** 本記事は、Understanding data backups の翻訳です。最新の情報は英語記事をご覧ください。**
企業へのサイバー攻撃への備えとして、データのバックアップを取ること以上にその復元 (リストア) がより重要であると言われています。これまで多くの企業がバックアップの復元に失敗したり、正しく復元できなかったり、あるいはそもそもバックアップデータが破損していたりするなどの問題に悩まされてきました。事業継続の観点からは、正しく行われていないバックアップに全く意味がありません。
しかし、実際には、正しく復元でき、マルウェアの影響を受けておらず、暗号化されており安全性が確保されたバックアップを、 IT セキュリティチームが目にすることはなかなかありません。
ソフォスの「ランサムウェアの現状(2021 年版)」によると、回答者の 37% がランサムウェアの被害を受けたと回答しています。そのうち 96% が身代金を支払った後にデータを復旧したと回答していますが、被害を受けた暗号化されたデータのうち、復元できたのは 65% に過ぎません。これらの統計は、安全なバックアップを取るだけでなく、ネットワークに直接接続されている物理的なバックアップを保護することがいかに不可欠であるかを示しています。
バックアップの種類:
バックアップには、以下の 5 つの種類があります。
- ファイルベースのフルバックアップ: フルバックアップは最もシンプルなバックアップで、表示されているファイルのみをバックアップし、隠しファイルや隠されることの多いシステムファイルはバックアップしないため、ファイルベースバックアップと呼ばれています。この種類にはバックアップするよう選択したすべてのフォルダーとファイルが含まれます。
- 増分バックアップ: このバックアップには、前回行われたバックアップで含まれなかったファイルのみが含まれます。増分バックアップから作成されたバックアップを復元する場合、フルバックアップから始めて、作成された順番に各増分バックアップを復元する必要があります。
- 差分バックアップ:差分バックアップには、直近のフルバックアップ以降に追加または変更されたデータのみが含まれます。この方法でリストアする場合、最初のフルバックアップと最新の増分バックアップのみを復元する必要があります。
- イメージバックアップ: イメージバックアップには、隠しファイルやシステムファイルを含む、ディスク上のすべてのデータが含まれます。フルイメージバックアップの補完には、増分または差分イメージを使用することができます。
- コピージョブ: これには、ある場所から別の場所にコピーされた個々のファイルまたはフォルダーが含まれます。
効果的なバックアップの復元に関する推奨事項
以下で紹介するバックアップと復元のポリシーと手順を成功させるためのポイントに留意することで、最終的な目標であるバックアップ復元を成功させやすくすることができます。
- スキャンと検証: バックアップを行う前に、マルウェアやその他の危険性がないかドライブをスキャンしておくと問題のリスクとなりうる原因を検証でき、ドライブが危険にさらされた際のリスクを低くすることができます。バックアップが作成されたら、まずそのバックアップを再スキャンして、バックアップが正常に行われ、復元可能であることを確認しましょう。これにより、将来的にバックアップが無効になるまたは破損する可能性を大幅に減らすことができます。これは、マスターバックアップ (ファイルのフルバックアップまたはイメージバックアップ) および増分または差分バックアップで実行してください。
- コピーを複数取っておく: 各バックアップの複数のコピー ( いつでもアクセスできるものとクラウド上にオフサイトで保管されているもの両方 ) を持つことを強くお勧めします。
機密性の高いデータやミッションクリティカルな知的財産については、物理的に取ったコピーを保管庫に保存することを検討してもよいでしょう。コピーを複数取っておけば、一つ目のバックアップサイトが破損したり、セキュリティが侵害されたりした場合でも安全が確保できます。物理的なコピーをオフサイトで保管する場合は、ディスクを明確に識別できるように、作成日およびディスク内の内容の説明を記載するようにしてください。
- バックアップの暗号化: すべてのバックアップを暗号化することを強く推奨します。
- バックアップへの書き込みを保護する: セキュリティ専門家の間では、いろいろなバックアップ方法が行われています。例えば、データを暗号化するだけでなく、バックアップをロックして、暗号化解除、マウント処理、修正をできないようにするアプリケーションが使用されています。他にも、バックアップを定期的に再スキャンしたり、バックアップにセキュリティパッチをインストールしたりすることを推奨しているセキュリティ専門家もいれば、バックアップを原状回復して、バックアップを復元する必要がある場合にのみパッチを適用することを推奨している方もいます。
- バックアップをテストする: バックアップを復元する必要がない場合でも、点検を兼ねて定期的にバックアップをテストマシンに復元するのも良いでしょう。この方法によって、セキュリティチームは復元の方針と手順を定期的にテストできます。ソフトウェアが変更されたり、新しいスタッフが加入したりした場合、このような机上演習はスタッフの専門知識の確保に役立ちます。
最適なバックアップスケジュール
バックアップ戦略としてよく知られているものに、Grandfather-Father-Son(GFS)方式でローテーションするバックアップがあります。これは、3 段階に分けてバックアップする方法で、月に一度のバックアップ、週に一度のフルバックアップ、そして毎日の増分バックアップのように構成されます。この方法のバリエーションとしては、週に一度のバックアップを週単位の差分バックアップとするものもあります。また、1 時間ごとに追加バックアップをしたり、ソフトウェアのインストールやネットワークの再構成前、マルウェアスキャン後など、特定の基準が満たされた後に随時バックアップしたりするなど、さまざまな時期にバックアップを行うことも可能です。
このバックアップ戦略の一つとして、最初にローカルサイトまたはクラウドインスタンスのバックアップを行い、次のときには別のローカルサイトまたはクラウドインスタンスのバックアップを行うことを選択することもできます。オーバーヘッドは、選択したバックアップ用ソフトウェア、クラウドにバックアップするかローカルネットワークにバックアップするか、バックアップするデータの量、状況に応じた指標など、さまざまな要因に依存します。
詳細情報
ソフォスは、バックアップを保護するための 2 つの製品を提供しています。
Sophos Workload Protection は、クラウドとオンプレミス環境におけるバックアップを保護します。Sophos Cloud Optix はAmazon Web Services (AWS)、 Microsoft Azure、 Google Cloud Platform (GCP) のアカウントで、バックアップスケジュールが有効になっていないクラウドストレージサービスを監視し、ガイド付きの修復方法を提供します。
バックアップのセキュリティ要件とソフォスの支援方法については、ソフォスの担当者にご相談ください。Cloud Workload Protection と Sophos Cloud Optix の詳細、および無料トライアルの導入については、ソフォスの Web サイトをご覧ください。