こんにちは。SBC&S　稲葉です。

本記事ではVeeam Backup＆Replication（以降Veeam）とPowerProtect DataDomain(以降DataDomain)を使用したランサムウェアに備えたバックアップソリューションをシリーズにてご紹介いたします。

求められるバックアップと背景

昨今、ランサムウェアと呼ばれる身代金要求型ウイルスが世界各地で猛威を振るっていることは周知の事実かと思われます。警視庁の調べではランサムウェア感染の侵入経路として、「VPN装置からの侵入」や「不信メール添付されたファイルの展開」などがあげられています。

出典：警察庁(https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_cyber_jousei.pdf)

ランサムウェアに一度感染した場合、感染したパソコンを中心にネットワークに接続されている情報端末にアクセスし、ファイルを独自のフォーマットにて暗号化することで、閲覧することができなくなります。

暗号化されてしまったファイルを元の状態に戻すためには、ランサムウェアの首謀者に対し、身代金を支払い渡された解除キーを使用するか、あらかじめ取得したバックアップデータからファイルを復旧させるかのいずれかの手法が挙げられます。

前者に関しては、法外な金額を要求されるうえ、指定した金額を支払ったとしても解除キーを渡される保証はありません。

また身代金を支払ったことによる社会的信用の低下や攻撃の追随などのリスクが想定されるため、ランサムウェアの復旧にはバックアップデータからの復旧が最も確実性のある復旧方法といえます。

しかしバックアップを単純に取得しているだけではランサムウェアの被害から復旧することが難しい場合があります。例えば、バックアップサーバーにアクセスできる管理者のパソコンがランサムウェアに感染してしまった場合、バックアップサーバーおよびバックアップデータ自体が暗号化されてしまうリスクにつながります。

その為、業務データのバックアップ設計にはランサムウェアによる暗号化のリスクを防御できる設計や機能の利用が必要となります。

VeeamとDataDomainによるデータ保護

Veeamにはランサムウェアによる暗号化からバックアップデータを守る機能の一つとしてWORM（Writhe Once Read Many）という機能があります。

WORMは読んで字のごとく、データを書き込み後読み取りは何度でもできますが、データの変更ができなくなる仕組みで、テープメディア向けで使用されていましたが、Veeam Ver.10よりストレージ向けにも利用できるようになりました。

この仕組みがImmutable機能と呼ばれます。Veeam Ver.10ではImmutable機能を利用するためにはバックアップデータの格納先がAWSのS3やAzure BlobストレージとよばれるCloud上のオブジェクトストレージに限定されていました。

それがVeeam Ver.11にてオンプレミス上のLinuxサーバーでも実現できるようになりましたが、複数世代にわたる膨大なバックアップデータを如何に効率よく保存するかが課題でした。

VeeamとLinuxサーバーを利用したImmutableの構成に関しては以下をご覧ください。
https://licensecounter.jp/engineer-voice/blog/articles/20240327_content_25.html

そのような課題に応えるべく、Veeam Ver.12よりDataDomainを利用したImmutableの機能が解禁されました。

VeeamとDataDomainは以前よりDDBoostとよばれるDataDomain独自の通信プロトコルを利用することで、驚異的な重複排除と圧縮により、バックアップデータの容量を縮小して格納することができましたが、Immutable機能の利用はサポートされておりませんでした。

その後、Veeam Ver.12にてDataDomainのRetention Lock（既定期間データの変更および削除をロックする機能）と連携することができるようになり、重複排除＋圧縮＋Immutable機能のソリューションが誕生となりました。

サイバーセキュリティ対策のガイドライン

昨今、医療分野におけるランサムウェアの被害が発生しており、ランサムウェアの感染にともない医療行為の継続が困難になるニュースが発生しております。その為厚生労働省では「医療分野のサイバーセキュリティ対策」というガイドラインを公開しており、その中でバックアップの仕組みに関してもガイドラインが明記されています。

※「医療機関等におけるサイバーセキュリティ対策の強化について（注意喚起）」より抜粋

（３）データ・システムのバックアップ 事業継続のため、データやシステムのバックアップを行う。ランサムウェアの影響は、感染端末のみならず、感染端末からアクセス可能な別の端末やクラウド上のデータにも及ぶ可能性があるため、データをバックアップする際には、次の点に留意する必要がある。  ① 重要なファイルは、定期的にバックアップを取得する。  ② バックアップに使用する装置・媒体は、バックアップ時及びバックアップデータの戻し時のみ対象機器と接続する。  ③ バックアップ中に感染する可能性を考慮し、バックアップに使用する装置・媒体は複数用意する。  ④ バックアップの妥当性（バックアップが正常に取得できているか、現状のバックアップ手法が攻撃に対して有効か）を定期的に確認する。  ⑤ データのみならず、システムの再構築を含めた復旧計画を策定する。

出典：厚生労働省ホームページ(https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/cyber-security.html)

厚生労働省のサイバーセキュリティ対策のガイドラインに関しては、「医療機関における」と医療機関に限定する記載としてかかれておりますが、医療機関に限らず、ランサムウェアに感染する疑いがあるすべての企業のバックアップデータに対しても同様のことが言えます。

Veeamでは上記ガイドラインの推奨条件をクリアするための「３－２－１－１ー０」ルールが存在しますが、この「３－２－１－１－０」を構成には、ImmutableストレージやCloudサービスの活用が必要となります。そのため、本シリーズでは、「３－２－１－１－０」を踏まえたバックアップの一つのカタチをご紹介していきます。

次回予告

第1話では「バックアップの新たなカタチ"Veeam x Data Domainののソリューション"」と題して、バックアップの重要性と必要なバックアップの機能、そして実現できるソリューションの一例をご紹介いたしました。

改めて企業におけるITデータのバックアップの必要性について、ご理解いただけたのではないでしょうか。

本ブログは今後以下を題名にてシリーズで連載を予定しています。次回はVeeamと連携できるDataDomainのRetention Lockについてより具体的に機能をご紹介していきます。

第1話：「バックアップの新たなカタチ"Veeam x Data Domainののソリューション"」
第2話：「バックアップの新たなカタチ"Veeam x Data Domainのの機能紹介"」
第3話：「バックアップの新たなカタチ"Veeam x Data Domainのの連携手順紹介"」
第4話：「バックアップの新たなカタチ"Veeam x Data Domainののデータの在り方"」