マルウェアやDoS/DDosなどサイバー攻撃への対策意識が高まり、情報セキュリティ投資を通じて、データ保護に取り組む企業も増えてきています。その備えとして、特にデータのバックアップを取る企業も多いかと思いますが、バックアップを“取るだけ”で満足しているのではないでしょうか? そこで今回は、バックアップの正しい運用について考えてみます。
個人/組織を狙った高度なサイバー攻撃が多発
サイバー攻撃の手口は常に変化しています。サイバー攻撃の代表例は、「フィッシング」「DoS/DDoS」「マルウェア」の3つです。
フィッシングとは、個人情報や機密データの詐取を目的としたサイバー攻撃です。メールやSMS、Webサイトに記載したURLから偽サイト(フィッシングサイト)へ誘導し、目的の情報を入力させようとします。大手企業(または取引先)や公的機関になりすましてメールを送り、騙そうとするのが特徴です。IPA(※)の発表によると、個人を狙ったサイバー攻撃では、フィッシングが最も危険視されています。
※ 出典:IPA(情報処理推進機構)「情報セキュリティ10大脅威 2022」
DoS/DDoSとは、サーバーやシステムに大量アクセスし、負荷をかけてダウンさせるサーバー攻撃です。DoSは単一のコンピューターによる攻撃で、DDoSは複数のパソコンを乗っ取り攻撃させる手口となります。特にDDoSは、異なるIPアドレスから攻撃を仕掛けるだけでなく、乗っ取られた側としても知らぬ間に攻撃に加担していることになり、犯人を特定しにくい点が特徴です。DoS/DDoSで攻撃を受けると、Webサービスが停止に追い込まれるほか、復旧コストも必要となります。
マルウェアとは、コンピューターをウイルスなどに感染させ、システム不具合やファイルの暗号化・ロック、データ流出を狙うサイバー攻撃です。マルウェアには「ワーム」や「ランサムウェア」などの種類があります。特に、近年注目を集めるランサムウェアは、「機密データを流出させる」「ファイルを暗号化した」などと脅迫して身代金(Ransom)を要求する手口です。IPAによると、組織を狙ったサイバー攻撃ではランサムウェアが最も危険と警鐘を鳴らしています。
企業における情報セキュリティ投資の実施状況
このように、個人・組織問わず、サイバー攻撃の被害が拡大しています。コンピューター技術の発展とともに、それを悪用する犯罪者がいるため、今後もサイバー攻撃はさらに高度化・多様化していくと予想されます。IT社会におけるセキュリティ対策は欠かせません。
日本国内の企業では、どのように情報セキュリティ対策に取り組んでいるのでしょうか。IPAによると、約7割の企業は「IT投資」や「情報セキュリティ投資」を行っています。一方で、約3割の企業は投資していないことが明らかとなりました。情報セキュリティ対策投資を行わなかった理由としては、「必要性を感じていない(40.5%)」が最も多く、「費用対効果が見えない(24.9%)」「コストがかかりすぎる(22.0%)」が続きます。
出典:IPA(情報処理推進機構)「2021年度 中小企業における情報セキュリティ対策に関する実態調査」
また、情報セキュリティ対策実施状況を企業規模別で比べると、「組織的対策の実施」「技術的対策の実施」「監視体制」「評価の実施」のすべての項目で大企業の割合が多いと判明しました。項目別に見ると、特に「監査体制」や「評価の実施」の割合が低くなっています。
サイバー攻撃が世間を騒がしているものの、中には「自社は被害に遭わない」と考える企業もいるかもしれません。しかし、万が一被害にあった場合の経済的損失は計り知れません。日本国内で1社あたりの損失額は数億円とされており、世界的には数千億ドル〜数十兆ドルという桁違いな損失額まで存在します。また、サイバー攻撃の被害は経済的損失だけでなく、もし顧客の個人情報を流出させてしまえば、社会的信用の失墜にもつながりかねません。
サイバー攻撃への備えと復旧時の課題
サイバー攻撃に備えるためには、個人(従業員)と組織(企業)、両面での対策が必要です。個人では、まずサイバー攻撃の手口やリスクを理解することから始まります。さらに「複雑なパスワードを設定する」「ウイルスを防ぐソフトウェアを導入する」「クラウドやネットワークの共有範囲に注意する」といった対策が可能です。
組織では、全体でルールを統一し、個人に正しく運用させることがポイントです。具体的なルールとしては、「PCやUSBメモリの持ち出しを制限する」「機密情報へのアクセスを二段階認証にする」「役職に応じたセキュリティ権限を付与する」などが挙げられます。
特に、機密データのバックアップは重要性を認識され、実践している個人・組織がほとんどです。しかしながら、万が一被害が発生したときの復旧の作業・運用については自信をもって“準備できている”と言いきれるでしょうか? データのバックアップだけで満足し、「復旧方法はあまりわからない」「復旧訓練をやっていない」という企業も少なくありません。
復旧の作業・運用には次のようなリスクが潜んでいます。
バックアップ自体を忘れてしまう
通常業務に支障が出ないようバックアップを後回しにすると、最悪の場合、バックアップ自体を忘れてしまうかもしれません。自動ではなく手動となると、このような人的ミスも起こり得ます。
データ容量を確保できない
バックアップには、業務用データを保存できる大容量ストレージが必要です。USBメモリや外付けHDDでは物損リスクも生じるため、クラウドストレージなどオンライン上の保存先を用意することが大切です。
希望する復旧ポイントに遡れない
任意の時点でPCにあるデータをバックアップし、そこに戻れるようにすることを「復旧ポイントを作成する」と言います。復旧ポイントを頻繁に作成すれば、セキュリティ面では安心です。
しかしながら、復旧ポイントをいくつも作成すると労力を要します。実際の運用では、ある程度の期間を開けて復旧ポイントを作成しますが、あまりに期間を開けると、希望する復旧ポイントに戻れなくなるかもしれません。たとえファイルを復元できたとしても、パージョンが古すぎて役に立たない可能性もあります。
復旧に時間を要し、業務が滞ってしまう
復旧方法をよく理解していないために、復旧作業に時間がかかってしまい、業務が滞ってしまうおそれもあります。業務の中断やサービス提供の停止により、経済的損失や顧客の信用失墜といった影響を及ぼしかねません。「復旧の手順について熟知する」「簡単な手順で復旧できる方法を選ぶ」といった対策が必要です。
まとめ
上述した復旧時のリスクにも対応できるツールが「Dropbox」です。Dropboxは単なるデータ保存やファイル共有の機能だけでなく、バックアップの取得から、復旧の運用まで簡単に行えます。
「Dropbox Backup」は、非常にシンプルな操作で利用できるバックアップ機能です。保管したいファイルやフォルダを選択するだけで、設定が完了します。365日間、自動的かつ継続的にクラウドにバックアップを取ることが可能です。バックアップ作業の負担を無くし、作業自体を失念するといった人的ミスも防げます。
また、ドライブの故障やランサムウェアからデータを保護します。ファイル・フォルダの復元も迅速に行え、元あったファイル位置に復元されるため、整理する手間もかかりません。
「バージョン履歴機能」では、任意のポイントに遡ってファイル・フォルダを復元できます。Dropboxプランによって異なりますが、最大365日間(Advancedプラン)まで遡れます(Standardプランは180日間)。更新頻度の多いファイル・フォルダを扱う場合に、便利な機能です。なお、バージョン履歴はDropboxのストレージ容量には含まれないため、容量を気にせず使えます。
「Dropbox Rewind」は、ウイルス感染などで大規模データを破損した場合に役立つ、いわば巻き戻し機能です。単一または少量のファイル・フォルダなら、バージョン履歴機能を使うことをおすすめします。巻き戻し機能では、ファイルの編集・変更や共有フォルダで行った操作などを取り消せます。
巻き戻しのタイミングは基本的に日単位で指定できるため、トラブルの発生した前日などを選ぶと復旧しやすいです。またバージョン履歴機能で記録の残っている時点にまで巻き戻せます。なお、巻き戻しの操作自体を取り消すこともでき、巻き戻し機能を使った以前の日付を選ぶことで可能です。
Dropboxのバックアップ関連機能はシンプルな操作で使えるため、安心して利用できます。どれだけバックアップを取得していたとしても、バックアップデータからのリストアの手順がわかっていなければ、ビジネスの継続性の観点では意味がありません。Dropboxでは30日間無料トライアルを提供しており、すべての機能を試すことができます。ぜひバックアップ、バージョン履歴、巻き戻し機能の手軽さを実感してください。