バックアップは取ってたのに戻せなかった——復旧現場で最も多い失敗パターン
「バックアップがあるから安心」——多くの企業がそう考えているが、この認識が重大な落とし穴となっている。警察庁の「令和6年上半期におけるサイバー空間をめぐる脅威の情勢について」によると、バックアップを取っていた企業のうち約75%がバックアップデータから復旧できなかったという驚愕の事実が明らかになった。Rubrik Japan執行役員の矢吹洋介氏への取材から、企業が陥りがちな誤解と真に有効な対策を探る。
攻撃の標的はクラウドへ、IDが侵害の中心に
情報処理推進機構(IPA)の「情報セキュリティ10大脅威」では「ランサム攻撃による被害」が10年連続で選出され、近年は1位の席を譲らない。しかし、その実態は大きく変化している。
「被害対象がオンプレミスからクラウド、とりわけIaaSやSaaSに拡大してきています」と矢吹氏は指摘する。SaaSへの攻撃では、データを暗号化するのではなくデータ削除が多いという。正規ユーザーになりすまして侵入し、高い権限で組織のデータをまるごと消去した上で身代金を要求する手口だ。
「攻撃者が脆弱性を突いてIDを乗っ取り、その権限を昇格させて横展開するというアプローチは変わりません。IDが侵害されて正規ユーザーとして振る舞われてしまっては、いくらインフラレベルでセキュリティが強固なSaaSでも意味がなくなります。最近はAIが攻撃のスピードと質を大幅に強化・加速させており、IDを窃取する手口も巧妙化しています」と矢吹氏は説明する。
防御・検知への過信が招く深刻な被害
矢吹氏は企業の誤解として、まず防御・検知への過信を挙げる。NISTのサイバーセキュリティフレームワークでは「特定・防御」と「検知・対応・復旧」による管理策を示しているが、現実は厳しい。
「防御・検知に優れたツールを入れていたはずの大企業でも、ランサムウェアにより長期間の業務停止を余儀なくされる被害が相次いでいます。この現実を踏まえ、システムへの侵入を前提としたレジリエンスの重要性を認識した対策を講じなければなりません」と矢吹氏は語る。
従来型バックアップが「復旧できない」技術的理由
なぜ多くの企業のバックアップは攻撃に対して脆弱なのか。矢吹氏は技術的な問題点を具体的に指摘する。
「第一に、従来の一般的なバックアップソフトウェアはWindowsやLinuxといった汎用OSの上にインストールされています。つまり、OSの管理者権限を持つアカウントが侵害されれば、バックアップデータも簡単に壊されてしまうのです」
「第二に、バックアップソフトウェアで取得したデータは、汎用ストレージにNFSやSMBといったオープンなプロトコルで格納されるのが一般的です。ひとたびファイアウォールの内側に入られると、ストレージのデータに容易にアクセスされ、暗号化や削除などの操作が非常に簡単に行えてしまうのです」
さらに深刻なのは、仮にバックアップデータが部分的に生き残っていても、マルウェアが潜んでいる可能性があるため、1つひとつフォレンジック調査を実施する必要があることだ。この工程がRTO(Recovery Time Objective:目標復旧時間)を大幅に延ばし、ビジネス復旧の障害となっている。
AD破壊で企業活動が完全停止するリスク
矢吹氏は3つ目の問題点として、ID対策の軽視を挙げる。「多くのCIOやセキュリティ責任者と会話してきましたが、サーバーやエンドポイントの対策はできていても、IDはまだ十分に対策できていないという声が非常に多いのが実態です」
攻撃者はAD(Active Directory)やEntra IDなど業務の中核となる認証基盤を狙うことで企業活動を滞らせ、身代金支払いの圧力を一気に高められる。ADが破壊されれば一から再構築が必要で、買収を重ねて大きくなった企業では多層構造で複雑化しているため、復旧はさらに困難になる。
改ざん困難な独自アーキテクチャとRTO短縮技術
こうした脅威に対し、Rubrikのデータ保護ソリューションは独自の技術的特徴を持つ。オープンなプロトコルを排除し、外部からのデータへの直接アクセスを防ぐ構造で、ネットワークに侵入されてもバックアップデータへ到達しにくい設計となっている。
特許技術の「イミュータブルファイルシステム」では、一度書き込まれたデータに対して一切の変更、暗号化、削除ができない追記型の仕組みを提供。汎用OSではなくLinuxをベースに開発された独自OS上で稼働するため、一般的なマルウェアは実行できない。
復旧面では「可観測性(オブザーバビリティ)」により、攻撃によってどこが被害を受けたのか、どの世代までさかのぼってリストアすればよいのかを特定する仕組みを備える。システム復旧に平均して2カ月以上かかると言われる中で、Rubrikはそれを1/10に短縮できるという。
「オンプレミス、IaaS、SaaS、そしてIDまでを単一コンソールで統合管理できる点もRubrikの強みです。複雑化したADとEntra IDを含めたリストアができるのも大きな特徴だと自負しています」と矢吹氏は説明する。
短期的影響:警察庁データが示すバックアップ復旧失敗率75%という現実は、多くの企業が抱く「バックアップ神話」を根底から覆すものです。従来型バックアップの技術的脆弱性(汎用OS上での稼働、オープンプロトコルの使用)が明確になった今、企業は早急に自社のデータ保護環境を見直す必要があります。
中長期的影響:ランサムウェア攻撃のクラウド・SaaS領域への拡大とAI技術による攻撃の高度化は、従来の「防御・検知中心」の発想から「侵入前提のレジリエンス重視」への根本的な転換を企業に迫っています。特にID管理とAD保護の重要性が高まる中、統合的なサイバーリカバリ戦略の構築が企業の生存条件となるでしょう。
読者への示唆:まず自社がランサムウェア被害を受けた場合の損失を具体的に試算し、現在のデータ保護環境を棚卸しすることから始めましょう。特に、バックアップデータが攻撃者からアクセス可能な状態にないか、AD等の認証基盤の保護は十分か、復旧手順は実際に機能するかを検証することが重要です。一般的に、3-2-1ルール(3つのコピー、2つの異なるメディア、1つのオフサイト保管)に加えて、エアギャップやイミュータブルストレージの活用も検討すべきでしょう。
