コストを抑えながらもランサムウェア対策に有効な不変ストレージとは? 【JAPANSecuritySummit 2024 Neutrix Cloud Japanセッションレポート】
Neutrix Cloud Japanは、INFINIDAT社のNeutrix Cloudをベースに提供する企業として2020年に設立された企業である。これまで高性能クラウドストレージを主軸としてビジネスを展開してきた。Neutrix Cloud Japan コーポレート本部 副本部長・マーケティングマネージャーの野口諒子氏が、コストを抑えながらもセキュリティ強化が可能な同社のObjectストレージと、その活用シーンなどについて解説した。
NISTのCybersecurity Framework2.0 (CSF2.0)から、猛威を奮うランサムウェアの対応プロセスを考える
現在、Neutrix Cloudは、東京と大阪の2拠点のリージョンで各2サイトを持ち、さまざまな機能とサービスを提供している。例えばコンピュート、ネットワーク、ストレージといったIaaSや、クラウド接続ストレージ、バックアップ・レプリケーション、データベース・OS各種ライセンス、ITマネージドサービス、ユーザーポータルなどを用意している。またお客様の拠点でクラウドサービスを提供したり、OEMにも対応したりしている。
従来までのセキュリティ対策は、ネットワークの境界で侵入を防ぐ境界型セキュリティが一般的だった。しかし現在ではサイバー攻撃が高度化・巧妙化しており、サイバー攻撃を完全に阻止することは困難な状況だ。そのため、サイバー攻撃を受けることを前提に、被害を最小限に食い止め、早急にシステムを復旧するダメージコントロールが重要になる。
NISTのCybersecurity Framework2.0 (CSF2.0)では、下図のように統制・識別・防御・検知・対応・復旧の各プロセスでの対応が記載されている。
最初の統制では、組織の戦略や要求事項、サイバーセキュリティポリシーを確立して維持していくことが求められる。次の識別では、組織が持つ守るべき資産を特定し、関連するサプライヤーやリスクをについて把握する。続いて、それらの資産を守るための保護対策を講じる。ここまでが事前対応となる。 次はサイバー攻撃を受けたあとの事後対応となる。まず悪意ある侵入や攻撃を検知する。そしてインシデントの一次対応を施す。もし資産に被害があった場合には、復旧活動をしていくという流れだ。ここからは復旧にフォーカスして説明する。
コストを抑えながらも効果的なクラウドバックアップを行うためには?
昨今のランサムウェアの状況をみると、被害直前の水準にまで復元できなかった企業が全体の83%にも上るという結果が出ている(警察庁「令和5年におけるサイバー空間をめぐる脅威情報等について」)。たとえデータをバックアップしても、ランサムウェアによりバックアップデータまでも暗号化されてしまうからだ。そのため復元可能なバックアップデータの確保が重要になるということだ。 そこで、コストを抑えながらも効果的なクラウドバックアップを実施することがポイントになる。バックアップの原則を振り返ると「3-2-1」のルールがある。これは3つのデータコピーを持ち、2つの異なる媒体に保存し、1つは本番と異なるオフサイトにバックアップしておくというものだ。さらに「1-0」を加えた「3-2-1-1-0」のルールも適用する。
右から2番目の1は、物理的に隔離する、あるいは書き換え不能にすることで、ランサムウェアによる暗号化や削除から保護することができる。また最後の0では、定期的な復元テストの実行やバックアップの整合性、復元可能性を確認して、復元確認後のエラーを0にすることが可能になるわけだ。これらに加え、バックアップデータへのアクセス権限を最小限にとどめ、特権アカウントを厳重に管理することも重要になる。
さて、右側から2つ目の1のデータの書き換え不能について深堀してみると、ここで復元可能なバックアップデータを確保している。書き換え不能ということは、具体的にはバックアップデータを「不変ストレージ」(Immutable Storage)に保管するという意味になる。この不変ストレージとは、一度データを書き込んだら変更や削除ができない仕組みを備えた記憶媒体のことだ。もちろん書き換えができないため、バックアップデータの改変防止になり、外部だけでなく内部からの悪意ある変更やヒューマンエラーによる削除などへの対応も可能になる。また規制対応としてコンプライアンスにも有効だ。
不変ストレージとして利用できる2つの方法~VeeamのLinux強化リポジトリとObiectストレージのオブジェクトロック
ここからは不変ストレージとして利用できる2つの方法について簡単に紹介しよう。
1つ目は、バックアップストレージ・VeeamのLinux強化リポジトリだ。Linuxファイルシステムの変更不可フラグを使うことで、バックアップリポジトリを作成し、オフサイトにバックアップを保存する方式だ。これをVeeamのバックアップリポジトリとして登録する。不変ストレージとしてOSの標準機能を利用するため、WORM(Write Once Read Many)の機能が搭載されたストレージやサードパーティ製のソフトウェアが不要なので、コストが抑えられるというメリットもある。バックアップはVeeamのユーザーがセキュアに実行し、不正な特権昇格やSSH接続なども回避できる。
2つ目はObjectストレージのオブジェクトロックを利用する。これはオブジェクトロックを有効に設定したバケットを作成し、バックアップリポジトリとして利用する方法だ。
Objectストレージは容量単価が低く、一次バックアップだけでなく、2次/3次バックアップ先としても利用できて便利だ。Neutrix Cloudの場合は、ユーザーポータルかCLIでオブジェクトロックを設定し、Veeamのバックアップリポジトリとして追加することになる。オブジェクトロックを設定したファイルは削除できない仕組みだ(有効期限を設定)。
Neutrix Cloudならば、中小企業でも安全・安心、かつ低コストでバックアップを実現!
ここまで説明してきた不変ストレージを利用して、ランサムウェア対策を強化できるNeutrix Cloudのサービスについても触れてみよう
まずVeeamのライセンス提供についてだが、Neutrix Cloudでは、「Veeam Backup & Replication Enterprise Plus」と「Veeam Backup for Microsoft 365」の2つを用意している。Neutrix CloudのIssS上で稼働する仮想サーバーや、他社のクラウドの仮想サーバー、オンプレミスのサーバーのバックアップを取得できる。またMicrosoft 365のバックアップを行う場合には、後者のVeeam Backup for Microsoft 365を利用する。
次にVeeam BaaS(Backup as a Service)も提供している。こちらはVeeamを利用するが、サービスタイプのものなので、ユーザー自身はバックアップサーバーを構築する必要はない。ポータル上からバックアップの取得間隔や保持期間を設定すれば、すぐにバックアップを取得できる便利な仕組みだ。
ただし、こちらのバックアップの対象はNeutrix Cloud上の仮想マシンのみなので、他のクラウドやオンプレのバックアップをしたい場合は、前述のライセンスを購入していただきたい。
続いて「Veeam Backup for Microsoft 365 Initial Deployment Service」も選択できる。これはVeeam Backup for Microsoft 365を利用するユーザー向けのサービスで、バックアップサーバーとネットワーク、ストレージをポータルから自動構築できるデプロイサービスだ。ストレージはObjectストレージを利用することが前提なので、他のストレージを使いたい場合は前出のように別途サーバーを立ててストレージを構築する。
このほか、バックアップそのものではないが、バックアップを利用する際にストレージとパブリッククラウドを接続するクラウド接続サービスも用意。Neutrix Cloudの接続ストレージは、AWS、Microsoft Azure、Google Cloud、OCIで稼働するインスタンスに対応し、従来のIaaSコンピューティングはそのまま、ストレージのみNeutrix Cloudを利用できる。
ストレージボリューム(ファイルシステム)についても、複数のパブリッククラウドから同時アクセスが可能なので、異なるクラウド間でのアプリケーション共有やデータ移行にも使える。これはNeutrix Cloudのユーザーポータルから接続を設定できる。
またNeutrix Cloud Exchange(NCX)により、AWSやMicrosoft Azureなどと閉域網で接続することも可能だ。ユーザーポータルから構成を設定すると、Neutrix Cloudとパブリッククラウド間のネットワークが自動的に構築される。例えばポータルからAWSの接続情報を入力し、サービス側の承認が行われると、約1時間ぐらいでネットワークが構築される。これでパブリッククラウドの仮想サーバーからストレージが見えるようになるので、ボリュームをマウントして接続した状態で利用できる。
バックアップ先のNeutrix Cloudは、高品質・大容量のストレージを利用でき、データ転送量やリクエスト料金もかからず、万一ランサムウェアの被害にあってNeutrix Cloudの不変ストレージから復旧作業が生じても、データ転送量などの追加料金が発生しないため安心して使えるだろう。そして日本円での固定月額利用料金であるため、為替レートの変動を受けないことも追記しておく。
このようにランサムウェア対策として有効なNeutrix Cloudを、ぜひご検討いただければ幸いである。
