新型コロナウィルス(COVID-19)により、ビジネスの継続性を維持することが企業の重要な課題になりました。不安定な時代には、サイバー攻撃によるリスクが高まります。したがって、セキュリティは優先すべき事項のひとつです。
働く環境は大きく変わりつつあります。リモートワークとリモートラーニングが浸透して、⾃宅からオンラインで支障なく業務を遂行し、教育を受けられるシステムが求められています。困ったときには、遠隔操作でサポートを行う必要があります。一方、コスト削減や効率化とともに、セキュリティ面からデータ保護を考えなければなりません。
NetAppではリモートワーク時代のデータ保護対策として、ゼロトラストの考え方を基盤にデータ保護の考え方を確立し、NetApp ONTAP Fpolicy、NetApp CloudInsightsというソリューションを提供しています。
リモート環境が当然の時代に必要な考え方と、セキュリティについて解説します。
最初に、セキュリティの現状を確認していきましょう。新型コロナウィルスによって世界は刻々と変化していますが、2020年のVerizonの報告書からポイントを抜粋します。
データセキュリティの脅威はどうなっているのか
Verizonの『2020年度データ漏洩 / 侵害調査報告書』によると、サイバー攻撃によるインシデントは32,002件の報告があり、そのうちの3,950を漏洩 / 侵害としています。
漏洩 / 侵害のうち45%がハッキングで、マルウェア22%、ソーシャルエンジニアリング攻撃22%になります。内部不正が問題視されますが、漏洩 / 侵害の70%は外部からの攻撃によるものです。その86%が金銭目的であったと報告されています。
ランサムウェアはマルウェアの27%を占め、18%の企業が少なくとも1つのランサムウェアをブロックしています。データ漏洩 / 侵害において多く使われる手口は、認証情報を盗み取ること、ユーザーのミスを誘った攻撃、ソーシャル攻撃の3つです。特にリモートワークの脆弱性が狙われる傾向にあります。
ランサムウェアは、システムや業務の停止を引き起こす
ランサムウェアは俗称「⾝代⾦ウイルス」と呼ばれ、データが暗号化されることでシステム停⽌や業務停⽌の障害を引き起こします。
アメリカにおけるランサムウェアの被害の実例では、2019年7月、ジョージア州の警察でパトカーから犯罪履歴へのアクセスが不可能になりました。2019年9月には、ユタ州プレミアファミリーメディカルで、約32万件の電子へのアクセスが不可能になる被害が報告されています。
ランサムウェアは社会的な影響を与える悪意を持ったサイバー攻撃であり、ビジネスにも多大な被害をもたらします。
NetAppでは、このようなセキュリティの現状に対して、セキュリティ対策の10のチェックリストを提示しました。ビジネスの継続性を実現するためには、以下の要件を満たしているかどうか、ぜひチェックしてください。
□クラウドやオンオプレミスごとのアクセス制御
□IDとパスワードに加えた多要素認証
□ストレージ分離とネットワーク仮想化によるデータ分離
□データ攻撃を想定したデータリカバリー
□マルウェア攻撃の防止
□セキュリティの自動強化
□保存中および転送中のデータの暗号化
□あらゆるアクティビティのロギング(記録)
□セキュリティ情報イベント管理(SIEM)によるプロアクティブな管理
セキュリティ対策の10項目を踏まえた上で、NetAppではランサムウェア対策にフォーカスしたソリューションを提供しています。これからのセキュリティで基本となる考え方を解説した後で、具体的なサービスを紹介します。
ゼロトラストの基本は「内部も安全ではない」
従来のセキュリティのモデルは、内部を守るために防衛するセキュリティでした。しかし、
「外部からのアクセスに、セキュリティ境界を設定すれば解決」 という考え⽅は時代遅れといえるでしょう。
たとえば社内ネットワーク内部のユーザーが、ウイルスに感染している可能性があります。正統なアクセス権を設定していたとしても、社内ネットワークの内部では感染拡⼤を防⽌する⼿段がないことが実情です。
こうして生まれた考え方が「ゼロトラスト」と呼ばれるモデルです。トラスト(Trust)は「信頼」という意味ですが、内部は境界に隔てられて安全だという従来の考え⽅ではなく「内部も安全ではない」という信頼性ゼロからセキュリティを設計します。
ゼロトラストにはMicrocore and Microperimeter(MCAP)ゾーンの設定と権限認証を行う手法があります。MCAPゾーンでは、保護すべきデータ、サービス、アプリケーション資産などをグループ化して、包括的に定義します。
NetAppによるゼロトラストを基盤としたソリューション
ゼロトラストの考え方を基盤としたNetAppのソリューションにはNetApp FPolicyとNetApp Cloud Insightsがあります。
NetApp FPolicyは、ファイルスクリーニングを行います。NetApp Zero Trustエンジンとして機能し、ユーザー⾏動分析(UBA:User Behavior Analytics)にもとづいて、データファイルへのアクセスに関するイベント通知を行います。セキュリティ情報イベント管理(SIEM)システムと連携できます。
次に、NetApp Cloud Insights は脅威を検出するソリューションです。NetAppのストレージに対してファイルシステムのアクセス状況を監視し、FPolicyの外部サーバーとしてUBAによるNetApp Cloud Secure 機能で脅威を検出します。
サイバー攻撃を受けたときには、データ保護、感染防止、リカバリー(データの復旧)の3つが重要です。流れに沿ってポイントを整理します。
データ保護、感染防止、リカバリーのポイント
データ保護として、感染の可能性のあるクライアントマシンを遮断またはネットワークから分離します。続いて、ウイルスとマルウェア対策ソフトウェアでランサムウェアを除去するか、マシンの初期化を行います。ストレージに対しては、ユーザデータにオンデマンドのスキャンを実⾏します。
次に感染拡⼤を防⽌しなければなりません。この対処⽅法としては、まず進⼊の⽷⼝となるシステムのセキュリティ脆弱性情報をチェックします。そしてオペレーティングシステムとアプリケーションの更新や、パッチを適用させます。
最後に、感染したデータのリカバリーですが、適切なバックアップのコピーやNetApp Snapshotコピーがあるかどうかを確認します。確認した後に、完全なコピーデータあるいはSnapshotのコピーからデータのリストアを行います。
NetApp Snapshotによる迅速なデータの復旧
Snapshotによって保存されたイメージは読み取り専⽤のため、ランサムウェアの侵⼊を阻止できます。侵⼊前のSnapshotコピーをリストアして、容量に依存しない迅速なデータ復旧が可能になります。
さらにSnapshotはデータの差分を保存するため、異常な容量の増加は暗号化処理の可能性が高い形跡として考えられます。暗号化時期から侵入時期の推測をすることもできます。
リモートワークの需要が高まるとともに、セキュリティは企業が注力すべき重要な対策として位置づけられています。このとき、クラウド上のバックアップの見直しが重要です。ビジネスの持続性を保つためには、正常に稼働していた状態に後戻りできる必要があり、リカバリーの時間を最小限に抑えなければなりません。
NetAppのソリューションは、データ管理の側面からセキュリティをサポートしています。