みなさん、こんにちは。
前回のコラムに続き、侵入されることを前提とした対策について書きたいと思います。前回は、昨今の
ランサムウェア感染の主要な入口となっている「VPNの脆弱性」について記載しました。境界防御を固
めることは重要ですが、どれほど強固な対策をしても、未知の脆弱性（ゼロデイ）や盗まれた認証情報
によって「侵入を100%防ぐ」ことは困難な時代です。

万が一VPNを突破され、社内システムが停止に追い込まれたとき、バックアップデータから新たなシス
テムを再構築する必要が出てきます。ハードウェアやパッケージは置き換えが可能ですが、ユーザー
データはバックアップデータからしか復元ができません。

そのバックアップデータを安全に保管する仕組みが今回ご紹介する「イミュータブル（不変）バック
アップ」です。

「イミュータブル（Immutable）」とは、日本語で「不変の」「書き換え不可能な」という意味です。
従来のバックアップは、管理者権限さえあれば上書きや削除が可能でした。しかし、イミュータブル
バックアップは、ストレージ側のロック機能により、「たとえシステム管理者であっても、設定した期
間内はデータの削除・変更を一切許可しない」状態を物理・論理的に作り出します。
VPNから侵入した攻撃者が、どれほど高い権限を奪取したとしても、この「不変領域」にあるデータだ
けは暗号化することも消去することもできません。

VPNから侵入した攻撃者は、本番環境を暗号化する前に、「バックアップサーバー」を探し出す傾向が
あります。攻撃者は、バックアップサーバーへログインし、保存されている復旧ポイントをすべて削除
したり、バックアップ先の共有フォルダをフォーマットすることを試みます。復旧手段を完全に断って
から本番環境を攻撃することで、企業を修復不能の状況へ追い込みます。「バックアップを取っている
から安心」ではなく、「バックアップを安全な形で保管されているから安心」という時代になっていま
す。

イミュータブルバックアップにはいくつか手法があります。

① 「イミュータブルスナップショット」

一部のNAS製品にはスナップショットデータをイミュータブルにする機能が備わっています。NASに
バックアップしたデータをスナップショットで世代管理し更にイミュータブルにする期間を選択できま
す。NAS上のバックアップデータがネットワーク経由で感染しても、数日前の「不変データ」から復元
することができます。

② 「Object Lock」を備えたオブジェクトストレージ

AWS S3などObject Lock機能を利用できるオブジェクトストレージを利用し、データセンター側で論理
的に削除を拒絶します。最も強固な設定ではルートユーザーを含め、誰一人として保存されたデータを
削除・変更を拒否させることができます。

③ WORMテープによる「物理的イミュータブル」

「ネットワークに繋がっている以上、100%安全とは言い切れない」というリスクをゼロにするのが、WORM（Write Once Read Many）テープです。
一度書き込んだら物理的に消去・上書きができないWORMメディアを使用します。
⻑期期間オートローダーに内蔵されたテープでも絶対に上書きされません。

これらのバックアップ方式はバックアップするデータの性質、復旧までの時間（RTO）や導入コストを
比較し最適な手法を選択する必要があります。

今回ご紹介した「イミュータブル（不変）」という仕組みは、決して特別な技術ではありません。万が
一のときに、自分たちの会社や、守るべきデータを守り抜くための、当たり前の備えになりつつありま
す。自社の環境にはどの守り方が合っているのか、まずは現状を確認することから始めてみてくださ
い。「いざという時に本当に動くバックアップ」があること。それが、今のランサムウェア時代を生き
抜くための、の安心材料になるはずです。

ここ１年でイミュータブルバックアップを導入したいというお客様が急激に増えていると感じていま
す。

・バックアップサーバーのリプレースを機に
・既存のバックアップ環境はそのままに
・コストは最小限に抑えたい

「イミュータブルスナップショットNAS」の導入が、多くの環境に適用しやすく、コスト面での選択肢
も多いため、今後も導入事例が多くなっていくと思います。
もちろん「適材適所」ですが、迷われた際はぜひお気軽にご相談ください。