リスクに備えるための「クラウドバックアップ」はじめの一歩とは？【JapanSecuritySummit 2023 Neutrix Cloud Japanセッションレポート】

最近のランサムウェアは、本番データだけでなく、バックアップデータも標的にする。また、広く普及したSaaSデータの長期保管は、ユーザーの責任範囲なので誤って削除してデータを喪失したり、内部/外部のセキュリティ脅威などに直面したりする場合の備えが大切である。Neutrix Cloud Japan株式会社 コーポレート本部 野口諒子氏は「クラウドバックアップのはじめの一歩」をテーマに、オンプレミスやパブリッククラウドとセキュアに接続できるNeutrix Cloudを活用したバックアップサービスのメリットや活用例を解説した。

「攻め」と「守り」の切り口から考えるバックアップの必要性とは？

そもそも企業活動において、なぜバックアップが必要なのでしょうか？　まず想像するのは「守り」のバックアップでしょう。何かトラブルがあったときにデータを喪失しないために導入する目的です。もう1つは「攻め」のバックアップです。この「攻め」のバックアップとは、自社ビジネスを優位に進めていくためのものです。たとえば、データ分析やデータ活用により、新しい価値を創造するといった目的です。

また本番環境に影響しないデータ統合基盤の必要性も増しています。実際にデータ統合基盤の技術的な年間利用料をみると、5000万円以上を割り当てた企業が増加しており、1000万円以上を投資する企業も全体の「4分の1」を占めており、継続的な投資対象になっているようです（出典：マーケテイングデータ活用実態調査2023年度版）。一方で3割の企業が「わからない」と回答し、データ利活用の予算面での2極分化が起きています。

データ統合基盤システムには、AWS、Amazon redshift、GoogleCloud BigQueryなどがあり、データ活用サービス（PowerBIやTableauなど）に関する投資予算は別となるため、データ活用全般に投資している企業との差は広がるばかりです。 一方、守りのバックアップについては、企業活動に欠かせない根幹となるものです。バックアップが求められるのは、企業において大事なデータを保護するためというシンプルな理由です。データが破損したり、損失したりする原因には、いろいろな要因がありますが、オンプレミスでもクラウドでもデータが何らかの物理的な影響を受けるリスクがあります。その原因を外部要因と内部要因に分けて考えましょう。

まず内部要因では、ハードウェアやソフトウェアの障害、誤操作によるデータ削除といったヒューマンエラーなどの環境面のほか、悪意ある内部不正も考えられます。また外部要因としては、自然災害、停電、サービス障害のほか、ランサムウェアなどによる攻撃もあるでしょう。特に最近では、この手の攻撃の被害が後を絶ちません。これらの攻撃者は組織化され、その手法も巧妙化かつ高度化しています。

セキュリティ対策には、予防・検知・封じ込めなど複数の段階がありますが、ここで扱うバックアップは被害後に復旧する事後対策となります。もちろんセキュリティツールで予防・検知の対策は必要ですが、もはやシステムを100％防ぐことはできません。そこで侵害時の対策も講じておくことが大切です。インシデントからデータを保護するために、データをコピーして別の場所に保管しておくことが、守りのバックアップになります。

4つの観点から留意するバックアップのチェックポイントとは？

これらを踏まえて、もしバックアップシステムがなかったとしたら、どんなリスクがあるのか想定してみましょう。新たにバックアップを導入したり、既存バックアップを強化する際に、具体的にどのような構成にすればよいのか、「競争力低下」「システム障害」「サイバー攻撃」「ヒューマンエラー」という4つ観点で考えてみます。

まず1つ目は攻めのバックアップをせず、データ活用に向けた取り組みや新しい価値創造をしないければ、自社の競争力の低下につながるでしょう。攻めのバックアップでデータ分析を行うには、本番環境のデータを専用アプリやクラウドなどの分析側に提供しなければなりません。もちろん現行業務が滞りなく進んでいることが前提になりますので、本来の業務に影響を与えないことが大切です。そのためには一度バックアップデータを取って、そこから分析側にデータを提供できるようにしておけば良いでしょう。

まず自社がオンプレミスで持っているデータをバックアップし、次にバックアップデータのスナップショットやクローンを作成します。書き込み可能なスナップショットも作成できるため、これをデータ分析側のアプリやサービスから操作して、検証や開発を行う流れになります。またデータを活用する企業では、データの準備にも力を入れています。複数環境に散在するデータを集約し、次の処理や分析ができるようにデータを整備しておきます。実際にデータを統合するための「ETL基盤」（Extract （抽出）、Transform （変換）、Load （書き出し）の略語）として、当社のNeutrix Cloudが採用されるケースもあります。

データ処理を効率化したり、バックアップストレージの容量効率を高めることは、業務時間の短縮やコスト削減にダイレクトにつながるため、多くの企業にメリットをもたらします。将来のデータ利活用に向けて、自社データを蓄積しようとしている場合には、データ保管場所を慎重に選ぶことが肝要です。パブリックラウドのストレージでデータを取り出したり移動したりすると、従量課金が発生します。データ分析をする際にはAPIリクエストが多数発生することもあり、基本料金以外にどのくらい費用がかかるか＋αを見積もっておかねばなりません。

2点目はシステム障害に備えるバックアップです。オンプレミスの物理/仮想サーバーに障害が起きると、長時間のサービスやデータ連携の停止が起き、取引先やサービス利用者に影響を及ぼします。さらにデータ損失という重大インシデントが発生した場合、従業員を含むステークホルダーからの信用低下につながります。バックアップを取っていても復旧に時間がかかると影響が大きくなります。何か事故が起きたときに迅速なリストが可能かどうかを十分にチェックしておく必要があるでしょう。

これには各サーバーやネットワークの冗長化が前提になりますが、さらなる対策として物理/仮想サーバーを別の場所にバックアップしておくと安心です。たとえば、Neutrix Cloud上にVeeamなどのバックアップサーバーとリポジトリーを設置し、オンプレミスのサーバーやパブリッククラウドのイメージバックアップを取っておくことで、万が一の場合でもリストアが可能になります。

3つ目は大きな脅威であるサイバー攻撃への対応です。特に日本ではランサムウェアの被害が広がっています。今年3月に警察庁が公表した調査では、被害に遭った企業が復旧に要した時間は1ヵ月以上～2ヵ月未満が16％、2ヵ月以上が11％、復旧中が22％になっています。また調査・復旧費用の総額は1000万円以上5000万円未満が33％、5000万円以上が13％で、約50％以上が1000万円以上かかっているそうです。企業の大小にかかわらず、想定外の費用が発生しています。さらに被害がサプライチェ－ンに及ぶ場合は、企業の信用が毀損されてしまいます。

最近のランサムウェアは本番データだけでなく、バックアップデータまで標的にします。不正アクセスや不正操作が起きると考えて、攻撃を受けても短時間で復旧できる備えが必要です。そのためには、まずクリーンなデータが求められます。整合性の取れたアクセス可能なコピーをオフサイトに保存し、書き換え不能なバックアップを確保します。よく言われる「3－2－1ルール」に則るとよいでしょう。これはデータを3ヵ所に持ち、異なる2つの媒体に保存し、1つはオフサイトに保管するというものです。

近年は、さらに「3－2－1－1ルール」や「3－2－1－1－0ルール」もあります。この3－2－1－1－0ルールは、3－2－1ルールに加え、2つめの「1」で不可変的なコピーを実施。たとえば、ランサムウェアによるバックアップの消去や暗号化に対処するもの。さらに「0」は復元時の検証でエラーが0となることを表しています。オンサイトに1次データバックアップを取っている場合、早急にオフサイトにも2次バックアップを取ることを推奨します。オンサイトでバックアップソフトを導入済なら、2次バックアップ先にクラウドを指定することも可能です。

4つ目はヒューマンエラーによるデータ損失への対策です。リモートワークが広がり、Microsoft365の利用が増えています。これまでメールやファイルサーバーで行っていた業務上のやりとりをMicrosoftのTeamsやSharePointで実施する企業も多くなりました。Microsoft365のデータの保護責任はユーザー側にあります。たとえば、ユーザーが削除したファイルやメールは一定時間はクラウドに保管されますが、その後は完全に削除されます。データバックアップを取らないと、これらを復元することはできません。

悪意を持った意図的な削除だと、事態はより深刻になります。問題が発覚したとき、該当人物が退職しており、Microsoft365のアカウントも削除されていたら、追跡調査が困難になります。監査やコンプライアンスにも問題が起きてしまいます。

具体的なクラウド・バックアップに有効な3つの構成例とは？

ここからは、クラウド・バックアップに有効な構成例について紹介します。1つ目の例は、オンプレミスの仮想サーバーをVeeam Backup & RepulicationでNutrix Cloudにバックアップするケースです。ここでオンプレミスの仮想サーバーだけでなく、AWSなどのパブリッククラウドのインスタンスも、Veeamで別の場所にバックアップできます。リポジトリにBlock Storageを用い、旧世代データにObject Storageを使えば、パフォーマンスとコストを最適化することが可能です。データは、バックアップだけでなく、実際にリストアするときのことも配慮しておきます。リストア前に検証できるか、コストがかからないか、といったことを確認しておくとよいでしょう。

2つ目の構成例は、Microsoft365のバックアップをVeeam Backup for Microsoft365でNutrix Cloud Objectストレージに保存するケースです。コンタクト情報やファイルがなくなったり、一時的に使えなくなったりすると、大きな影響が出てしまいます。Veeam Backup for Microsoft365は、いろいろな設定が可能で、たとえばファイルの誤削除なら、ユーザー自身がそのファイルを戻すことも許可できます。これにより情システムの復元依頼もなくなります。

3つ目の構成例は、既存バックアップ体制はそのまま、2次バックアップとしてNutrix Cloud Object Storageを利用するケースです。前出の3－2－1ルールに基づいて、2次バックアップを追加するなら、クラウドのObject Storageが良いでしょう。もしパブリッククラウドのObject Storageを利用しているのであれば簡単にバックアップが可能です。運用コストを削減できるケースも多いので、試算してみると良いでしょう。

最後になりましたが、Neutrix Cloud Japanの紹介とサービスラインナップについて簡単に紹介します。当社は、関西の電力会社・オプテージの全額出資により2020年に設立されました。INFINIDAT社の大容量データ対応ストレージサービス・Neutrix Cloudで、すべてのリージョンを日本国内に構えて、機微な情報を持つ企業でも利用可能なクラウド・ストレージサービスになっています。パブリッククラウドやオンプレミスとセキュアに接続でき、既存システムを活かしながら、ハイパフォーマンスなストレージを利用できる点が大きな特徴の1つです。

また、すべてのサービスが月額固定料金で提供され、為替変動や従量課金による影響がないため、年間を通じて計画的なコスト管理が行えるという特徴もあります。ぜひご検討下さい。