Infinidat Blog

GDPRコンプライアンス:ランサムウェア攻撃によるデータ損失への備え

日付: August 5, 2018   について: Infinidat

EU一般データ保護規則(GDPR)の施行日が2018年5月末に設定されて以来、データ漏えいのリスクについて盛んに議論されるようになりました。個人データを保有するあらゆる企業にとって非常にリスクの高いシナリオが想定され、さまざまな点に注意する必要があります(このテーマについては前回のブログもご参照ください)。

当然のようにデータ漏えいに注目が集まる中、GDPRの中のもう1つの重要な要件が霞んでしまった感があります。ある意味、データ漏えいとは真逆の関係にある「データ損失」です。違いはどこにあるのでしょう。データ漏えいとは、権限のない第三者が組織内部の者しかアクセスしないはずの個人情報にアクセスすることによって発生します。データ損失の場合、組織自体が自社の顧客の個人情報にアクセスできなくなります。近年、データ損失の最も一般的な原因となっているのがランサムウェアの攻撃で、有名な例としてはWannaCry、Petya (その後NotPetyaに) 、CryptoLockなどが挙げられます。2017年にはランサムウェア攻撃はマルウェアによる攻撃の中で最も多くなり、一部業界(ヘルスケア業界など)では実に70%以上に達しています。

 

皆さんの組織ではランサムウェア攻撃に対し、さまざまな難題を克服できるしっかりとした戦略が構築できているでしょうか?

 

課題 1:ランサムウェア攻撃を検知する

現在ではランサムウェア攻撃はできるだけ多くのデータを暗号化するために長期にわたって潜伏しており、検出されるまでにすでに相当の時間が経過しています。一定のしきい地に達するとユーザーを締め出し、暗号通貨を要求します。こうした行為は非常に効率的であると同時に、こうした攻撃の弱点でもあります。時間の経過とともに変更が積み重なり、変更を追跡するメカニズムさえあれば検知を可能にするからです。今日のストレージソリューションであれば、こうしたメカニズムを無料で使用できます。たとえば、スナップショットです。通常、スナップショットはデータセットに比べて最小限の割合のサイズしか必要とせず、容量を消費することによって増大し始めます。ストレージアレイに何らかの容量使用状況の監視機能やアラーム機能が付いていれば、こうした容量の増大を簡単に検知して、攻撃者によってロックアウトされるずっと以前に対策を取ることができます。

 

課題 2:ランサムウェア攻撃への迅速な対応

ひそかに進行するランサムウェア攻撃によって100テラバイト(TB)のデータが1週間かけて暗号化されたとすると、その週のバックアップもランサムウェアに感染しており、データ回復には使用できません。そうなると、管理者はネットワークを通じてバックアップターゲットから100TBを回復しなければならなくなり、作業に何時間もかかる上に回復したデータに破損したファイルが含まれていないという保証はどこにもありません。

しかし、スナップショットのサイズを見れば、そこに暗号化されたデータが含まれているかどうかが即座にわかります。そこで、もし、スナップショットを使ってデータにアクセスできれば、その中のデータをテストして、適切なスナップショットを直ちに回復することで、何日もかかっていた回復作業を数分のうちに終えることができます。

 

課題 3:ストレージ容量の急激な拡張を防止

ランサムウェア攻撃に関連してあまり一般的に言及されないリスクの1つが、“沈黙”期間の経過に伴って余分な消費容量が加えられ、平均80%程度の既存のストレージアレイの稼働率を100%にし、アプリケーションをクラッシュさせる可能性があるという点です。

ストレージアレイが大きくなればより多くのフリースペースが確保できることになり、管理者は時間に余裕を持ってランサムウェア攻撃の特定や対応が行えることになります。しかし、アレイが大きいということはより多くの情報を統合していることでもあり、リスクも高まります。今日のストレージベンダーの多くが提供しているデュアルコントローラ構造でも、そうしたデータサイズに対処できるほどの信頼性はありません。

 

 

InfiniBoxだけが持つランサムウェア攻撃に対抗するためのソース

InfiniBoxではハードウェアがプールされて消費者間で共有されると同時に容量もプールされ、消費者はクリティカルなアプリケーションをそれぞれ分離することができます。

こうしてInfiniBoxに容量をプールすることで、たとえランサムウェアによる破壊が1カ所での消費容量を急増させたとしても、別のプールのアプリケーションを破壊することはできなくなります。

これはお客様企業がネットワークセグメンテーションを活用して、攻撃者がホスト間で移動するリスクを最小化する手法に似ています。

一方で、ストレージ容量を急激に拡張することなくランサムウェア攻撃の特定と対応を行うための大容量バッファの必要性は、InfiniBoxの大容量設計と非常によく合致しており、ランサムウェアの犠牲になりかねないあらゆるIT環境においてInfiniBoxは最適だと言えます。

 

その他、ランサムウェア攻撃に対する防御を行う上で、容量プールには次のような利点もあります。

  • 容量保証:事前に割り当てられた容量(保証容量)と、オンデマンドで利用する分だけの共有の空き容量とを分離します。
  • 警告:容量の消費状況をリアルタイムで監視し、管理者に脅威を通知します。
  • 自動対応:プールが一杯になると、該当プールに設定された拡大ポリシーに基づいてシステムが対応します。ポリシーによって、プールには次のような制限を設定することができます。
    • 自動拡張 - 通常、重要度の低いアプリケーションに適用されます。
    • 一定の制限下でのみ拡張可能 -より重要度の高いアプリケーションにのみ適用されます。
    • 必要なだけプールを拡張可能 - 急激な増大の際でもクラッシュが許されないミッションクリティカルなアプリケーションに適用

ランサムウェア攻撃(およびデータ損失全般)からの防御のためには多面的なアプローチが必要です。スナップショットはそうした攻撃の検出と迅速な回復の両方の機能を提供します。容量プールはミッションクリティカルなアプリケーションの安全保護に加えて、事前の容量設定を不要にして、ダイナミックに容量を管理するために必要な容量の分離を行いま

アバウト Infinidat
Back to Blogs