データ保護のガイド

データ保護とは、バックアップやデータ・レジリエント・アーキテクチャを使用して、サービスの損失、破損、中断からデータを保護するプロセスです。バックアップからリカバリ、データの再利用まで、組織がデータを安全に保ち、製品、サービス、運用に高可用性を維持するために使用する全ての技術と技術を対象としています。

このガイドでは、データを安全に保持するために、システム管理者が利用できるさまざまな技術について詳しく解説します。

データ保護という用語は、データ・セキュリティやデータ・プライバシーと互換性がありますが、3 つの用語には微妙な違いがあります。

• データ保護は、データ・セキュリティとデータ・プライバシーを含む包括的な用語としてよく使用されます。しかし、業界では、多くの場合、耐障害性、冗長性、リカバリによるデータの損失や破損の防止を特に意味しています。
• データ・セキュリティは、ファイアウォール、暗号化、その他の技術を通じて、社内外の関係者によるデータへの不正アクセス、操作、破損の防止に関連して、より具体的に定義されています。
• データプライバシーは、秘密データや情報の漏洩を防ぐために、データへのアクセスを制御することに重点を置いています。これには、セキュリティ・トレーニング、認証戦略、GDPR などの情報セキュリティ規制の遵守が含まれます。

組織のデータが完全に保護されるようにするには、3 つ全てに投資する必要があります。このガイドでは、主にデータ保護に焦点を当てます。ただし、3 つのドメインの間には自然に重複する部分もあります。

サーバー・ルームやデータセンターでのデータ保護について、かつては冗長性が重視されており、データの損失や破損に備え、また、危険にさらすリスクに対処するために、常にバックアップを必要としていました。

実際のところ、データをバックアップすることは最低限必須の作業です。データ保護は、運用テクノロジースタックの最も重要な、RPO（リカバリポイント目標）と RTO（リカバリ時間目標） を管理することです。つまり、重要な業務運営の中断を防ぐために、データのバックアップとリストアをいかに迅速に行えるかということです。

RTO と RPO とは

• RTO：アプリケーションや業務を支えるデータへのアクセスが失われることを許容できる最大の時間。どれくらいの時間で復旧することを目指すかの指針であり、これにより、どれだけ早急にシステムをリカバリする必要があるのかを決定する。 

• RPO：損失が許容されるデータの最大量を表す。いつ時点のデータを復旧させるかの目安であり、これにより、バックアップを行う頻度を決定する。

RTOとRPOは、ディザスタ・リカバリ戦略を策定する際に認識しておくべき重要経営指標（KPI）です。

ランサムウェアでは、リストアが新しいバックアップである理由

バックアップおよびディザスタ・リカバリとも呼ばれるバックアップおよびリストアとは、データをバックアップし、ディザスタ発生時にビジネス・サービスおよび運用をリストアできるようにすることを意味します。災害には、自然災害や停電から人為的ミスやサイバー攻撃まで、あらゆるものが含まれます。 

データ・バックアップ計画

組織で利用できる技術やリソースによっては、大規模なデータセンターのディザスタ・リカバリ戦略の一環として、以下のバックアップ技術を 1 つ以上導入する必要がある場合があります。

• フル・イメージ・バックアップ：データの完全なイメージをバックアップし、すぐにロールバックできるリストア・ポイントを作成する。完全なバックアップを行うため保存に時間がかかる。
• 差分バックアップ：前回のフル・イメージ・バックアップ以降の全ての変更をバックアップします。リストアに必要なファイルは 2 つだけです。最後のフル・イメージ・バックアップと、最後の差分バックアップの順です。 
• 増分バックアップ：前回のフル・イメージ・リストア・ポイント以降の変更を増分的にバックアップします。設定された数の増分バックアップの後、サイクルはフル・イメージ・バックアップで完了します。リストアは、最後のフル・イメージ・バックアップから始まり、ターゲットRPOへの増分バックアップが続きます。 
• リアルタイム・バックアップ：継続的バックアップとも呼ばれるこの方法では、データに対する全ての変更を別のストレージ・デバイスに即座にコピーする。最も詳細かつ包括的なバックアップを提供する。
• インスタント・リカバリ：継続的に更新されるバックアップ仮想マシン（VM）が、本番VM用に維持される。本番VMに障害が発生すると、即座にバックアップに引き継がれ、RTO と RPO がゼロになる。

長期にわたる高可用性バックアップ・ソリューションのための階層型バックアップとデータ・バンカーの詳細を見る

データセンターのディザスタ・リカバリ

堅牢なバックアップ計画の実装は、データ保護の要素の一部にすぎません。2 つ目は、RTO を達成することです。つまり、災害発生時にビジネス・システムをバックアップし、稼働させる方法とは？ 一般的なディザスタ・リカバリ計画には、次のようなものがあります。

• ディザスタ・リカバリ・チーム：ディザスタ・リカバリ・プランの実施について、直接責任を負う個人（DRI）のグループを指定します。
• リスク分析：組織内で何がうまくいかないのかを準備し、認識する必要があります。計画外のダウンタイムや災害が発生した場合のリスクと行動計画を特定します。
• コンプライアンス：攻撃を受けたからといって、データ・コンプライアンスの規制を破るわけではありません。コンプライアンス責任者は、組織が保持および削除ポリシーに従っていることを確認し、コンプライアンス上の理由から、以前に削除を予定していた秘密データをバックアップしないようにすることができます。
• ビジネス・インパクト分析：災害発生後、ビジネス・サービスへの潜在的な影響を評価できる人がいる必要があります。最も重要なサービスのバックアップと実行を早期に行うことが可能です。事業継続性にとって最も重要なシステム、アプリケーション、データ、資産を特定して文書化することで、ディザスタ・リカバリ・チームはリカバリに必要な最も効率的なステップを踏むことができます。
• データ・バックアップ：使用しているバックアップ戦略やテクノロジーに応じて、最新のバックアップにロールバックすることで、業務を再開できます。RTO と RPO は、影響を受けるバックアップとサービスによって異なります。 

継続的なデータ保護が重要

ますますデジタル化が進む世界では、ダウンタイムや中断なく、24時間365日サービスを提供できることを期待しています。継続的バックアップとも呼ばれる継続的データ保護（CDP）は、近代的なビジネス運営をサポートするために必要なデータの継続的なストリームをバックアップする慣行です。これにより、組織はシステムを以前の時点にリストアすることができます。CDP の目標は、災害発生時の RTO と RPO を最小限に抑えることです。継続的なリアルタイム・バックアップを活用し、堅牢なディザスタ・リカバリ戦略を実装することで、CDP を通じて事業継続性を維持できます。

これまで、データを保護し、災害発生時に事業継続性を維持するために一般的にできることについて説明してきました。しかし、ランサムウェアという災害は増加しており、それ自体に対処する価値があります。

サイバー犯罪者は常に脅威でしたが、過去のハクティビストは政治的、文化的、宗教的な信念によって動機付けられていましたが、今日のサイバー犯罪者は主に金銭的利益によって動機付けられています。ランサムウェアは、ハッカーが身代金を支払うまで暗号化によってデータからあなたをロックするものであり、現在では数百万ドル規模の業界となっています。また、ダウンタイムが収益の損失に直接つながる世界では、身代金を支払うだけでは決して魅力的ではありません。

次のセクションでは、ランサムウェア攻撃を軽減するためにできることについて説明します。

ランサムウェア攻撃の防止

ランサムウェア対策の最善の方法は、ランサムウェアの発生を防ぐことです。システム全体の可視性を確保し、優れたデータ・ハイジーンを実践し、脅威を特定したらそれに対処するための計画を立てることです。

• ロギングと監視：ロギングおよびシステム監視ツールは、システムを俯瞰的に把握し、全てがスムーズに実行されているときに IT インフラがどのように見えるかを理解するのに役立ちます。迅速なリアルタイム分析は、異常（疑わしい IP アドレスからのトラフィックの急増など）やその他の活動を発見し、潜在的な攻撃につながる可能性があります。
• データ・ハイジーン：ハッカーがマルウェアを仕掛けると、パッチが適用されていないオペレーティング・システム、セキュリティが不十分なサードパーティ・ツール、煩雑なデータ管理などのセキュリティの脆弱性を探します。データ・ハイジーンとは、優れたパッチ管理、システム構成、データ・サニタイズの実践を意味します。これらにより、組織の運用がスムーズになるだけでなく、潜在的なハッキングの攻撃対象領域を大幅に削減できます。
• 運用上のセキュリティ：サイバーセキュリティに関しては、人間はしばしば見過ごされる脆弱性です。多要素認証、管理制御、データ階層化を実装することで、データを必要とする許可された個人のみがデータを利用できるようになります。ハッカーやフィッシング攻撃の手法を網羅するセキュリティ意識向上トレーニングは、組織が実際の試みを実際に発見する準備に役立ちます。

ランサムウェア攻撃時の対策 

サイバー攻撃は、映画の主役ほど実生活では明らかではありません。攻撃自体は、ファイルにアクセスし、ネットワーク内を横方向に移動し、ファイルを暗号化し、バックアップを削除すると、わずか30〜40分しかかかりません。逆に、攻撃者は、アクセスを取得してからしばらくしてネットワークに侵入し、実際の攻撃を計画する際に、異常への応答を監視します。いずれにせよ、データに対する身代金通知を受け取るまでに、攻撃はすでに完了しています。

ランサムウェア攻撃が発生している間は、フォイルド・フィッシング攻撃に気付いたり（従業員をトレーニングすることで）、SEIM やログを介してネットワーク上で疑わしいアクティビティをキャッチしたりすることが唯一の方法です。これらの積極的な対策と必要なツールがあれば、サイバー・インシデント対応（CIR）計画を立てて、異常な活動を発見した時点で対処する必要があります。全てを文書化し、関連する IT 担当者に通知して、影響を受けるシステムを分離し、損害を軽減します。コンプライアンス要件を満たし、実際のランサムウェア攻撃であることが判明した場合の調査において法執行機関を支援するために、これらの記録が必要になります。CIR 計画の作成の詳細は、この記事の後半で説明します。

ランサムウェア攻撃後のディザスタ・リカバリ

そのため、ファイルは暗号化され、ランサムウェアに関するメモが届きました。どのような選択肢がありますか？

1 つの選択肢は身代金を支払うことですが、そうすることで、組織がさらなる恐喝にさらされるリスクがあります。

前述のセクションで説明した積極的なランサムウェア対策手順に従うことを条件に、次の点を消去、リストア、対応することがよりよい選択肢です。

• 攻撃者がデータにアクセスできるような脆弱性をシステムから削除 します。侵害を受けたハードウェアやソフトウェアは、直ちにネットワークから分離して切り離す必要があります。バックドアやその他のマルウェアが残っていないことを確認するため、システムおよびネットワーク監査を実施する必要があります。バックアップからデータをリストアし、運用を開始する前に、システムをサニタイズすることが重要です。
• バックアップとリカバリのプランを活用してデータをリストアします。スナップショットやディザスタ・リカバリ・インフラが、サイバー・インシデントの発生直前に何かを拾い上げるために用意されていることを願っています。防御チームは、サニタイズされた仮想環境内でバックアップ・データのフォレンジック分析を実行し、攻撃者が何も残さないようにする必要があります。システムをロールバックできる、改ざんされていないリカバリ・ポイントを探しています。 
• 記録のレビュー、システムの監査、攻撃の性質の文書化などの対策を講じ、攻撃に適切に対応します。規制を遵守するためには、データ侵害を顧客に通知する必要があり、攻撃に対応するために組織ができることを全て実行したことを示すログが必要です。攻撃で得られた情報は、法執行機関が加害者を追跡するのに役立つだけでなく、将来の攻撃からシステムを保護するのに役立ちます。

詳細はこちら。ランサムウェア対策とリカバリに関するハッカーガイド

サイバー・インシデント対応計画は、サイバー攻撃が発生した場合に従業員が従うべき詳細を概説した正式な文書です。また、PCI DSS（Payment Card Industry Data Security Standard）の要件でもあります。サイバー・インシデント対応計画は、一般的に6つの段階で構成されています。 

1. 準備

このフェーズでは、サイバー・インシデントが発生した場合に従うべきステップ、役割、手順について説明します。サイバー・インシデントに対応する役割と責任を明確に定義した個人で構成されるチームを準備します。また、模擬データ侵害などのドリル・シナリオに関する従業員トレーニングを通じて、これらの役割と手順のテストについても説明します。 

2. 識別

このフェーズでは、異常なサイバー・イベントの検出とフォレンジック分析を行い、侵害が発生したかどうか、インシデントの重大性を判断します。 

• どのようなデータが公開されましたか？ 
• どのように発見されましたか？ 
• 誰がインシデントを発見したのか？
• 誰に影響を与えるのか？

インシデントの範囲と重大性は、効果的に対処する前に文書化して分析する必要があります。システム・ログとネットワーク・ログは、侵害に即座に対応し、セキュリティ・インシデントの発生後に重要な詳細を判断する鍵となります。

詳細はこちら。ランサムウェア攻撃を受けました。さて、何をしますか？

3. 封じ込め

サイバー・インシデントが発生した場合、封じ込めフェーズでは、さらなる損害を防止し、リスクを軽減するために講じる措置を指定します。コンテインメントは通常、影響を受けたデバイスをインターネットから切断および非アクティブ化する手順を伴います。

4. 排除

脅威が封じ込められたら、セキュリティ・プロフェッショナルが分析し、インシデントの根本原因を特定し、脅威を排除できます。マルウェアの除去、セキュリティ・パッチ、その他の対策は、排除段階で概説する必要があります。 

5. リカバリ

リカバリフェーズでは、影響を受けるシステムやデバイスを本番環境に戻す手順と手順を行います。冗長バックアップ、スナップショット、ディザスタ・リカバリ・プランは、侵害が発生した場合にミッション・クリティカルなサービスをリストアするために実装できます。また、イベント直後にオンラインに戻るための事前構築された方法を提供する、段階的なリカバリ環境が必要です。 

6. 教訓

サイバーセキュリティは継続的なプロセスです。サイバー・インシデントから収集した情報と教訓を収集し、セキュリティ・プロトコルやインシデント対応計画そのものに応用することが重要です。
 

データ漏洩「発生時」の 6 つの詳細な計画を入手する

このガイドでは、データを保護し、災害発生時の事業継続性を維持するためのさまざまなツール、戦略、テクノロジーについて解説しています。結局のところ、データは、管理に使用するインフラと同じくらい安全です。 

ピュア・ストレージの製品は、モダン・データ保護を念頭に設計された製品です。ピュア・ストレージが開発したモダン・データ保護ソリューションには、次のようなものがあります。

• FlashBlade 高速リストア：本番環境とテスト／開発環境に 270 TB/時のデータ・リカバリ性能を提供します。 
• ActiveDR：Purity に組み込まれたActiveDR は、新しい書き込み、関連するスナップショット、保護スケジュールの両方をカバーする堅牢な非同期レプリケーションにより、ほぼゼロの RPO を提供します。 
• Purity ActiveCluster：RPO ゼロのための同期レプリケーションと、RTO ゼロのための透過的なフェイルオーバーが、真の双方向のaアクティブ／アクティブのメトロ・ストレッチ・クラスタで実現します。 
• SafeMode スナップショット：SafeMode スナップショットは、FlashArray と FlashBlade に組み込まれたランサムウェア保護ソリューションです。スナップショットは不変であるため、ランサムウェア攻撃が発生した場合にデータを復元できます。

モダン・データ脅威には、モダン・データ保護ソリューションが必要です。ピュア・ストレージでデータを保存することは、組織のパフォーマンス、信頼性、セキュリティを確保する最良の方法です。