** 本記事は、Protect data backups from malicious attacks and theft の翻訳です。最新の情報は英語記事をご覧ください。**
サーバーやワークステーションなどのデバイスのバックアップは、ベストプラクティスであると同時に、事業継続のために必須でもあります。しかし、バックアップだけでは事業継続性やデータの保護を完全には保証できません。ディスクイメージやファイルのコピーなどのバックアップの作成は、ディザスタリカバリ計画の第一歩ではありますが、バックアップが破損した場合に企業がそのバックアップを復元できるとは限りません。しかし、それ以上に懸念されることは、バックアップ自体が攻撃者によって盗まれたり、その他の方法で侵害されたりした場合に、組織の機密データが盗まれてしまうことです。
今日のサイバー犯罪者は、過去の犯罪者と比べてはるかに狡猾で効率的です。2000 年代初頭のサイバー攻撃は、データに損傷を与えることやファイルの窃取が主な内容でした。現在では、被害者が気づかないうちに、攻撃者はデータを盗むことができるのです。
クラウドアカウントの適切な管理
膨大なデータがクラウド上に保存されている今日、巧妙な攻撃者は、被害者自身のクラウドベースのアカウントから攻撃者のアカウントに、バックアップや従来のデータストレージをリダイレクトできるようになっています。自分たちのデータがクラウド環境に安全に保存されているように見えていても、実際には、攻撃者の Web アカウントにデータを保存してしまっている組織も存在するのが現状です。
クラウドにバックアップを保存している組織では、リダイレクトされたアカウントではなく本当に自分たちのアカウントにバックアップを保存できているかを、セキュリティ担当者が定期的に確認する必要があります。Sophos Naked Security の記事「CISO warning: “Russian actions bypassed 2FA” – what happened and how to avoid it」で紹介されているロシアの国家活動家と同様の方法 (漏洩したシステム管理者の資格情報を使用し、2 要素認証を通過させる) で、サイバー犯罪者は、クラウドサーバー上の 1 つまたは複数のアカウントを乗っ取り、バックアップを含む企業ファイルにアクセスできます。
バックアップの保護
バックアップが暗号化されていないと、攻撃者にバックアップのデータを読み取られたり、バックアップにマルウェアを仕込まれたりする可能性があります。そのため、バックアップを復元すると、サーバーが再感染するケースもあります。
バックアップの暗号化は、単にサイバーセキュリティのベストプラクティスなだけではありません。サイバー保険会社であるマーシュ・マクレナン・エージェンシーが、サイバー保険加入に必要なセキュリティコントロールのトップ 5 として挙げている、12 の重要なセキュリティコントロールの 1 つでもあるのです。バックアップの暗号化は、多要素認証、エンドポイント検出と対応、特権アクセス管理、電子メールフィルタリング、Web セキュリティと並んで、重要な IT 制御の中でも最上位にランクされています。
アクセスやデータパターンの異常を監視するバックアップ製品は、ランサムウェア攻撃など、システム上のマルウェアの可能性を特定するために使用できます。サーバーのバックアップを、既存のセキュリティ情報 / イベント管理 (SIEM) ソフトウェア、またはセキュリティオーケストレーションの自動化とレスポンス (SOAR) アプリケーションと統合することが、IT セキュリティチームによる、システム侵害の可能性を警告するシステム異常の特定に大きく役立ちます。
攻撃を想定した計画
攻撃を想定したバックアップ戦略を立てている組織は、あらゆる面で優位に立つことができます。バックアップされるサーバーは、ワークステーション用 (Windows 10 または 11 など)、または Windows サーバー用の Windows バージョンを実行していると仮定しましょう。もしその組織が Windows を中心に使用している企業であれば、適切なバックアップシステムは Linux を実行し、その結果のバックアップを企業ネットワークに接続されていない Linux システムに保存するでしょう。
この方法は確実ではありませんが、Windows ベースのネットワークを狙った攻撃をかなりの割合で排除できます。
バックアップを復元するために必要な時間は、適切なオフサイトのストレージ環境を選択するかどうかで大きく異なります。バックアップとしてホットサイト (既存のネットワークを正確にミラーリングするサイト。プライマリーネットワークに障害が発生した際、その代わりの複製として機能する) を選択した場合、既存のネットワークとの間にある程度の距離を置くことを検討してください。
2000 年代初頭にフロリダを大型ハリケーンが襲った際、ホットサイトが既存のネットワークから数マイルしか離れていなかったため、数週間ネット接続ができなくなってしまった企業もありました。洪水は、その会社のプライマリーデータセンターだけでなく、バックアップにも被害を与えたのです。世界貿易センタービルの崩壊後にも、同様の現象が報告されています。主要なデータセンターは、1 つのタワーの下に位置していました。そのデータセンターをホットバックアップとして使用していた世界貿易センタービル内の企業は、データセンターが大量の瓦礫に埋もれてしまったため、オフィスのすべてを失っただけでなく、バックアップもすべて失ってしまいました。
ホットサイトの場所は、主要ネットワークから100 マイル以上離れた場所を選択するべきです。ローカルディスクにデータを書き込んでから、ホットバックアップに同じデータを書き込むまでにタイムラグが生じてしまいますが、物理的に離れていれば、ハリケーンによる洪水や大規模な森林火災のような自然災害による影響の可能性を排除できます。ハリケーンがよく通るような自然災害線上に施設がある場合、可能性はゼロではありませんが、自然災害が数 100 マイル離れた施設に影響を与えることは滅多にありません。
バックアップを漏洩、傍受、または損傷から保護することは、組織のサイバーセキュリティチームにとって不可欠なタスクです。世界バックアップデーを目前に控え、セキュリティチームは、すべてのバックアップが安全に、確実に、暗号化された状態で、複数の場所 (ソースサーバーから遠く離れた場所を少なくとも 1 つは含む) に保存されていることを確認するために一層努力する必要があります。