ランサムウェア対策はバックアップだけでは不十分? 無意味といわれる理由と有効な運用ポイントを解説
ランサムウェア対策として「まずはバックアップ」と考える企業は少なくありません。
一方で、「ランサムウェアに対してバックアップは無意味」という意見を目にし、不安を感じている方も多いのではないでしょうか。
この記事では、バックアップが無意味と言われる理由を整理したうえで、実際に役立つバックアップ運用の条件や、併せて取るべき補完的対策について解説します。
なお、ランサムウェア被害の回避策についてはこちらの資料もあわせてご確認ください。
目次[非表示]
ランサムウェアが「バックアップだけでは不十分」といわれる理由
ランサムウェア対策において、バックアップは重要ですが万能ではありません。
ここでは、なぜ「バックアップだけでは不十分」「無意味になることがある」と言われるのかを整理します。
復旧できない・意味をなさないケース
バックアップがあっても復旧できないケースは実際に存在します。近年のランサムウェアは、本番データだけでなく、バックアップデータまで破壊・暗号化するケースが増えています。
例えば、バックアップサーバーが社内ネットワークに常時接続されている場合、攻撃者が侵入すると同じ経路からバックアップ環境にもアクセスされ、まとめて暗号化されてしまうことがあります。その結果、復旧用として保存していたはずのデータも利用できなくなり、復旧が不可能になるケースが発生します。
このように、バックアップの有無だけでなく、保存方法や運用設計まで含めて対策しなければ、バックアップが実質的に意味をなさなくなる可能性があります。
バックアップは攻撃者に狙われやすい
近年のランサムウェア攻撃では、バックアップデータ自体が明確な標的になっています。攻撃者は、被害者が容易に復旧できない状況を作り出すことで、被害者が身代金を支払わざるを得なくなる可能性を高めようとします。
そのため、侵入後すぐにバックアップサーバーやスナップショットの保存先を探索し、削除・暗号化する手口が確認されています。こうした攻撃を受けると、バックアップを取得していたとしても復旧できず、被害が深刻化するケースがあります。
このような状況から、バックアップの取得だけに依存した対策では不十分であり、バックアップの保護方法や運用設計まで含めた対策が求められます。
なお、ランサムウェア被害の回避策についてはこちらの資料もあわせてご確認ください。
バックアップが役立つ条件
バックアップは条件を満たしていれば、ランサムウェア対策として大きな効果を発揮します。重要なのは、単にバックアップが「あるかどうか」ではなく「実際に復旧に使える状態かどうか」です。
まず、暗号化される前の正常な状態のデータが保持できていることが前提です。感染に気付かないまま運用を続けていると、すでに汚染された状態のデータがバックアップされてしまい、復旧に利用できないケースがあります。
また、バックアップデータがネットワークから適切に隔離され、安全な方法で保管されていることも重要です。さらに、定期的に復元テストを行い、実際にデータを戻せるかを確認しておかなければ、非常時に機能しない可能性があります。
これらの条件を満たしたバックアップ運用があってこそ、ランサムウェア対策として有効に機能します。
バックアップ運用が意味を持つためのポイント
バックアップを「無意味」にしないためには、運用設計が欠かせません。
ここでは、実務で押さえるべきポイントを解説します。
ネットワーク分離・隔離(エアギャップ)
バックアップの安全性を高めるためには、ネットワークから切り離した状態で保管することが有効です。ランサムウェアはネットワークを通じて拡散することが多く、バックアップ環境が常時接続されていると、本番システムと同様に被害を受ける可能性があります。
そこで、バックアップ媒体を物理的に切り離して保管する方法や、論理的にアクセス制御を行うエアギャップ構成を採用することで、攻撃者がバックアップへ到達しにくい環境を構築できます。
こうした対策を講じることで、万一侵入された場合でも、バックアップが最後の復旧手段として機能しやすくなります。
世代バックアップ・復旧検証
ランサムウェア対策としては、複数世代のバックアップを保持し、あわせて復旧検証を行うことが重要です。感染したタイミングを特定できないケースも多く、直近のバックアップだけでは、すでに暗号化された状態のデータしか残っていない可能性があります。
そのため、数週間前や数か月前といった複数の世代のバックアップを保持しておくことで、健全な状態のデータへ戻せる可能性が高まります。また、定期的に復旧テストを実施することで、手順の不備や設定ミスを事前に把握でき、非常時にも確実に復旧できる体制を整えられます。
こうした運用により、「取得しているが使えないバックアップ」を防ぐことができます。
イミュータブル化(変更不能保管)
バックアップの安全性を高める手段として、イミュータブル化(変更不能保管)を取り入れる方法があります。イミュータブル化とは、保存したデータを一定期間、削除や変更ができない状態にする仕組みです。
この仕組みを利用することで、攻撃者が侵入後に管理者権限を奪取した場合でも、バックアップデータの削除や改ざんを防ぎやすくなります。
例えば、不変ストレージを利用し、保存後は管理者であっても変更できない設定とすることで、ランサムウェア攻撃に対する耐性を高めることが可能です。
こうした対策を講じることで、バックアップの信頼性が向上し、復旧手段としてより確実に機能するようになります。
ランサムウェア被害を防ぐバックアップ以外の補完的対策
バックアップは復旧手段であり、侵入防止策ではありません。そのため、他の対策と組み合わせることが重要です。
複数の防御レイヤー
ランサムウェア対策では、単一のセキュリティ対策に依存するのではなく、複数の対策を組み合わせる「多層防御」の考え方が基本となります。攻撃を完全に防げる対策は存在しないため、どこかの防御が突破される可能性を前提に、段階的な備えを行うことが重要です。
例えば、EDRによる端末の挙動監視、メールセキュリティによる不審メールの遮断、ネットワーク分離による感染範囲の限定などを組み合わせることで、侵入前の防止から侵入後の検知・封じ込めまで、複数の段階で対策が機能する体制を構築できます。
こうした多層的な対策により、被害の発生や拡大を抑えることが可能になります。
運用・体制の整備
ランサムウェア対策では、技術的な対策だけでなく、人や組織の運用体制を整備することも重要です。どれだけ高度なセキュリティ対策を導入していても、インシデント発生時に対応する体制やルールが整っていなければ、十分な効果を発揮できません。
例えば、従業員向けのセキュリティ教育を実施する、インシデント発生時の報告ルールや連絡体制を明確にする、復旧手順を想定した訓練を行うといった取り組みが有効です。
こうした運用・体制を事前に整えておくことで、被害発生時の混乱を抑え、迅速な対応につなげることができます。
まとめ
この記事では、ランサムウェア対策について以下の内容を解説しました。
ランサムウェアが「バックアップだけでは不十分」といわれる理由
バックアップが役立つ条件
バックアップ運用が意味を持つためのポイント
ランサムウェア被害を防ぐバックアップ以外の補完的対策
「ランサムウェアにバックアップは無意味」という意見は、運用を誤った場合の話です。
条件を満たさないバックアップは役に立ちませんが、正しく設計・運用すれば重要な復旧手段になります。まずは、バックアップが本当に使える状態かを確認し、多層防御や体制整備を組み合わせることが、現実的なランサムウェア対策につながります。
『FGLテクノソリューションズ』では、安定したITインフラ運用を支えるため、セキュリティ対策や保守管理をはじめとしたIT分野の幅広いサポートを行っています。貴社のセキュリティポリシーや運用状況に応じて、必要な対策をご提案いたします。
なお、ランサムウェア被害の回避策についてはこちらの資料もあわせてご確認ください。
