場所としてはローカル環境、遠隔地、クラウドなどが挙げられます。

バックアップの際、直近のデータだけでなく過去のデータも保存することで、世代管理が行えます。バックアップしたタイミングにより、世代（バージョン）を管理することで、特定の過去の時点にデータを戻すことができます。

さらに、バックアップには「イメージングバックアップ」のような特殊手法も存在します。これはファイル単位だけでなく、OSやアプリ設定等を含むPC の状態を丸ごと保存するもので、災害復旧や端末のクローン作成に適しています。

ここまでバックアップの特徴や種類を見てきましたが、ランサムウェア対策として求められるバックアップの要件は次の2つに集約されます。

・高速で確実なバックアップとリストア

・バックアップデータの自体の保護

高速で確実なバックアップとリストアの観点では、平常時に安定してバックアップを取得できることはもちろん、ランサムウェアによってデータが暗号化・消失した際に、必要なデータをどれだけ迅速かつ確実に復旧できるかが鍵となります。復旧速度と成功率は、業務停止時間の短縮と事業継続に直結するため、バックアップ基盤の性能として最も重視すべき要素です。

バックアップデータ自体の保護の観点では、近年の攻撃がバックアップ領域そのものを標的とするケースが増えていることから、取得したバックアップデータを保全する仕組みが不可欠です。データの改ざん・削除を防ぐ仕組みや、攻撃経路から隔離された保存方法など、バックアップデータをランサムウェアから確実に守るための技術が求められます。

こうした要件を満たし、ランサムウェア対策として有効なバックアップ基盤を提供する企業向けストレージとして注目されているのが Cohesity（コヒシティ） です。

Cohesityは、バックアップ方式に「高速永久増分バックアップ」を採用しています。
この方法では、初回のみフルバックアップを取得し、2回目以降は増分のみを永久に取得します。毎回の処理が増分のみで済むため、バックアップ時間を大幅に短縮できる点が特徴です。

さらにバックアップデータのリストアは世代数に関係なく、一度の操作で高速かつ確実に実施できる点が大きな強みです。これを支えているのが、Cohesity独自の特許技術 「SnapTree」 です。

従来のスナップショット方式では、各世代が鎖状に連なって構成されるため、リストア時には順にマージ処理を行う必要がありました。その結果、世代が増えるほど復旧時間が長くなるだけでなく、マージの過程で復旧に失敗するリスクも抱えていました。

一方 SnapTree では、各スナップショットが論理的に独立して作成されるため、リストア時にマージ処理が不要となり、世代数に関係なく高速かつ安定した復旧が可能になります。

このように、Cohesityは バックアップの取得効率とリストア性能の両方を高い水準で実現しており、ランサムウェア対策として求められる「高速で確実なバックアップとリストア」を強力に支援します。

Cohesityは、エンタープライズ向けに設計された強力なデータ保護機能を備えたストレージ基盤であり、ランサムウェア被害の防止と迅速な復旧を両面から支援します。その特徴は多岐にわたり、企業のバックアップ戦略を大きく強化します。

まず、Cohesityは独自OSを採用しており、一般的な汎用OSと比較して攻撃対象領域（アタックサーフェス）を最小限に抑える設計となっています。これにより、OSレベルでの不正侵入や暗号化被害の可能性を大幅に低減し、バックアップ基盤そのものの安全性を高めています。

次に、Immutable（不変）ファイルシステムを採用することで、バックアップデータの削除や改ざんを防止します。この改ざん防止機能は、データ整合性を検証するチェックサム機能に加え、スナップショットを効率的に取得する技術「リダイレクト・オン・ライト（ROW）」を発展させた「分散型リダイレクト・オン・ライト（DROW）」の仕組みによって実現されています。

分散型リダイレクト・オン・ライトでは、データ更新時に既存ブロックを直接上書きせず、空き領域に新たなブロックとして書き込みを行います。その結果、直前のデータ状態が保持され、ランサムウェアによる不正な書き換えや暗号化が行われた場合でも、影響を受けていないバックアップ世代を特定し、復旧に活用できる可能性を高めます。

加えて、Cohesityはランサムウェア検知機能によって、データ保護を多層的に強化しています。具体的には、日々のバックアップデータの中身に対して、クラウドベースの管理・分析基盤「Helios」で、AIを活用した振る舞い検知を行います。さらに、脅威スキャン・データ分類機能「DataHawk」によって、異常や侵害の痕跡から脅威を判別するとともに、機密情報漏えいの有無など、攻撃によるデータへの影響度を可視化することも可能です。これにより、管理者は安全が確認されたバックアップ世代を選択して的確なリストアを行えます。

このほか、BCPの観点では、パブリッククラウドへ二次バックアップ、遠隔地のCohesityクラスタへのレプリケーション（データを別の場所へ複製・同期する技術）によりバックアップデータの隔離が可能です。これにデータ保存・転送時の暗号化を組み合わせることで、バックアップデータの保護を一層強化します。

運用継続性の観点では、障害発生時に待機中の機器に自動で切り替えを行う自動フェイルオーバー機能により、ハードウェア障害やクラスタ障害が発生してもバックアップ/リストア業務を中断させません。

ストレージの信頼性面では、Cohesityはデータを細かく分割し、冗長化して保存する「イレイジャーコーディング」を採用しています。これによりデータを分散配置し、高い耐障害性と効率的な容量利用を両立しており、RAIDと比較し拡張性と回復力に優れ、大規模環境でも安定稼働が可能です。

最後に、ポリシーベースの世代管理により、バックアップの取得頻度や保持期間、保存先を一元的に制御することも可能です。これにより、システムの重要度に応じた世代管理を自動化し、ランサムウェア対策において重要となる「安全なバックアップ世代の確実な保持」を実現します。

今回はランサムウェア対策におけるバックアップについて、基礎知識から企業に求められる要件、最適なストレージとしてのCohesityの特徴などを解説しました。次回はランサムウェアを含むセキュリティ脅威全般に対する堅牢な体制構築のポイントを解説します。

関連ブログ