Azure 第19回『Azure Backupでランサムウェア対策をしよう』

世界的にランサムウェアへの感染、ランサムウェアによる被害が相次いでいます。ランサムウェアの特徴は、感染したコンピューター環境のデータを暗号化してユーザーが利用できないようにし、暗号解除のための「身代金」を要求することです。
データが暗号化されると企業はその業務に影響が出る場合が大半ですが、身代金の支払いは犯罪者に収益を与えることになるため、企業のコンプライアンスの面で適切ではありません。そのため企業はランサムウェアに感染しない対策・ランサムウェアにデータを暗号化された際の復旧を可能にする対策を立てる必要があります。
今回は Azure Backup を利用してランサムウェアに侵害されない安全なバックアップを行い、確実にデータを復旧できる方法について解説します。

ランサムウェアについて、いくつかのデータがあるのでご紹介します。
日本国内でも警察庁のまとめで、企業・団体等におけるランサムウェア被害の報告件数の推移は以下のグラフのようにここ数年で急増しています。

ランサムウェアの被害にあった企業の多くでは、データが暗号化されたことにより事業に影響が発生し、すべての業務が停止することも少なくありません。

ランサムウェア被害からの復旧には多くの時間がかかる場合があり、また復旧の費用も多額となるケースがあります。

ランサムウェアによってデータが暗号化された場合、行える対処としてデータをバックアップから復元することが挙げられますが、実際にはバックアップを取得していてもデータの復元ができないケースが多くなっています。

復元ができなかった理由としては、バックアップデータも暗号化されていたことが一番多く、次いでバックアップデータ自体が古かったり破損していたりして利用できなかったことです。いずれもバックアップの保存や取得サイクル、バックアップの完全性の確認などバックアップの運用に問題があったと考えられます。

バックアップはさまざまな理由でのデータの損失に対する有効な対策ですが、このように適切・安全に運用されていないと、ランサムウェアの脅威に対しては無力となってしまいます。単に「バックアップする」だけでなく「適切・安全なバックアップを行う」ことがランサムウェア対策としては重要です。

それでは適切で安全なバックアップとは、どのようなものでしょうか。
具体的には、以下のような要件を備えたバックアップのシステムと運用が必要と考えられます。

以下では、これらの適切で安全なバックアップの要件に対して、Azure Backup ではどのような機能が用意されているのかを紹介していきます。

Azure Backup ではバックアップスケジュールを設定し、定期的にバックアップを取得できます。
オンプレミスの Windows Server のバックアップは Microsoft Azure Recovery Services (MARS) エージェントによって実行されます。
MARS エージェントの既定では1日1回のバックアップが行われ、日単位で指定すると1日最大3回のバックアップが行えます。

週単位に設定すると、曜日と時刻を指定したバックアップを実行できます。

Azure 上の仮想マシンのバックアップは、Azure ポータルのバックアップセンターで設定します。
既定では1日1回のバックアップが行われます。
また拡張ポリシーを有効にして、バックアップの頻度や実行開始時間を詳細に設定することもできます。

いずれの場合もバックアップスケジュールの指定は分かりやすく行え、必要に応じていつでも変更することができます。
柔軟なスケジュールが分かりやすく設定できるので、確実な定期バックアップを行うことができます。

オンプレミスのバックアップの場合、バックアップ元と同じサーバーをオンプレミス環境に用意しなければ、実際に復元を行ってデータの完全性や復元手順の正当性を検証することが難しいでしょう。しかし、同じサーバーをもう1台用意するのはコスト的な負担が大きくなります。

これに対して Azure Backup はクラウドベースのサービスであるため、バックアップしたデータは Azure 上で簡単に復元検証を行うことができます。
オンプレミスの Windows Server からバックアップしたファイルとフォルダーのデータは、Azure VM の Windows Server に復元することで、復元可能性と復元手順の正当性を検証できます。Azure VM は検証に必要な時間だけ稼働させればよく、従量課金で利用できるので、検証での追加のコストは少なくて済みます。
Azure VM のバックアップは、既定では「アプリケーション整合性」のスナップショットとして採取されるので、バックアップからの仮想マシンの起動が保証されています。もちろん実際に復元して起動とデータの完全性を確認することも容易です。この場合も必要な時間だけ従量課金で仮想マシンを稼働させることになるので、検証での追加のコストは少なくて済みます。

少ないコストでバックアップデータの完全性・復元手順の正当性を検証できるのは、Azure Backup の大きなメリットです。

Windows Server の Azure Backup では、バックアップデータは Recovery Services コンテナーと呼ばれる特殊なストレージに保存されます。Recovery Services コンテナーはリソースグループやストレージアカウントといった Azure リソースマネージャーのリソースとは分離された専用のストレージです。Blob やファイル共有ではストレージアカウントを経由してユーザーがデータを直接操作することができますが、Recovery Services コンテナーではこうした操作はできず、Azure の管理機能（ポータル、Azure PowerShell、Azure CLI）を通じてのみアクセスできます。

もしランサムウェアが組織のネットワーク内に侵入しても、Recovery Services コンテナーにあるデータにネットワーク経由でアクセスしたり、データを感染した PC にマウントしたりすることはできず、バックアップデータを直接暗号化することはできません。

Azure ポータルなど Azure の管理機能にアクセスするには、Azure Active Directory（Microsoft Entra ID（旧Azure AD））にサインインする必要があります。Azure の管理機能へのアクセスを厳密に制御するために、Microsoft Entra ID（旧Azure AD）へのサインインをより安全に行う機能が用意されています。

多要素認証では、パスワードに加えてワンタイムパスコードの入力を求める、認証アプリ（Microsoft Authenticator）での確認を求めるなどの方法で、サインインの安全性を高めます。万一ユーザーのパスワードが盗まれても、二要素目（パスコードの送信先や認証アプリのインストールされたスマートフォン）が無ければサインインできないので、ランサムウェアの攻撃への耐性が高くなります。
また条件付きアクセス（Azure AD Premium ライセンスが必要）を構成すると、場所（IP アドレス）やアクセスに使用しているデバイス、アクセス対象のサービスなどの条件に応じたアクセスの制御が行え、より安全なサインインを実現できます。

アクセスの厳密な制御のための Azure 側の機能としては、まず役割ベースのアクセス管理（RBAC）があります。役割ベースのアクセス管理は、Azure の管理に必要な権限を役割ごとに細かく分割して、ユーザーには必要最小限の役割を割り当てるという考え方です。
Azure Backup では Backup Contributor、Backup Operator、Backup Reader の３つの役割が用意されており、それぞれ以下のような権限を持っています。

日常的なバックアップ業務を行うユーザーには削除などのデータに危険を及ぼす権限を与えず、最小限の権限で作業できるようになっています。

さらにバックアップの停止やバックアップデータの削除などの重要な操作をより強力に保護する、マルチユーザー承認の機能も用意されています。
マルチユーザー承認では、Recovery Services コンテナーにリソースガードと呼ばれる保護機能が追加されます。この構成では、リソースガードの管理者（下図ではセキュリティ管理者）が、バックアップ管理者に対してリソースガードへのアクセス権を承認しない限り、バックアップ管理者は（Recovery Services コンテナー自体へのアクセス権を持っていても）Recovery Services コンテナーに対する操作が行えません。

このように Recovery Services コンテナーに対するアクセスに必ず複数のユーザーが関与することで、ランサムウェアがバックアップデータにアクセスすることを防ぎます。

Azure Backup では、意図しないデータの削除や改変を防止するための機能が用意されています。

その一つが論理的な削除です。論理的な削除は Azure VM のバックアップで利用できます。論理的な削除を使用すると、悪意のある行動（ランサムウェアになど）によるバックアップの削除や、バックアップ データの誤った削除が行われても、バックアップ データは追加で 14日間保持されます。その状態からデータを失うことなくバックアップ項目を回復できます。 バックアップ データが「論理的な削除」状態にある期間中は、追加のコストは発生しません。

さらに、バックアップデータの削除を行えなくする不変コンテナーの機能も用意されています。
不変コンテナーを有効にすると、バックアップデータを保存している Recovery Services コンテナーに対する操作は以下のように制限されます。

この結果、バックアップに対する保持ポリシー（バックアップを何日データ保持期間の設定）による削除以外の、ユーザーの操作でのバックアップ削除ができなくなります。
また不変コンテナーの設定の解除を禁止し、永続的にデータの削除やバックアップの停止を行えなくすることもできます。

このようなデータの安全性の確保により、万一ランサムウェアに感染した場合でも、バックアップデータを保護し、復元を可能にします。

Azure Backup の動作は Azure ポータルの「バックアップセンター」で管理し、動作を監視・確認できます。組織内で複数のバックアップを構成している場合も、一つの画面からすべてのバックアップの動作を監視・確認できます。

構成しているバックアップと、その状態が分かりやすく表示されており、管理者はバックアップに関する定期的なレポートを電子メールで受け取ることもできます。また Azure Monitor を利用してバックアップの動作に関する詳細な情報を収集してレポートを作成・分析できます。

さらに Azure Monitor ではセキュリティとジョブの失敗についてのアラートを電子メールやその他の手段で送信するよう構成できます。

これらの機能により管理者はバックアップの正常性を常に確認し、バックアップの動作に問題があれば即座に警告を受け取ることができます。そのため誤操作やランサムウェアの攻撃などのバックアップデータの侵害を早期に発見し対処することができます。

ランサムウェアなどのマルウェアの攻撃に対しては感染しないことが最も重要ですが、感染してデータに対する侵害を受けた場合でも、適切なバックアップデータがあればデータを復旧して業務を継続できます。
Azure Backup では以下のような機能による堅牢で安全なバックアップによるランサムウェアからのデータの保護を提供します。

Azure Backup は従量課金で利用でき、オンプレミスのバックアップでも特別な機器やネットワーク設定なしにすぐに利用開始できます。ランサムウェア対策となる安全なバックアップソリューションとして、Azure Backup の利用をご検討ください。
Azure Backup を始めとする Microsoft Azure の利用や Azure Backup の使用開始については、ぜひ当社担当営業にご相談ください。