IPAの言うセキュリティ対策の基本を見ていきましょう！　その9

2024年12月4日 14:17

皆様、こんにちは！
株式会社カチカのリモート＆コールドバックアップ業務担当の村島です！
何と言いますか、どことなくテンションが上がりきらないのが冬というものなのでしょうね。正直冬眠したい。
でもまあ、そんなことも言っておられませんので、今日もレッツスタディセキュリティ！なのです。

例によってこの資料です

いままでさんざん見てまいりました↓この資料ですが

IPA「セキュリティ対策の基本と共通対策情報セキュリティ10大脅威2024版」より
（以降、特に注記なき場合同資料からの引用とします）

今回は

⚫バックアップからリストアする

のところからだった気がします。
いやあ、前回も書きましたけど、数日前にリストアで悩みに悩んだタイミングは絶好のタイミングと言おうか、最悪のタイミングと言おうか…って感じですが。
とりあえず文章を追っていきましょう。

・復旧計画を立てる
バックアップは取得するだけで終わりではなく、それを利用していかに早く復旧するかが重要である。そのために想定される障害とその被害をあらかじめ考え、それぞれに対して復旧する時点やリストア手順を確立する。

う～ん私の場合「個人的なPCだからバックアップだから復旧計画なんかはいいか」と思っていたところが第一の間違いだったということになるんだろうなと思います。
この辺について、日本の企業はどのような対策を立てているのでしょうか。ちょっと知りたくなりましたので調べてみました。
残念ながら公的機関の調査はなかったのですが、アドビ株式会社が500社を対象にアンケートを採った結果、まず情報のコピーやバックアップを取っていますか？という質問に対しては以下のような結果になったそうです。

「BIZHINT」サイトより
https://bizhint.jp/report/452864

バックアップの実施率が「完璧に取れている」「ほぼ取れている」を合わせて68.4％。皆様、これってどう思われますか？私は正直少ないと思いますね。まあ、歴史ある会社様なら紙からデジタルへの移行はなかなか難しいこともあるでしょうし、そもそも私は「デジタルなら何もかも解決！」という考え方はしない人間でもあるのでデジタルバックアップを行っていない会社様の言い分もわかるような気がしますが、それでもやっぱりデジタルで「も」保存しておいた方がいいのではないかなと思います。
しかしまあ、いずれにせよバックアップがなされていないならリストアのテストも何もないわけで今回のテーマの射程外になってしまうわけですが、とりあえずバックアップを取っている会社に限定して考えてみても、リストアのテストを行っている会社がどれくらいの割合に上るのかいささか不安です。

企業のバックアップ状況

というわけでこれも調べてみたんですが、これもどうも公的な資料がないんですね。仕方ないのでいろいろ見ていたのですが、こんなものを発見しました。VMware/Hyper-V・クラウド対応ツール技術ブログというところに描いてあったものなのですが。

企業データの14%は一切バックアップされておらず、しかもバックアップされたデータのリカバリは2回に1回以上（58%）失敗に終わっているのだそうです。

VMware/Hyper-V・クラウド対応ツール技術ブログより

前段にもとんでもないことが書いてあることは間違いないのですが、後段がさらにとんでもないですよね。58％失敗に終わってるって…60％近くはバックアップがサッパリ役に立ってないっていうことなんですよ。
これは、以前にも名前を出しましたVeeam社が世界28か国で従業員1,000人以上の企業3,000社を対象に行った調査Veeam® Data Protection Report 2021の結果の一部ということで若干古いデータではありますが、ちょうどコロナ禍が始まったころなんですよね。長かったコロナ禍で考え方を改めた企業様も多いことを期待したいと思います。そして私自身も「バックアップが取ってあるから大丈夫！」というのは少々楽観的すぎたと反省しております。

バックアップからのリストア失敗事例

リストアにかかる失敗事例について情報を集めてみましたら、デロイトトーマツ様のサイトにこんな記事がありました。

ケース① バックアップ、取ったつもりが取れていなくてリストア失敗
例えば、重要性を見誤ってバックアップ範囲外としていたデータが壊れてしまったり、前日の状態に戻ることを期待していたら1か月前の状態にしか戻れなかったりといった事例が挙げられる。
原因は、リストアを見据えたバックアップの範囲や方法の決定が、不十分であることだ。
（中略）
ケース② バックアップ、取ったのに失ってリストア失敗
例えば、自然災害によってバックアップを失ってしまったり、ランサムウェアによってバックアップまで暗号化されてしまったりといった事例がこれにあたる。
原因は、効果的な保管方法を選択できていないことだ。1箇所に1つのバックアップしか保管していなければ、当然災害時などのリスクは高まるうえ、近年ではバックアップがランサムウェアの標的となり得ることも念頭において保管場所を計画しなければならない。
（中略）
ケース③ バックアップ、取ったのに使えなくてリストア失敗
例えば、バックアップやリストアに関する手順が属人的だったり、手順書に記載の漏れがあったりといった事例が考えられる。
原因は、これらの手順が標準化されていない、または最新化されていないことだ。正しい方法やタイミングでバックアップを計画しても、手順が不明瞭であれば重大なヒューマンエラーを招きかねない。

デロイトトーマツ様サイトより

弊社がさんざん皆様にご理解いただきたく訴えてまいりましたのはこのサイトで述べられているうちのケース②だと思われますが、その他にケース①のようなこともあればケース③のようなこともあるということなんですね。
たまたま今回私自身のトラブルとして身に降りかかってきましたので私の個人的な事例を絡めながら話を進めさせていただきますが、私の個人用PCにはシステムのドライブが1台（SSD）データのドライブが3台（HDD）があり、それぞれにバックアップドライブがあります。今回トラブルに陥ったのは一番重要なシステムのドライブでした。
あくまでも個人用のPCですので、システムのドライブの中で「これはバックアップするべきもの、これは要らないもの」というような分け方はしていませんでした。M.2とSATAの違いこそあれど、バックアップした直後にはどちらから起動しても同じ状態になるようにしていたわけです。だからそれが油断に繋がったのかも知れませんね。
しかし個人用PCということになりますと、リストアテストというのもなかなか思いどおりには行かないものです。バックアップとして使っているSATAのドライブにシステムが完全に保存されているかどうか、確かめるにはM.2にリストアしてみるしか現状方法がありません。それじゃ魔の永久機関です。外付けUSBのドライブをひとつ用意してそこにリストアしてみて、ここにリストアするという方法ぐらいが考えられるでしょうか。
上記引用しましたケース②に関しましては、再三申し上げておりますとおりバックアップを遠隔地でお預かりすることができます。今回の件でリストアテストも（以前から行ってはおりましたが）自らの会社の業務ながら非常に重要だということを再認識いたしましたので、ぜひこの点もお考えいただいた上でおまかせいただければと思います。
ケース③のような問題も考えられるわけですね。バックアップ操作をした人とリストア操作をする人が同じとは限らない。むしろ別の方が多いかも知れませんね。システムとデータを分けてあったり、データも種類によってバックアップ先が違っていたり、差分・増分があったりするとリストアの順番というのも重要になってくるかと思われます。ここに齟齬が生じたのならやり直せばいいだけの話なのですが、人間というのは慌てると何をするかわからないもので、バックアップを消してしまう、というようなことも生じるかも知れません。やはりバックアップ作業担当者からリストア担当者へ（直接の口伝でなくても）リストアの手順が知らされることが望ましいようです。

リストア計画を立てよう

ここで、上にも引用した以下の文章をもう一度見てみましょう。

・復旧計画を立てる
バックアップは取得するだけで終わりではなく、それを利用していかに早く復旧するかが重要である。そのために想定される障害とその被害をあらかじめ考え、それぞれに対して復旧する時点やリストア手順を確立する。

今回の私の場合「所詮個人のPC」と考えてバックアップ計画は立ててありましたが復旧計画を立てていなかったことが数日間にわたる睡眠不足の元となりました。
「想定される傷害」として、もしかしてSSDがもう若干古くなりつつあるのかなという気もしています。性質上少なくともHDDドライブよりは長生きなはずなのがSSDなのではありますが、それにしても限界があります。これも「想定される傷害」ではありますよね。その被害は「PCが使えなくなる」というのが考え得る限り最悪のシナリオだと思います。この文章を書き終えたら、考え得る傷害とその被害を想定した上でリストア計画を立てようと思います。まあ、私の個人用PCですので世代管理なんかとかそういうことはやっていないんですけど…やった方がいいかもしれませんね。
さて、その続きを見てみましょうか。

・正しく復旧できることを確認する
計画に基づいて正しく復旧できるか定期的に確認し、必要に応じて手順の見直しを行う。

この「正しく復旧できることを確認する」というところが、今回私の個人的な経験から必要不可欠だと学んだところであります。
何かあったらリストアすればいいや、としか考えてませんでしたからね。それが上手く行かないなんて完全に想定外でした。
これ↓もデロイトトーマツ様サイトからの引用なんですが

バックアップというのはいったん確立した手順をいつまでも使っていてはダメということなんですよね。内部・外部の環境変化を睨み運用方法を常に改善しておかなければなりません。
今回の私のケースのように「バックアップは取ってあったがそこから上手くリストアできなかった」というようなことが起きないようにするためには、もう口が酢酸になるレベルでお話ししていることですが、異なる手段でバックアップを取って、一方がダメでももう一方からリストアできる可能性を残しておくこと、そしてできればそれを複数作ってひとつは遠隔地に置いておくことをおすすめしたいと思います。オンラインバックアップ（ホットバックアップ）は日常の業務の中でクラウドへ、オフラインバックアップ（コールドバックアップ）は週末や深夜などを利用して例えば1ヶ月に1回とか、そういう感覚でハイブリッドバックアップとして保存して弊社におまかせいただければと思います。
個人用PCが今回トラブルに見舞われたことは考えてみれば私にとって幸運だったのかも知れません。改めて、考え直す機会を得ることができたという形になりましたからね。この図↓も同じサイトからの引用です。

一番下の「"リストア"を意識できていない」なんて、心に刺さります。リストアしなければいけない機会というのはそうそう起こるものではないと思うんですね。そのそうそう起こるものではないもの、かつ起こってしまったら甚大な被害が出るものに備えるためのものがバックアップではあるのですが、それだけにリストアしなければいけないシチュエーションというものが明確に想像できないというケースも結構あると思うのですよ。
ですので、そこはイマジネーションをフル活動させて「こういう困ったことが起こったときにはバックアップに頼らないとな」という、御社特有のリスクも含めていろいろ考えていきましょう。最終的には、それが事業継続計画（BCP）の中に組み込まれていけばこれほど頼りがいのあることはないと思います。

小括

今回は、私自身の個人的情報セキュリティインシデントに絡めて、企業や団体においても気をつけておくべきバックアップの運用方法について述べてまいりました。
いや、でも本当に今回は焦りました。これが企業様の重要データ消失事故なんていう危機的状況にあったのなら、その絶望感は計り知れないものになると思います。
そういうことが起きないように、私も仕事上においてこれまで以上に細心の注意を払っていく必要があるのだなということを痛感いたしました。
しかし、残念ながら企業におけるバックアップ、特に中小企業におきましてはまだまだ不十分というのが実態かと思います。
日本は、産業構造において中小企業の割合が際立って多い国です。そして中小企業には「バックアップ作業に割けるリソースが存在しない」という会社様も本当に多いんですね。
ですので、次回はその辺を見た上で、どの程度中小企業の皆様に代わり弊社がバックアップに絡む一連の必要作業をおまかせいただくことができるのか、その辺を考えていきたいと思います。
今日もありがとうございました。
今後ともよろしくお願い申し上げます。