IPAの言うセキュリティ対策の基本を見ていきましょう! その2
皆様、おはようございます!株式会社カチカにおけるリモート(遠隔地)バックアップ事業担当の村島です!
今日は現在午前9時12分と、割と普通な時間に起きて活動しております。しかしそろそろお布団のぬくぬくから抜け出したくない季節に入ってきていますね。
しかしそうも言っていられません。今日もIPAの「セキュリティ対策の基本と共通対策」を学んで参りましょう!レッツスタディセキュリティ!
「セキュリティ対策の基本と共通対策」は前回記事にリンクを張っておりますので、各自ダウンロード等お願いいたします!
ふと気になった
早速16ページの「適切なバックアップ運用を行う」を見ていこう、と思ったのですが…表紙に「情報セキュリティ10 大脅威」という言葉が出ていますね。こういうところ、案外見逃してはいかんのでは?
と思いますので、もしかしたらこの資料の中にもちゃんと書いてあるんではないのか…と思いまして、この資料の冒頭を見るといきなりこう書いてあります。
世の中には「情報セキュリティ10大脅威」へランクインした脅威以外にも多数の脅威が存在する。
ふむ、つまり「情報セキュリティ10大脅威」というものは既に周知済で、これはそれに付け加える形で出された資料ということか…?
というわけで調べてみますとGoogleの生成AI先生が
情報セキュリティ10大脅威はIPA(独立行政法人 情報処理推進機構)が毎年公開している情報セキュリティのデータの1つです。
と仰っているではありませんか。正直知らなんだ。申し訳ございません。
じゃあ早速IPAに飛んでみましょう。
こちらが個人向けの10大脅威で
こちらが組織向けの脅威なんだそうです。
てっきりIPAってコンピュータ・ネットワーク関係の情報セキュリティを扱ってる組織だと思ってたんですがそうじゃないんですね。「内部不正による情報漏洩等の被害」とかだったらもうほとんどコンピュータ関係ないレベルですね。正直「テレワーク等のニューノーマルな働き方を狙った攻撃」なんて言われただけだったら具体的にどういうケースなのか想像がつかない…。
ただ、それでわかったのは「セキュリティ対策の基本と共通対策」の16ページ「適切なバックアップ運用を行う」の冒頭の一文(しつこいようですが前回の記事から閲覧可能です)
データの破損の原因は記憶装置の故障やランサムウェア等の サイバー攻撃だけではなく、運用時の操作ミスによる消去や誤った更新と多岐に渡る。
の後段が言っていることがいまわかったって感じです。そこまで含めて考えているわけですね。
「運用時の操作ミスによる消去や誤った更新」はバックアップによりほぼ対応可能ですが「内部不正による情報漏えい等の被害」とかは正直バックアップではどうしようもない部分なんですよね。
組織にあって従業員などによる情報持ち出しで漏洩するのは規則である程度防ぐことは可能なんでしょうけど、あまりにガチガチに縛るのもどうかと思うんですよ。
情報の持ち出しに対して異常に神経質だった会社は、実は会社丸ごと詐欺だったなんていう実例もありますしね。
まあ、この手の問題に関して絶対的な答えはないんでしょうね。ある程度の規則を作っておいて細かいところに対しては状況を見て臨機応変にってところなんだと思います。
私の仕事はバックアップです
まあそれはさておき、私は私の仕事「バックアップ」に対して邁進していきたいと思います。
独立行政法人情報処理推進機構セキュリティセンター「セキュリティ対策の基本と共通対策」の16ページを見てまいりましょう。
失ったデータの復旧は困難であり、復旧には人手と時間を要する。
そうなんです。失ったデータの復旧は困難です。人手と時間、場合によっては出費も必要となるでしょう。長期間にわたって黙々と積み上げてきたデータが、例えばHDDの頓死とかでいきなり全部なくなってしまって絶望した経験は古いPCユーザーなら1回ぐらいあるのでは?
というわけでどこかの団体が「復旧の困難さ」やどれぐらいの人手や時間を要するのか調べていないかなということを探していますと、やっぱりIPAさんが公開していました。「情報セキュリティ白書2024」という書籍(外部リンク)ですね。残念ながらランサムウェアに限定しての資料にはなってしまうんですが、こんな感じになるそうです。
昨日出しました資料の円グラフを棒グラフに変えただけっていう感じがしないでもないんですが、2021年から2023年まで3年間分載っているのがまあ違いでしょうか。
やっぱり結構馬鹿にならない時間と金額が必要なんですよね。
しかしそれよりも恐ろしいことがこの資料には書いてあります。
ランサムウェアは2/3近くがVPNからの侵入であり、リモートデスクトップを含めると2023年データで実に8割以上がネットワークから入ってきています。
「不審なメールは開かない」のレベルではどうしようもないということです。
やはり物理的なレベルでネットワークと繋がっていないストレージにバックアップを置いておくというのが非常に有効な対策であることがわかります。
なんだかあちこち飛ぶようで申し訳ないのですが、ここで再びIPA「セキュリティ対策の基本と共通対策」をご覧いただきたいんです。16ページの「適切なバックアップ運用を行う」の中、●ふたつ目に「バックアップを保管する」という項目が設けられています。
そこからちょっと引用します。
・3-2-1ルール
データはコピーして3つ持ち、 2種類のメディアでバックアップ を 保管し、
バックアップの1つは違う場所で保存するというルールがある。ランサムウェアに対しては 「 3-2-1-1-0ルール 」も提唱されているので参考にする とよい 。
もうこのnoteをご覧いただいている方には「耳にたこ」どころか耳にたこわさができて一杯やれるぐらいの言葉だと思いますが3-2-1ルールというのがあるんですね。ところで「3-2-1ルール」と「 3-2-1-1-0ルール 」には注釈がついています。それをちょっと見てみましょう。
まず「3-2-1ルール」の方なんですけど、リンクが張ってありまして、その先はUS-CERTの発表しているPDFになります。
こんな感じで(1ページ目しか出していませんが)。ちょっと読んでみましょう。英語を追うのはしんどいと思いますので翻訳しますね。
データバックアップオプション
Paul Ruggiero & Matthew A. Heckathorn
ホームユーザーからプロの情報セキュリティ責任者まで、すべてのコンピューターユーザーは、デスクトップ、ラップトップ、サーバー、さらにはモバイルデバイスにある重要なデータをバックアップして、損失や破損から保護する必要があります。バックアップファイルを1つだけ保存するだけでは、情報を保護するのに十分ではない場合があります。失われたデータや破損したデータを回復する可能性を高めるには、3-2-1ルールに従ってください。
3 – 重要なファイルのコピーを 3 つ保持します (1 つのプライマリと 2 つのバックアップ)。
2 – ファイルを 2 つの異なるメディアタイプに保管して、さまざまな種類の危険から保護します。
1 – 1 部はオフサイト (自宅やビジネス施設の外など) に保管します。この白書では、重要な個人データとビジネス データのバックアップ オプションに関する長所、短所、およびセキュリティ上の考慮事項をまとめています。
1.Krogh、Peter。DAM book:写真家のためのデジタルアセット管理、第2版、207ページ。オライリーメディア、2009年
https://www.cisa.gov/sites/default/files/publications/data_backup_options.pdf
機械翻訳(若干修正)
もう内容に関してはこれまでさんざんこのnoteで申し上げてきたとおりです。この文書はこれ以降も続くのですが、クラウド利用、内部デバイスの2重化、リムーバブルメディアなどバックアップ先の候補に挙がってくるものを取り上げてそれぞれの長所・短所を説明したあとで「ベストな選択肢を選びましょう」って書いてあるだけです。
余談ですが、まさかバックアップ先の候補にフロッピーが挙がってるとは思いませんでした。1.44MBですよ、記憶容量。今さら何の役に立つんだろう?また、ZIPも挙がってます。ご存じですか、ZIP。
こんなやつです。
個人が扱うデータ容量が100MB単位になってきたころ、容量が100MB単位のリムーバブルメディアがたくさん発売されました。そんな中のひとつなんですが、海外では人気が高くフロッピーは全てZIPに置き換わるなんて言われました。PCと接続する方法が実にシンプルで初期投資が要らなかったこと、ドライブが安かったことなど人気を得る要素はありました。
しかしドライブを安くしてメディアで取り戻すという作戦が仇になりました。他のリムーバブルメディアと比べ、メディア1枚あたりの記憶容量が約100MB(フォーマット方式によって若干変動しました)と頼りない割に高いという評価を受けてしまいました。まあそんなわけで期待させた割に不発だったメディアですね(プリンタメーカー各社の皆様、そういうことですよ)。のちに不具合も見つかりましたし。
…って、雑談はこの辺で。本題に戻りましょう。「 3-2-1-1-0ルール 」の方のリンク先はVeeamという会社のRick Vanoverという人が書いたコラムです。こちらも英語ですので翻訳しましょう。
Veeamの3-2-1-1-0ルール
(略…3-2-1ルールについての説明)
Veeamの違いは、最後に1と0を追加したことで、発生する可能性のある多くの種類のインシデントに対するリカバリを確実に行うことができます。このアップグレードされたルールは、さらに一歩進んで信じられないほどの汎用性を提供します。
(略…図解)
データの 3 つのコピー:データのコピーが 3 つあり、ルールの従来の側面に準拠していることを確認します。
2 つの異なるメディアタイプ:2つの異なるメディアタイプを使用してデータの冗長性を維持しますが、ここでは、クラウドストレージをそれらのオプションの1つとして検討します(つまり、ボリューム上のスナップショットとオブジェクトストレージ上のバックアップ)。
オフサイト1部:データのコピーを1つオフサイトに保存することで、クラウドバックアップソリューション(代替AZ、リージョン、クラウドプロバイダーなど)で簡単に実現できます。
1つのオフラインコピー、またはエアギャップ、不変のいずれか:オフライン、エアギャップ、または不変のいずれかのコピーを 1 つ持つことの重要性を認識します。この側面は、特にランサムウェア保護のコンテキストでは重要であり、オフライン、エアギャップ、または不変のコピーが命の恩人になる可能性があります。
SureBackup Recovery Verificationによるエラーゼロ:最後に、SureBackupのリカバリ検証を使用して、データにエラーがないことを確認し、バックアップの潜在的な問題をプロアクティブに特定して対処できます。
これら 2 つの追加は、今日非常に重要です。オフライン、エアギャップ、または不変のバックアップデータのコピーを持つことは、ランサムウェア危機発生でのデータ復旧を確実にするための非常に回復力のあるサンプルです。コピーが複数の特性を持つシナリオがいくつかあります (テープ・ライブラリー・デバイスから WORM テープ・メディアが除去されるなど)。これは、オフラインで、不変で、一度にエアギャップされます。私は、「超レジリエント」というフレーズを総称して、オフライン、エアギャップ、または不変のデータのコピーを指します。
https://www.veeam.com/blog/321-backup-rule.html
機械翻訳(若干修正)
ちょっと長いですが、まあこんなところです。Veeam社はクラウドバックアップサービスを中心にして様々なサービスを提供する会社ですね。弊社が手動で行っていることをクラウドを使って自動で行っている会社というところでしょうか。まあ「3-2-1ルール」に「書き換え不可能なメディア」を1つ付け足して、データのコピー時にエラーなどによって内容が変わったり欠損していたりしないか、つまりエラー0を確認しておくと。まあそういう内容です。ちょくちょくわからない単語がありますが、まあ正確にわかってなくてもいいかなという内容ですのであまりお気になさらないで下さい。
Veeam社のサービスは、全て弊社よりご提供差し上げることが可能なものばかりです。この業務を担当しております私こと村島は「最後は人の手」を信条としておりますので、機械に任せて終わり、ということは絶対に致しません。ここをご理解いただければと思います。
小括
情報に対する脅威は何もコンピュータ上のみで起きていることではないということが今日確認できたと思います。
当然複数の対策を組み合わせて防御しに行くことが必要なわけですが、ある種の脅威に対してはリモート(遠隔地)バックアップが非常に有力な手段となります。
守るためには脅威を予測して先手を打つことも重要です。
さて、ずいぶん長くなってしまいました。本日はこれで終わりたいと思います。
ではまた次回にお目にかかりましょう!読んで下さいね。
目次
クラウドストレージが持つ特有のリスク
クラウドストレージが持つ特有の脆弱性
クラウドストレージと遠隔地バックアップの相互補完性
クラウドストレージのデータ消失に関する責任の所在
ディザスタリカバリ手順をあらかじめ決めておくべき理由
弊社でお取り扱いしておりますデータ・OSにつきまして
クラウドストレージのメリット・デメリット
Windowsからの乗り換え先になるか? Linux MintとChrome OS Flex
バックアップの方法 オフライン・オンラインバックアップとは?
IPAの言うセキュリティ対策の基本を見ていきましょう! その1
IPAの言うセキュリティ対策の基本を見ていきましょう! その3
IPAの言うセキュリティ対策の基本を見ていきましょう! その4
IPAの言うセキュリティ対策の基本を見ていきましょう! その5
IPAの言うセキュリティ対策の基本を見ていきましょう! その6
IPAの言うセキュリティ対策の基本を見ていきましょう! その7
IPAの言うセキュリティ対策の基本を見ていきましょう! その8
IPAの言うセキュリティ対策の基本を見ていきましょう! その9
IPAの言うセキュリティ対策の基本を見ていきましょう! ラスト
内閣サイバーセキュリティセンター(NISC)を見ていきましょう!
内閣サイバーセキュリティセンター(NISC)を見ていきましょう!その2
内閣サイバーセキュリティセンター(NISC)を見ていきましょう!その3
内閣サイバーセキュリティセンター(NISC)を見ていきましょう!その4
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その1
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その2
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その3
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その4
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その5
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その6
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その7