最終更新日:2024年8月30日
本記事では、ランサムウェア対策としてのオフラインバックアップに求められる5つの機能(3.許容可能な時間内にリストアができることー1)に続き、「バックアップデータの正常性確認ステップで必要な時間にバックアップのとりかたが与える影響」及び「仮復旧サーバーへのデータの復旧作業ステップで必要な時間にバックアップのとりかたが与える影響」について考えていきます。
バックアップデータの正常性確認ステップで必要な時間にバックアップのとりかたが与える影響
バックアップデータの正常性確認の必要性
バックアップデータがあるのだから、そのまま仮復旧環境に復旧させたいところですが、バックアップデータが正常であるかを確認する必要があります。バックアップデータは、バックアップを取得した時点ですでに暗号化されていたり、ウイルスに感染したファイルが混入していた可能性があります。この結果、正常性確認を行わずに復旧作業を実施する場合、仮復旧環境を他のウイルス等に感染させてしまう可能性があります。万一、仮復旧環境がウイルス等に感染してしまった場合、場合によっては仮復旧環境を初期化して再構築せざるを得なくなり、仮復旧にさらに時間がかかってしまう場合もあります。このため、何らかの方法で、ウイルス等に感染したファイルが含まれていないことが確認できている場合を除いて、バックアップデータの正常性確認ステップが必要になります。
バックアップデータの正常性確認で必要になるステップ
それでは、バックアップデータの正常性確認は、どのように実施すればよいかを考えます。バックアップデータの正常性確認を行うには、「①正常性確認環境の構築ステップ」「②バックアップデータの正常性確認ステップ」の各ステップが必要になると考えられます。以降、これらの各ステップについてバックアップのとり方が与える影響について考えます。
①正常性確認環境の構築ステップ
バックアップメディアの正常性確認は、「A.メディアそのものが破損しておらず復旧するためにアクセスできること」、「B.バックアップデータが暗号化されていないこと」、「C.ウイルスに感染したファイルが含まれていないこと」を確認することです。これらを確認するための環境を構築することが、正常性確認環境の構築になります。これらを満たす環境構築に前ステップの「バックアップデータを入手するステップ」で取得したバックアップデータの種類が与える影響について考えます。
ランサムウェア等で被害が発生し、現場が混乱している中で、これらの内容を確認する際には、可能な限り単純な方法での確認が求められます。
「A.メディアそのものが破損しておらず復旧するためにアクセスできること」は、OSのシェル(Windowsであればエクスプローラ)等を用いて、バックアップデータを別の媒体に実際に複製することで確認することが可能です。
「B.バックアップデータが暗号化されていないこと」は、多くのランサムウェアは、暗号化したファイルの拡張子を変更します。このため、OSのシェル(Windowsであればエクスプローラ)等を用いて、まず、ファイルの一覧を表示し確認を行い拡張子が変更されていないかを確認します。ただし、すべてのランサムウェアが拡張子を変更するわけではないので最終的には、ファイルを個々に開いて確認するなどの方法が必要になると考えられます。データベースエンジンのデータなどは、実際にデータベースエンジンに復元(リストア)して確認することになるでしょう。
ただし、A、Bの確認を実施する際にバックアップデータにウイルスが感染していた場合には、最悪の場合、A、Bを確認した端末にもウイルスが感染してしまう可能性があります。このため、最初に「C.ウイルスに感染したファイルが含まれていないこと」を確認し、その後、A、Bを確認することが求められます。これらを総合すると、「C.ウイルスに感染したファイルが含まれていないこと」を確認可能で、各バックアップメディアが接続できる環境、つまり、「最新のOSセキュリティパッチが適用され」「最新のウイルス検索エンジンに更新され」「最新のウイルス検索パターンファイルが適用され」「データが正しく確認できるようアプリケーションがインストールされ」「バックアップメディアが接続可能」なPC環境を用意することが「正常性確認環境の構築ステップ」ということになります。このようなPC環境は、被害が発生してから構築すると時間がかかるため、本番環境から切り離した状態であらかじめ準備しておき、セキュリティパッチやパターンファイルの更新を行うなどメンテナンスを行っておくとをお勧めします。この中で、「バックアップメディアが接続可能」については、バックアップの取り方で異なる、前記事の「バックアップデータ入手ステップ」で入手したバックアップデータを保存しているメディアにあわせた対応が必要になるため注意が必要です。USBメモリや外付けHDD・SSD等であれば、PCに接続するのみで、A、B、C共に確認可能な場合が多いでしょうが、RDXカートリッジであれば、RDXドライブが、LTOメディアであれば、LTOドライブと別途ドライバーのインストールが必要になります。各ドライブやドライバーは、被害が発生してから準備すると入手に時間がかかる場合もあるため、あらかじめ復旧作業用に予備機を用意し、正常性確認環境で適切に動作するよう準備し、定期的に動作確認をしておくなど対策も検討すべきです。ドライブについては、例えばUSB接続型など特別な工具が必要なく容易に取り外し・取付できる場合には、バックアップデータ取得環境から取り外し、利用することも想定されますが、長期間にわたり利用している場合などには、可能な限り復旧作業用に別途用意しておくことをお勧めします。また、ファイルサーバーやNASなどの内蔵ディスクを取り出して接続する方法では、分解や組み立てに必要な工具などが揃っているかを確認しておくことが重要です。
②バックアップデータの正常性確認ステップ
バックアップデータ記録メディアを正常性確認環境PCに接続し、すぐに正常性を確認したいところですが、ウイルスの感染状況を確認するために行うウイルス検索全スキャンは、メディアに大きな負荷をかける行為になるため、バックアップデータ記録メディアに直接実施するとバックアップデータ記録メディアを破壊してしまう可能性があります※1。このため、ファイル名が変更されていないかなどのメディアに負担の少ない確認を行った後は、データを正常性確認環境PC内などに複製してからウイルス検索全スキャンを行うなどの工夫が必要です。バックアップデータの複製を行う際には、バックアップデータ記録メディアができるだけ高速に読み出しできることが重要になります。また、バックアップデータの容量が大きい場合(例:1TB以上)やファイル数が多い(例:1万ファイル以上)場合は、ウイルス検索全スキャンに多くの時間がかかる可能性があります※2。このため、このような場合は、複製先メディアとして高速なSSD等を搭載した正常性確認環境PC環境を複数台用意しておき、また、バックアップデータ記録メディアをあらかじめ複数に分けておき、並列で作業を行うことで、作業時間を大きく短縮できる場合があります。また、ファイルサーバーやNASなどの内蔵ディスクを取り出して接続する方法においても、内蔵ディスクを複数台にしディスク毎に領域を確保したり、複数台のファイルサーバーやNASに分散してバックアップを行っておくことで、他のメディア同様に並列で作業を行うことが可能です。ただし、メディアの接続、切り離しの都度、分解・組み立て作業が必要になり、また、場合によってはBIOSの起動順序の変更が必要になる場合もありますので※3、慎重に作業を実施する必要があります。
まとめ
このように、バックアップデータの正常性確認ステップでは、バックアップのとりかたでRDXやLTO等の専用のドライブが必要な方法でバックアップを取っている場合には、メディアが読み込めるように正常性確認環境PCにもドライブを接続し読み込める状態を維持メンテナンスを行っておく必要があります。
また、バックアップデータの容量が多い、ファイル数が多い場合には、バックアップデータの複製やウイルス検索に時間がかかることが想定されるため、バックアップメディアをあらかじめ複数に分けてバックアップしておき、これらの作業を並列で実施できるようにするなどして作業時間を大幅に短縮することも可能になります。
仮復旧サーバーへのデータの復旧作業ステップで必要な時間にバックアップのとりかたが与える影響
仮復旧サーバーへのデータの復旧作業で必要になるステップ
仮復旧サーバーへのデータの復旧作業で必要になる作業について考えます。ファイルサーバーやNASなどに保存されていた単独で使用できるデータであれば、「A.バックアップデータの複製」作業で作業が完了するでしょう。一方、データベースエンジンデータの復旧作業では、Aの作業に加えて、「B.データベースエンジンへのデータの取り込み」「C.データの整合性確認」作業等が必要になると考えられます。ここでは、バックアップのとりかたが影響を与える「A.バックアップデータの複製」および「B.データベースエンジンへのデータの取り込み」について考えます。
A.バックアップデータの複製
バックアップデータの複製では、「バックアップデータの正常性確認ステップ」で考えた「①正常性確認環境の構築ステップ」及び「②バックアップデータの正常性確認ステップ」の「バックアップデータの複製」とほぼ同様の内容です。ただし、本ステップでおこなうバックアップデータの複製作業は、仮復旧サーバーに実施するものですので、データ復旧先が1台のサーバーである場合は、データ復旧先サーバーに搭載されているメディアのデータ記録速度が遅い場合には、並列での複製行為は、意図とは逆に余計に時間がかかってしまう場合があるので注意が必要です。
B.データベースエンジンへのデータの取り込み
データベースエンジンへのデータの取り込み作業には、多くの場合、データ一式をバックアップしたときの状態に戻す「リストア作業」とデータ一式のバックアップをした後の変更差分を適用して最新の状態にする「リカバリ作業」の2つのステップがあります。おおまかに言うと「リストア作業」は、いわゆるフルバックアップを使用できるようにする作業、「リカバリ作業」は、差分バックアップもしくは増分バックアップを順次適用し、最終的に整合性を合わせる作業です。基本的には、リカバリ作業が少ないほど、全体のデータの取り込み作業の時間は短くなります。データ復旧の時間短縮の観点では、可能な限りフルバックアップを取得するようにしたいところですが、データベースの容量が大きい場合(例えば10TBを超えるなど)には、バックアップに多くの時間がかかり、本番環境のストレージに長時間にわたり負荷がかかり速度遅延を引き起こしたり、バックアップ先メディアの耐久性の問題から対応が困難な場合もあります。また、データベースの更新頻度や量など、実業務やデータベースの設計にも大きく依存します。また、仮復旧先のストレージ速度なども大きく影響します。このため、どの程度の頻度でフルバックアップを取得するのかは、実際のデータ及び運用を考慮して確認することをお勧めします。
ランサムウェア対策としてのオフラインバックアップに求められるリストアに必要な時間の考え方
「ランサムウェア対策としてのオフラインバックアップに求められるリストアに必要な時間」は、おおよその時間予測が可能な事業維持に必要最小限の環境を復旧する「仮復旧」までの時間と、攻撃のされ方や被害の状況により復旧までの時間が大きく変わりうる正常な状態への復旧となる「完全な復旧」までの時間に大別されます。この中で、一般企業であれば支払いを行うために必要となる会計システム、医療機関等であれば医療機能を維持する際に必須となる電子カルテシステを閲覧できる機能等、必要最小限の機能※4を確保する「仮復旧」までに要する時間は、事業の継続性を左右する場合もあるため特に重要です。そして、この「仮復旧」までに必要な時間は、これまで見てきたように、特に、データ容量が大きい場合やファイル数が多い場合には、バックアップのとりかたで、場合によっては数日単位で変わる可能性もあります。前記事、本記事も参考に、各事業所で実際の復旧手順を洗い出し、実際に必要となる時間を見積り、最適なバックアップのとりかたを選択することが重要です。
許容可能な時間内にリストアができることとは?
それでは、ランサムウェア対策としてのバックアップに求められる許容可能な時間内にリストアができることとは何でしょうか?それは、予測可能な、事業維持に必要最小限の環境を復旧する「仮復旧」までに必要な時間が、全システムが停止した状態で対処可能な時間内に収まっているかということです。
想定時間がオーバーしている場合には、「仮復旧」までに必要な時間が、特に、バックアップデータの容量が大きい場合やファイル数が多い場合は、バックアップ先・復旧作業時に並列作業が可能なバックアップの取り方になっているか等のバックアップの取り方、メディア読み込みドライブが必要な場合はその準備や正常性確認環境の事前準備状況、仮復旧先サーバーのストレージ速度等による影響も大きいことが想定されるため、これらを変更し時間を短縮できないか検討することも重要です。
※1:長期にわたり使用しているバックアップデータ記録メディアでは、メディアに疲労が蓄積している場合も多く、特に注意が必要です。また、LTOメディアは、ウイルス検索などのランダムアクセスが得意ではありませんので、SSDやHDDなどに複製してからウイルス検索全スキャンを行う方が効率が良い場合もあります。
※2:実際のウイルス検索では、最近のCPUであれば、ファイルの量、ファイル数、そして、検索対象のデータが記録されているメディアの速度に大きく影響を受けます。実際にどの程度の時間がかかるのかについては、事前に実際に評価してみることをお勧めします。
※3:取り出したメディアにOS起動領域も含まれている場合に、このOS環境がウイルス等に感染していた場合には、取り出したメディアから起動した場合、正常性確認環境もウイルスに感染してしまう可能性がありますので、十分に注意が必要です。
※4:必要最小限の機能は、それぞれの事業者により異なります。必要最小限の機能が大きくなると、それだけバックアップに費やす負担が増加したり、復旧までの時間が長くなる場合もあるため、事前に十分に検討しておくことが重要です。