最終更新日:2024年8月29日
業務本番環境で不幸にしてランサムウェアに感染してしまった場合には、オフラインバックアップでとっていたバックアップデータを用いて復旧作業を行います。この時、復旧作業に必要な作業時間について考えます。
許容可能な業務停止時間とは
ランサムウェアに感染してしまった場合には、最悪の場合同一ネットワーク上の全端末・サーバー・NAS等に保存していた全データが、全て暗号化されてしまいます。このような状態に陥った場合、感染が広がってしまった(もしくは感染が広がっている可能性がある)環境に復旧したシステムを投入してしまうと、復旧したシステムが再度感染してしまう可能性があるため、専門家による「感染経路の特定」と「感染範囲の見極め」を行う必要があります。そのうえで、感染経路を確実に塞ぎ、また、感染した・感染が疑われる端末・サーバー・NASについては、初期化もしくは新規機材を投入し再構築が必要になる場合もあります。感染経路を特定するには、ネットワーク機器はもちろんのこと、各端末・サーバー・NAS等のログファイルを確保し、確認を行う必要もあり、完全復旧にはかなりの時間、例えば、数日から数週間が必要になることも想定されます。
それでは、その間、業務を停止するしかないのでしょうか?そうではありません。適切にオフラインバックアップがとられていれば、外部ネットワーク等に接続されていない最小限の環境を再構築し、「業務継続に必要な最小限の機能」※1の復旧を行える可能性があります。機能が制限された状態での運用を「縮退運転」といいます。
つまり、許容可能な業務停止時間には大きくわけて2つ存在し、「業務継続に必要な最小限の機能」を満たす「縮退運転」が可能になるまでの「仮復旧までの許容可能な業務停止時間」と正常な状態に「完全復旧」するまでの「完全復旧までの許容可能な業務停止時間」が存在するのです。「完全復旧までの許容可能な業務停止時間」は、被害状況、事前準備状況、復旧が必要なサーバーや端末の数、感染経路調査の進捗等様々な要因が必要な時間に大きく影響を与えるため、ここでは詳細に触れません。一方で、「仮復旧までの許容可能な業務停止時間」については、ある程度見通すことが可能であり、かつ、感染の結果による事業上の被害拡大を抑制するために非常に重要なものでもあります。この記事では、「仮復旧までの許容可能な業務停止時間」にフォーカスを当てて考えます。
オフラインバックアップデータを用いて仮復旧するまでのステップ
オフラインバックアップデータを用いて仮復旧するまでに必要な時間を考えるために、ランサムウェアに感染し、業務が停止し、「仮復旧」を実施する決定をした状態からの仮復旧サーバーへのデータ復旧作業を考えてみます。ここでは、非常時に備えてデータ仮復旧先のサーバーおよびそのバックアップ、データ正常性確認用ウイルスチェック端末等が準備できていることを前提としています。これらの準備が事前にできていない場合は、作業の中に組み込むことが必要になります。復旧するサーバーにより必要な作業が変わりますが、ランサムウェア被害を受け復旧する場合は、多くの場合、以下のステップを行うことが必要になると想定されます。
①バックアップデータの入手
②バックアップデータの正常性確認
③仮復旧サーバーへのデータの復旧作業
④動作確認
⑤関係者への復旧案内
このなかで、バックアップのとりかたで影響があるのは、①~③です。各ステップでバックアップのとりかたが与える影響について考えます。今回の記事では、「①バックアップデータの入手」について考えます。
バックアップデータ入手ステップで必要な時間にバックアップのとりかたが与える影響
ランサムウェア対策としてのオフラインバックアップでバックアップデータを入手するステップで必要になる時間にオフラインバックアップのデータ記録先が与える影響を考えてみます。ここでは、バックアップの記録先として代表的な「①クラウド環境にバックアップ」「②ファイルサーバー・NASにバックアップ」「③LTO、RDX、USBメモリ、外付けHDD・SSD等にバックアップ」について考えます。
ランサムウェアが復旧サーバーへデータを復元する際には、復旧サーバーへの再感染を避けるために、感染した、もしくは感染している可能性がある環境に復旧サーバーをネットワーク接続せずにデータを移行する必要があります。この点も考慮して、オフラインバックアップのデータ記録先の違いによる必要作業の違いも考慮して考えたいと思います。
①クラウド環境にバックアップを行っている場合
クラウド環境にバックアップをとっている場合には、バックアップデータを入手するためには、クラウド環境からダウンロードし、取り外し可能なRDX・USBメモリ・外付けHDD・SSD等にコピーする必要があります。例えば、ダウンロードに使用する通信回線の速度が一般的な1GBps契約の回線を使用する場合は、理論値通りの速度が出る場合で、100GBで14分程度の時間がかかります。1TBでは、2時間20分以上の時間がかかります。もし、バックアップデータが10TBあると、ダウンロードするのに約1日かかる計算です。ただし、この時間はあくまでも理論値での速度であり、実効速度が50%、つまり500MBpsであれば2倍の時間がかかることになります。つまり、1TBで4時間30分以上、10TBだと2日程度の時間がかかります。時間を短縮するために、ダウンロード用の通信回線に10GBpsの回線を用意した場合には、回線速度では10分の1の時間でダウンロードできる可能性がありますが、ただし、これは、バックアップサービス事業者がクラウド環境からのダウンロード回線として10GBpsの回線を占有できる場合に限られます。また、ダウンロード先メディアによっては、その記録速度がボトルネックになる場合もあります※2。つまり、ダウンロードに使用する回線の実効速度、クラウドサービス事業者がダウンロードのために確保している通信回線の実効速度、ダウンロード先メディアの記録速度等の最も遅い部分の速度で計算したダウンロード完了までに要する時間がクラウド環境にバックアップを行っている場合のバックアップデータ入手に必要な時間となります。
②ファイルサーバー・NASにバックアップを行っている場合
ファイルサーバー・NASにバックアップを行っている場合には、バックアップデータを入手する方法として、以下の3種類の方法が考えられます。
A.ファイルサーバー・NASに外付けHDDやSSDなどのメディアを直接接続してバックアップデータをコピーする。
B.ファイルサーバー・NASに別途用意したPCを接続し、そのPCに外付けHDDやSSDなどのメディアを接続し、ネットワーク経由でバックアップデータをコピーする。
C.ファイルサーバー・NASを分解し、内臓されているHDDやSSDを取り出してメディアとして使用する。
Aの方法では、データの記録容量、ファイル数、ファイルサーバー・NASに内蔵されているHDD等のメディアの読み込み速度とコピー先の外付けHDDやSSDの記録速度でバックアップデータ入手に必要な時間が決まります。例えば、全体のデータ容量が100GBであった場合、データセンタ向けHDDを採用した高速なモデルで記録速度250MB/sの外付けHDDに記録する場合は、7分程度の時間がかかります。1TBでは、1時間10分、10TBでは11時間40分程度の時間がかかります。もし、ファイルサーバー・NASに内蔵されているメディアがSSD等の高速読み込みが可能なものであれば、コピー先のメディアを複数台にして同時コピーしたり、コピー先メディアにThunderbolt接続のSSD等を使用することで大幅に時間が削減できる可能性があります。ただし、ここで記載している時間は、コピー対象のファイル数が少ない場合での時間ですので、ファイル数が多い場合には、より多くの時間がかかる場合があることには十分な注意が必要です。
Bの方法でバックアップデータ入手までにかかる時間は、Aの方法での要因以外に、ファイルサーバー・NASと別途用意したPC間の通信速度の影響を受けます。この通信速度は、①のクラウドにバックアップしている場合とはことなり、実効速度として理論値に近い速度を期待することができます。ただし、Aの方法よりは時間がかかることには注意が必要です。
Cの方法は、ファイルサーバー・NASを分解し、記録メディアであるHDDやSSDを取り出し、USBエンクロージャー等に格納して使用する方法です。この方法は、ファイル数や容量には大きな影響を受けず、ファイルサーバー・NASの分解にかかる時間とUSBエンクロージャーに格納する作業時間の影響を受けます。このため、バックアップデータに大量の数のファイルや総容量が大きな場合には、A、Bの方法よりも大幅に時間を短縮できる可能性があります。ただし、この方法は、後ステップの「バックアップデータの正常性確認」や「仮復旧サーバーへのデータの復旧作業」の際に、各端末やサーバーのOSで直接アクセスできるディスクフォーマットになっている必要があります。例えば、RAID構成になっていたり、異なるOS種類のディスクフォーマットになっている場合等は、この方法を採用できない場合があります。
③LTO、RDX、USBメモリ、外付けHDD・SSD等にバックアップを行っている場合
バックアップが完了した時点で取り外し可能になっており、バックアップデータを入手可能な状態になっていますので、別途特別な作業は不要です。
まとめ
このように、バックアップデータの記録先の種類により、バックアップデータを入手するために必要な作業の内容が変わります。そして、特にバックアップデータ内のファイル数が多い場合や1TBを超えるような容量が大きい場合には、数時間~数日単位でバックアップデータを入手するために必要な時間が変わり、仮復旧までにかかる時間に大きな影響をあたえることがあると理解しておく必要があります。
※1「業務継続に必要な最小限の機能」は、各企業や組織の種類、規模の大小等により異なります。受発注を行う企業であれば、「支払い予定情報を閲覧できる経理システム」「受発注情報を登録・閲覧できる受発注システム」などは業務継続に必要な機能でしょうし、医療機関であれば、一定レベルの診療継続に必要な「電子カルテシステム」「レセプトコンピュータシステム」などが対象になると想定されます。
※2ダウンロード先メディアの記録速度が10GBpsつまり、1GByte/s以上の速度が必要になります。外付けHDDでは、データセンタ向けHDDを採用した高速なモデルで250MB/s程度でありメディア記録速度がボトルネックになってしまいます。このため、ダウンロード先メディアとしては、Thunderboltもしくは高速USB接続型の高速SSD等を採用するなど工夫が必要です。