ランサムウェアからバックアップデータを保護するためのステップ

データを定期的にバックアップすることは、ランサムウェアの攻撃から保護するためにできる最も重要なことの1つです。バックアップがあれば、ランサムウェアが本番システムを制御した場合でも、データの「クリーン」なコピーを使用して業務を復旧することができます。

しかし、それはバックアップデータそのものがランサムウェアから保護されている限りにおいての話です。もし攻撃者がバックアップを侵害することに成功すれば、復旧のためにデータを使用できなくすることができます。その結果、復旧のためには身代金を支払うしかない場合がほとんどです。このようなリスクを考慮し、ここではランサムウェアの攻撃からデータバックアップとバックアップインフラを保護するための戦略を紹介します。

ランサムウェアからクラウドバックアップを保護する

3-2-1バックアップルールに従っている場合、ルールの一部であるオフサイトバックアップストレージの場所としてクラウドを使用している可能性が高いです。その場合、ランサムウェアからバックアップを保護することは、クラウドストレージサービスを脆弱性から保護することでもある。そのために取るべき手段は複数あります。

イミュータブル(immutable)・バックアップ
Immutability機能はデータの安全性を保つ上で大きな前進をもたらします。この機能により、バックアップデータの上書きや削除を防ぐことができ、環境全体がランサムウェアに襲われたとしても、バックアップされたデータが変更されることはない。復旧のために、常に変更されていない、または変更されていないコピーが保証されているのです。

アクセス制御
バックアップをホストするクラウドインフラへのアクセスを制限するために、クラウドプロバイダのIAMフレームワークを最大限に活用するようにしてください。最小特権の原則に従い（言い換えれば、明示的に必要とされない限り、どのアカウントにもデータへのアクセスを与えない）、認証要求を処理するために二要素認証を使用します。

クラウドバックアップからの復旧テスト
クラウドベースのバックアップからシステムをスムーズに復元できることを確認することは、クラウドバックアップのデータそのものを保護することにはなりませんが、ランサムウェアが発生した場合に、身代金を支払わずにクラウドバックアップを使用して迅速に復旧できることを確信することができます。クラウドバックアップを利用することで、身代金を支払うことなく、迅速に復旧することができます。

2つ目のクラウドを検討する
クラウドバックアップデータの保護を強化するために、同時に複数のクラウドにバックアップを保存することを検討してください。例えば、AWS S3ストレージとWasabiの両方を使用します。そうすれば、一方のクラウドストレージサービスがランサムウェアによって侵害された場合でも、2つ目の場所から復元することができます。クラウドに2つの完全なバックアップコピーを保存する予算がない場合でも、ミッションクリティカルなファイルのセカンダリコピーを保存するために第2のクラウドを使用することができることを覚えておいてください。

ローカルバックアップ

クラウドにバックアップデータを保存するだけでなく、ローカルにもバックアップをとっている方も多いでしょう。ここでは、このデータをランサムウェアから守るための戦略をご紹介します。
ランサムウェアからデータを保護するための戦略をご紹介します。

エアギャップ
データストレージにおいて「エアギャップ」とは、データをネットワークから切り離し、インターネットから発生する脅威（ほとんどの場合）に影響を与えないようにすることです。ローカルデータのバックアップは、おそらくネットワーク経由で実行されるため、完全に切り離すことはできません。しかし、ネットワーク接続をオフにするか、バックアップが完了したらデータをオフラインのローカルストレージデバイス（USBディスクなど）に移動して、エアギャップを作ることはできます。

オフラインでのバックアップ
場合によっては、ネットワークに依存しないバックアップを実行することも可能です。例えば、バックアップする機器に直接接続したUSBドライブにデータをバックアップし、バックアップが完了したらUSBドライブを取り外すという方法です。この方法なら、バックアップがインターネットに公開されることはありません。ただし、ハードディスクを物理的に移動したり接続したりする必要があるため、手作業が増えるという欠点があります。

隠しパーティション
ランサムウェアがローカルデータのバックアップにアクセスする能力を軽減するもう一つの方法は、「隠し」パーティションに保存することです。隠しパーティションとは、ハードディスクやUSBドライブのうち、アクティブでない（専門用語では「マウント」されていない）部分のことを指します。マウントされていないパーティション内のデータは読み書きができず、通常、管理者権限を持つアカウントのみがパーティションをマウントすることができます。

このように、隠しパーティションにバックアップデータを保存すると、ランサムウェアからデータを保護するのに役立ついくつかのアクセス障壁を作成することができます。隠しパーティションは、攻撃に対する完全な保証にはなりませんが（攻撃者がパーティションをマウントする方法を見つけ、ランサムウェアをインストールするリスクは常にあります。）、いくつかの有用な保護が追加されます。ただし、パーティションからデータを復元する前に、パーティションをマウントする必要があるというトレードオフがあります。

バックアップとリカバリーのオペレーション

バックアップストレージを保護するだけでなく、バックアップ操作自体（データのバックアップやリカバリに使用するプロセス）を保護する必要があります。

バックアップ用のアカウントとパスワードの独自化
ベストプラクティスは、バックアップ操作のためのアカウントとパスワードを別々に作成することです。つまり、他の目的（ワークステーションへのアクセスなど）のために存在するアカウントをバックアップに使用しないこと、そしてバックアップアカウントに関連するパスワードがユニークであることを確認することです。このようにすることで、通常のユーザーアカウントやパスワードを侵害した攻撃者が、その情報を使ってバックアップを制御することを防ぐことができます。バックアップを制御するために、その情報を使用することを防ぎます。

複数のアカウント
バックアップとリカバリーのオペレーションを行うために、複数のアカウントを用意することも効果的です。例えば、バックアップソフトウェアを実行するためのアカウント、作成されたバックアップデータにアクセスするためのアカウント、データの復元操作を実行するためのアカウントなどがあります。

複数のアカウントは管理の観点から複雑さを増しますが、1つのアカウントを侵害した攻撃者がバックアップとリカバリ操作の1つの部分のみをコントロールできるため、より高いセキュリティを提供します。

最後に、クライムでは複数のランサムウェア対応ソリューションを提供しています。