ランサムウェア対策の柱であるバックアップを効果的に行うためには、その体制を適切に設計・構築、運用する必要があります。本記事では、米国国土安全保障省ガイドラインの「3-2-1ルール」をはじめ、バックアップのシステム設計や構築、人的対応も含めた運用体制の整備に向けたポイントを解説していきます。そして、バックアップソリューション「Cohesity」を活用したバックアップ体制の設計・構築、運用における最適な提案も紹介します。

近年、巧妙化するサイバー攻撃をはじめ、組織的な重大リスクであるランサムウェアへの対策には、まずは基本的な対策を確実かつ多層的に適用することが重要になります。なかでもネットワークへの侵入対策とデータのバックアップは、重点的な対策が必要です。そして、適切なバックアップには強固な体制づくりは欠かせません。普段から有事への対応に備えておくことが大切です。

バックアップの体制構築において、より確実なデータ保護を実現するための基本原則となるのが「3-2-1ルール（※1）」です。これは米国国土安全保障省ガイドラインで推奨されたルールであり、日本でも厚生労働省をはじめ産学官でも推奨されています。

従来のバックアップでは、単一のサーバーやストレージでバックアップデータを管理するケースも多く見られましたが、これは単一のデバイス内でのバックアップ対策になるため、ランサムウェア対策の観点から、標的にされた際の脆弱性は拭いきれませんでした。こうした背景から3-2-1ルールが提唱されるようになりました。3-2-1ルールは、具体的にどのような枠組みなのでしょうか。詳しくみていきましょう。

3-2-1ルールでは、次のように3つの数字「3」と「2」と「1」がキーワードになります。

・3　データを3つ保持する

・2　2つの異なる種類のメディアに保存

・1　1つはオフサイト（遠隔地）に保存

3-2-1ルールの「3」は、運用中の元データに加え、少なくとも2つのバックアップデータを作成し、合計3つのデータコピーを保持することを指します。これにより、機器故障、誤操作、マルウェア感染等による単一の障害が発生した際のデータ消失リスクを低減します。

3-2-1ルールの「2」は、バックアップデータは、性質の異なる2種類以上の記録メディア（例：内蔵ディスクと外部記憶媒体、オンプレミスストレージとクラウド等）に保存することを指します。これは、同一種類のメディアに依存することによる、共通故障リスクを回避することを目的としています。

3-2-1ルールの「1」は、バックアップのうち少なくとも1つはオフサイト（運用拠点とは物理的に異なる場所）に保存することを指します。これにより、火災・地震・水害・盗難など、拠点全体に影響を及ぼす事象への耐性を確保します。

このようなバックアップを枠組みとする3-2-1ルールは、ランサムウェア対策とともに、BCP対策（事業継続対策）にも効果的なものとして活用されています。

※1 出典： 内閣官房内閣サイバーセキュリティセンター 重要インフラグループ「重要インフラにおけるサイバー事案対応」
https://www.mhlw.go.jp/content/10808000/000868534.pdf

近年のランサムウェアはバックアップデータを狙うものがあることから、3-2-1ルールをさらに発展させた「3-2-1-1-0」ルールが提唱されています。「3-2-1-1-0」ルールの名称の末尾にある「1-0」の「1」は、データが不変（Immutable)であること、もしくはネットワークが物理的に分離されていること（エアギャップ)を意味します。

そして、「1-0」の「0」は「エラーが0」という意味であり、バックアップしたデータにエラーがなく、確実に復旧できることを示しています。そのため、バックアップデータに問題はないか、確実なリストアできるかなどを定期的に確認することが重要です。

このような「3-2-1-1-0」ルールによって、バックアップに関するランサムウェア対策をより強固なものにできます。

近年のランサムウェア被害では、業務データだけでなくバックアップデータそのものが攻撃対象となるケースが増加しています。

米国国土安全保障省（DHS）配下の CISA（Cybersecurity and Infrastructure Security Agency） は、こうした脅威を踏まえ、オフサイトでのバックアップ保管、オフラインまたは不変（イミュータブル）なバックアップの確保、ならびに定期的な復元検証の実施を、ランサムウェア対策における重要なベストプラクティスとして示しています。

また、日本においても 独立行政法人 情報処理推進機構（IPA） が、従来の 3‑2‑1 ルールを基本としつつ、多様な障害や攻撃を想定したバックアップ運用と、復元可能性の確保の重要性を強調しています。

3‑2‑1‑1‑0 ルールは、こうした公的機関の考え方を踏まえ、現代の脅威環境に対応するために実務上整理された運用指針と位置づけることができます。

※なお、「3‑2‑1‑1‑0 ルール」という名称は公的機関が公式に定義した用語ではなく、CISA や IPA が示すバックアップに関する推奨事項を体系的に整理したものとして、業界で広く用いられている表現です。

ランサムウェア対策には、3-2-1-1-0ルールなどを考慮に入れるとともに、人的対応も採り入れながらバックアップ体制の充実化を検討していく必要があります。バックアップ体制の設計や構築、運用のポイントをみていきましょう。

まず明確にすべきはバックアップの目的です。対策すべき想定リスクには、ランサムウェアに代表されるサイバー攻撃に加えて、自然災害や人的ミスなど、どのリスクに対して対策を施すのか、目的を定めておきます。

目的を明確化したら、それらを具体化するべくバックアップ対策の設計を行います。自社のビジネスや業務内容と照らし合わせ、データやサーバーの重要度や特性を把握し、保護の対象と優先度を分類していきます。加えて、万が一の障害を想定し、復旧の範囲や所要時間も定めます。その際、RPO（目標復旧時点）やRTO（目標復旧時間）といった具体的な目標値を設定することが重要です。さらに、バックアップデータの世代管理のルールなども決めておくとよいでしょう。

設計が終わったらバックアップ体制の構築に移ります。あらかじめ設計した内容に応じてバックアップの手法や場所、さらにバックアップ製品やサービスの採用など、自社のシステムに合わせたバックアップに必要な要件を具体化していきます。バックアップ製品やサービスを利用しながら自動化できる作業を盛り込んでいくとよいでしょう。作業負荷や属人性の低減、バックアップの確実性の向上が見込めるようになります。

バックアップのシステムと合わせて、運用管理体制を強化することも重要です。バックアップの頻度や手順、リストアの手順、運用管理担当者、指示・報告・承認フローなどのエスカレーションルールをはじめとして、体制を細かく定めておきます。それに関連して、バックアップの運用において個々に必要なルールも定めます。例えば、クライアントPCのバックアップに外部記憶媒体を用いるなら、情報セキュリティポリシーに応じて、持ち出し禁止や保管場所の規定といったルールを設けます。

このように運用管理体制やルールを明記し、企業や組織で共有したうえで運用管理を実践していきます。必要に応じて社内教育や研修を実施します。また、バックアップ体制の設計や構築、運用について、社内で行うのが難しければベンダーの運用保守サービスを活用する方法も有効な対策です。

ここまで述べてきたように、企業のランサムウェア対策には、適切なバックアップ体制の設計、構築、運用が不可欠です。それとともに、バックアップには適切な製品やサービスの選定が肝要です。

「Cohesity」は、機能性と運用性、拡張性のバランスに優れた、ランサムウェア対策におけるバックアップ基盤として最適なソリューションです。

例えば、先述の「3-2-1ルール」「3-2-1-1-0ルール」では、Cohesityを導入することで、ルールに沿った構成をシンプルな構成で実装し、効率的な運用を実現します。

その裏付けとなる特徴の1つが「仮想エアギャップ」です。一般的に「エアギャップ」とは、ストレージデバイスのデータをあらゆるネットワークから物理的に隔離するセキュリティアプローチです。物理的に隔離されているため、データ転送にはUSBドライブを使用するなど人間の介入が必要になります。しかし、そこに脆弱性が生まれるという問題があります。

それに対して、Cohesityの仮想エアギャップは、データを物理的ではなく論理的に隔離します。隔離したデータには、権限を持ったユーザーが多要素認証を通過しないとアクセスできないようになっています。そのうえ、データ転送・保存は暗号化され、かつ独自OSとImmutable（不変）ファイルシステムの採用によって改ざん防止も機能しています。

このように、仮想エアギャップは、物理運用の手間やヒューマンエラーを排除しつつ、同等の保護を実現できるのが特徴です。これらにより、「3-2-1-1-0」ルールの後ろの「1」に対応できます。また、「3-2-1-1-0」ルールの「0」についても、Cohesityならリストアのテストなどの敵的なチェックが効率的に実施できます。

さらにCohesityはグローバル重複排除と圧縮により、バックアップデータ容量を抑えることができます。バックアップしたデータは「インスタントリカバリ」機能によって、高速に任意の場所へリストアして柔軟に活用できます。加えて、データを細かく分割し、冗長性も持たせて保存する「イレイジャーコーディング」により、1ノード単位でスケールアウトして効率的な容量利用ができる高い拡張性を持っています。

ほかにもCohesityは、APIによって仮想サーバーや物理サーバー、データベース、アプリケーション、ストレージの各ベンダー、そして各種クラウドサービスともシームレスな連携が可能です。また、Web管理画面も使いやすく、円滑なバックアップ運用管理を支援します。

また、Cohesityの提供形態にはハードウェア版、仮想版、クラウド版、BaaS（Backup as a Service）版の4種類があり、自社の環境に応じて導入できます。ソフトウェアライセンスはサブスクリプション型の容量課金制であり、バックアップ元のサーバー台数やユーザー数などに左右されることなく、高い費用対効果を発揮しています。

Cohesityの導入後は、AIを活用したランサムウェア検知の他、リモートサポート、ランサムウェア対応専任チームのCERT（Cyber Event Response Team）など、運用フェーズを支える体制も提供されています。さらに、Cohesity Authorized Partnerであるテクマトリックスの経験豊富なエンジニアが日本語で導入・運用支援を行い、立ち上げの不確実性を低減し、円滑なバックアップ運用を支援します。

今回はバックアップ体制の設計や構築・運用のポイント、そしてバックアップソリューションであるCohesityを活用した運用体制づくりを中心に解説しました。次回は、ますます高度化する脅威への有効な対策として、AIを活用した脅威対策について紹介していきます。

関連ブログ