不変バックアップの解説:データを保護するために知っておくべきすべてのこと
世界中の多くの企業は、ランサムウェアや悪意のある活動に対抗する上で、バックアップを最も重要な手段として活用しています。バックアップがあれば、ランサムウェア被害の発生中や直後も、企業は業務を継続し、顧客へのサービス提供を続けることができます。また、データへのアクセス権を取り戻すために身代金を支払う事態を回避するのにも役立ちます。例えば、次のようなケースを考えてみてください。 2021年の富士フイルムに対するランサムウェア攻撃 そして同社は、ハッカーの要求に屈することなく、バックアップからサーバーを復旧させた。
とはいえ、バックアップも組織内の他のデータと同様に、マルウェアの脅威にさらされる可能性がある。 さらに、多くの組織は、バックアップデータも、誤った変更、上書き、破損といった一般的な脅威に対して脆弱であることに気づき始めています。不変のバックアップは、貴重なデータの完全な損失を防ぐための必須機能の一つとなっています。
このブログ記事では、不変のバックアップとは何か、不変性によるメリット、不変リポジトリのさまざまな種類、そしてバックアップと復旧戦略を最大限に活用するために実装すべきさまざまなアプローチについて解説します。
不変バックアップとは何ですか?
簡単に言えば、不変バックアップとは、いかなる理由があっても変更や削除ができないバックアップファイルのことです。つまり、この種のバックアップは、バックアップ作成後にシステムに侵入した新たなランサムウェアの感染から守られます。また、誤ってファイルを削除したり、バックアップファイルを上書きしたりといった、悪意のないデータ損失の脅威からも安全です。
これらの不変バックアップは、WORM(Write Once Read Many)モデルを使用して保存されます。 WORMは、データの長期保存と真正性を確保するために、さまざまなストレージデバイスで約50年にわたり使用されてきた技術です。この仕組みの主な考え方は、データが不変のストレージデバイスに一度だけ書き込まれるという点にあり、つまり、そのデータは削除や上書きができないということです。
不変バックアップのメリット
不変のバックアップを維持する主な利点は、悪意のある攻撃者やランサムウェアの標的とならず、改ざんに強く、意図せず変更されることのない重要なデータのバージョンを保持できることです。
以上を踏まえ、不変性には次のような主な利点があります:
- ランサムウェア対策: いくつかの手法では ランサムウェア対策…その中でも、不変のバックアップは、悪意のある暗号化の影響を受けないため、最優先事項となります。
- 脅威の防止: 不満を抱いた元従業員であれ、社外の人物であれ、貴社に損害を与えようとする者がいたとしても、データの不変性により、社内外の脅威からデータを保護することができます。
- 規制遵守: データを改変されていない状態で維持することで、企業は厳格なコンプライアンス要件を遵守することができます。政府機関や医療機関などの特定の業界では、長期保存要件を遵守し、データおよびバックアップが改変されておらず、真正であることを保証する必要があります。
不変ストレージのさまざまな種類
バックアップ計画に関しては、適用すべき主なルールは次のとおりです。 3-2-1戦略。これは、2つの異なるストレージ媒体に3つのデータコピー(本番用1つ+バックアップ用2つ)を保存し、そのうち1つをオフサイトに保管するという、広く採用されているバックアップ戦略です。保存先を分散させるこのプロセスにより、単一障害点を排除すると同時に、バックアップに新たなセキュリティ層を追加することができます。
近年、この戦略は、不変(イミュタブル)バックアップやエアギャップバックアップを含む、より慎重なアプローチへと拡張され、"3-2-1-1ルール"として再定義されました。末尾の"1"は、1つの不変バックアップコピーまたはエアギャップコピーを意味します。
仮想および物理インフラ向けの最新のバックアップソリューションでは、現在、いくつかの種類の不変バックアップ保存先が提供されています。ミッションクリティカルなデータは、パブリッククラウド、Linux OSベースのマシン、テープといった不変ストレージのいずれかに保存することを選択できます。これらについてそれぞれ見ていきましょう。
パブリッククラウド
パブリッククラウドはバックアップを不変化できる機能を提供するため、バックアップの保存先として利用できます。例えば、Amazon S3 や Azure Blob Storage は不変化が可能であり、管理者権限を持つユーザーを含め、誰もデータを変更、削除、または暗号化できないようにすることができます。
専用のバックアップソリューションでは、こうしたクラウドプラットフォームとの連携機能が提供されており、クラウド上で不変のバックアップを作成できるようになっています。 これらのソリューション上で、必要な期間だけバックアップの不変性を有効にし、業界のコンプライアンス基準に準拠させることができます。
Linuxにおける不変性
Linuxシステムの場合、 chattr このコマンドを使用すると、不変データを保存できます。このコマンドは、複数のユーザーがアクセスするマシン上のファイルを保護したり、重要なファイルを削除する前に追加の手順を必要とするようにしたりするなど、さまざまな場面でファイルを不変にするために使用されます。
使用方法 chattr, ファイルの属性やファイルシステムによるアクセス方法を変更できます。ファイルを不変にするには、 i 属性により、ファイルへの変更、追加書き込み、およびメタデータの変更を防止します。
バックアップソリューションのベンダーは、Linuxシステムのこの機能を活用し、ユーザーが不変のバックアップを作成できるようにしています。最新のバックアップソリューションでは、Linuxベースのバックアップリポジトリに保存されたリカバリポイントに対して不変フラグを設定できます。こうした統合されたバックアップの不変性機能により、バックアップの保持期間管理と整合性の確保が簡素化されました。
テープ
不変性をサポートするもう一つのバックアップストレージの選択肢として、テープがあります。テープは、コンプライアンス対応のためのデータ保存やアーカイブに最適なストレージメディアです。LTOテープにはWORM(Write Once Read Many)機能が備わっており、テープへの書き込みを1回のみ行うことで、不変のバックアップを維持することができます。市場には、テープへのバックアップ機能を標準搭載したデータ保護ソリューションも存在します。
不変性 vs エアギャップ方式のバックアップ
ランサムウェアという広範な脅威からバックアップデータを保護する方法は他にもあります。エアギャップ方式によるストレージは、クラウド時代以前から一般的な手法として用いられてきました。基本的に、エアギャップとは、あらゆるメディアをネットワークから完全に切り離すことを指します。オフライン状態にあるため、システムが攻撃を受けた場合でも、これらのストレージデバイスはランサムウェアの拡散の影響を受けません。
エアギャップ化されたストレージを安全な場所に保管すれば、そこに書き込まれたデータは改ざんできないため、不変のバックアップを実現できます。例えば、テープ、NAS、光ディスク、またはSSDにバックアップを保存することができます。本番サイトがダウンしたり、ランサムウェア攻撃を受けたりしても、エアギャップ化されたバックアップは影響を受けません。
その他のデータ保護機能
バックアップソリューションにおいて、不変性(イミュタビリティ)を他の機能と組み合わせることで、重要なデータに対する脅威の影響を最小限に抑え、セキュリティを強化することができます。以下の機能は不変性バックアップを完璧に補完するものですので、組織に適したデータ保護ソリューションを選ぶ際には、ぜひこれらの機能に注目してください:
バックアップの暗号化
使用 バックアップの暗号化これにより、元の情報を解読不可能な暗号文に変換し、権限のない者がデータを読み取れないようにすることができます。また、暗号化により、万が一データが悪意のある第三者の手に渡った場合でも、情報の漏洩を防ぐことができます。AES 256暗号化は、世界中の金融機関や政府機関で採用されている、データ暗号化の世界標準です。
バックアップの確認
データが復元できないと気づく最悪のタイミングは、例えばバックアップが破損しているためにランサムウェア被害に遭った後です。不変のバックアップであれ、別の媒体に保存されたバックアップであれ、必ずバックアップのテストを行い、復元可能かどうかを確認してください。最近のバックアップソリューションの多くは、自動 バックアップの検証.
ロールベースのアクセス制御
不変のバックアップへの不正アクセスを制限し、各ユーザーに特定の権限を割り当てることで、バックアップデータの誤削除や改ざんを防ぐことができます。管理者は、 ロールベースのアクセス制御 独自の役割をカスタマイズし、バックアップ、復旧、ジョブ設定などの特定の操作について、ユーザーに責任を持たせるため。
まとめ
ランサムウェアやサイバー攻撃は日々高度化しており、企業にとってデータを保護するための先進的かつ効果的な対策を講じることがますます重要になっています。
バックアップをオフサイトに保存し、改ざん不可能な状態にすることで、データ損失が発生した場合の復旧成功率を最大限に高めることができます。バックアップデータを改ざん不可能なクラウドストレージやテープに送信するか、あるいはオンサイトで改ざん不可能な形式で保管するか、どちらかを選択できます。どちらの選択肢も、ユーザーによるバックアップの改変や削除を防止します。
NAKIVO Backup & Replication ワークロードを保護するために必要なあらゆるツールと機能を提供します。ランサムウェアによる編集、削除、暗号化が不可能な、不変のバックアップを保存できます。
