セキュリティ対策としてエアギャップを導入してデータを保護

エアギャップとは?

エアギャップとは、データ、システム、ネットワークを隔離し、不正な侵入を防ぐために接続を解除しておくバックアップと復旧のセキュリティ手法のことです。

従来のエアギャップは、隔離したデータまたはシステムへのアクセスを許可されたもののみに制限しながら、磁気テープやジャンプドライブなどのリムーバブルデバイスを介して、コンピューターやネットワークからオフラインデバイスにデータを移動させることを意味していました。このような従来のデータ隔離モデルはセキュリティが高いものの、SLA (サービスレベルアグリーメント) を満たすために迅速なデータ復旧を要する現代のデジタルビジネス要件とは相容れないものになっています。

対照的に、クラウド時代のためにつくられたエアギャップは、最新の3-2-1バックアップ戦略 (2つの異なるメディアに3つのデータコピーを作成し、そのうちの1つをオフサイト環境に配置する) を提供し、隔離されたマネージドクラウド保管庫にあるデータのイミュータブルコピーを保護することで、組織のセキュリティとアジリティの優先順位のバランスを効果的に調整します。そのため、データ災害が発生して迅速な災害復旧が必要になった場合、データを迅速かつ簡単に元のロケーションまたは代替のロケーションへと復旧できます。

なぜエアギャップテクノロジーを使用するのか?

組織がエアギャップテクノロジーに投資する主な理由は、悪意のある行為者が多くの場合ランサムウェアを使用して機密データを盗み、運用を停止させることを防ぐためです。エアギャップテクノロジーは、医療や銀行など、機密性の高い個人を特定できる情報 (PII) を扱う業界では特に重要です。デジタル攻撃を受けた場合、エアギャップテクノロジーに投資している組織は、セキュアな保管庫にあるオフラインデータにアクセスし、その情報を使って迅速に運用を再開できるため、身代金の支払いを拒否することができます。

エアギャップは脅威に対抗する効果的な方法であり、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) および米国連邦捜査局 (FBI) による以下の対策を含むランサムウェアから保護する方法についての近年のガイダンスを満たすものです:

• 重要データをオフラインでバックアップします。
• 重要データのコピーをクラウドまたは外部のハードドライブやストレージデバイスに保管します。この情報は、侵害されたネットワークからアクセスできないようにする必要があります。
• バックアップのセキュリティを確保し、データが存在するシステムから変更または削除を行うためにデータにアクセスできないようにします。

エアギャップのメリットとは?

エアギャップは、セキュアなシステムとインターネットのようなセキュアではないシステムという、2つのシステムの間に物理的な隔たりを作るものです。このような隔離を行うことにより、ネットワークに接続することで発生する恐れのある不正アクセス、データ侵害、サイバー攻撃を防ぎます。以下に、エアギャップが有益である理由を業界します。

1. 外部の脅威からの保護: エアギャップではシステムを外部ネットワークから切り離すことによって、悪意ある行為者がセキュアな環境に侵入したり攻撃したりすることを防ぎます。
2. サイバー攻撃に対する防御: 本来エアギャップされたシステムは、マルウェア、ウイルス、ランサムウェアといったさまざまなサイバー脅威に対するセキュリティが高まります。これは、脅威が伝播するには通常オンラインへの接続が必要であるためです。
3. データの完全性: 特に金融、医療、政府機関といった規制の厳しい業界では、エアギャップによって不正アクセス、改ざん、データ窃取のリスクを最小限に抑えることで、機密データの完全性が確保されます。
4. 重要インフラストラクチャの維持: エアギャップされたシステムは通常、電力網、原子力施設、軍事ネットワークなど、重要なインフラストラクチャを、侵害された場合大惨事に陥る恐れのあるサイバー脅威から保護するために使用されます。
5. 機密性の強化: 機密情報や極秘情報を扱う組織は、機密性を維持するためにエアギャップされたネットワークを使用しています。物理的に隔離することで、データの漏洩やスパイ行為の可能性が大幅に低下します。
6. コンプライアンス要件: 多くの業界で、規制標準やコンプライアンスの義務を果たすため、機密データの保護と、データの保護とプライバシーに関する法的義務の遵守のためにエアギャップされたシステムを使用する必要があります。

エアギャップのデメリットと課題とは?

定義上、エアギャップは切り離されたシステムです。これは特にDIY型のサイバー保管庫の場合、その運用と効果の維持を任務とするチームには現実的な課題となり得ます。以下にその主な課題を紹介します:

• 一貫性のないパッチ適用と更新: エアギャップを構築、維持する社内チームは、エアギャップに特定のソフトウェアやハードウェアの更新プログラムやパッチがインストールされ、最新の状態に維持されていることを確認し続けなければなりません。また、進化し続ける脅威ベクトルやランサムウェアの種類についても、常に精通している必要があります。このような管理は、既に負荷の高いITスタッフの重荷となり得ます。
• 内部脅威: エアギャップの安全性を確保するために本番システムとジャンプドライブなどの外部メディアとの間でデータを移動させる担当者が、もしも不満を抱いたりサイバー犯罪者から報酬を得たりした場合、データのセカンドコピーを作成したり、エアギャップにランサムウェアを取り込んだりする恐れがあります。
• 偶発的な侵害: 人間は間違いを犯すものです。人が物理的にデータを移動させるエアギャップテクノロジーは常に人為的ミスの可能性にさらされています。これには、DIYシステムを手動で切断する必要があったのに接続を許可するポートを開いたままにするといったことが含まれます。
• サイバー犯罪者の巧妙性: 今日の悪意ある行為者は、ハードウェアやソフトウェアのライフサイクルやサプライチェーンにおけるあらゆる側面に潜り込もうと画策しています。そのため、将来エアギャップのプロセスにランサムウェアをデプロイする方法を見つけるかもしれません。

エアギャップの種類とは?

コンピューティング環境にエアギャップを構築する場合、組織には次のような種類のエアギャップの選択肢があります:

• 完全な物理的エアギャップ: これは、本番システムとのネットワーク接続がゼロの、完全に別の、物理的に隔離された環境へデータを移動してセキュリティを確保する従来の手法です。このデータは通常、元の場所から遠く離れた場所で物理的なセキュリティ境界の背後にロックされているため、誰かが物理的にその場所へ出向いてデータを切り替えるか取得しない限り、スワップアウトしたり復旧に使用したりすることはできません。
• ネットワークの隔離による仮想エアギャップ: デジタルビジネスでは、ランサムウェア攻撃という最悪のシナリオが発生した場合に、プロセスを迅速化する必要があります。これは、エアギャップシステムが同じ環境にある別のシステムのデータを保護することで実現します。これらのシステムは同じデータセンターやラックに存在する場合もありますが、異なるネットワークに接続されているためデータと運用の隔離は維持されます。
• 論理的エアギャップ: デジタルビジネスの厳格な復旧SLAを満たす必要性により対応したエアギャップ方法が、論理的エアギャップです。この場合は異なるシステムが同一ネットワークに保持されますが、暗号化やロールベースのアクセス制御 (RBAC) といった手法を用いて距離を置きます。アクセスに対する検証を追加する必要がある場合は、4-Eyesやクォーラムを実装することもできます。

エアギャップネットワークをセットアップする方法とは?

仮想的または論理的にエアギャップされたネットワークをセットアップする一番簡単な方法は、組織がデータを効果的に保護しながら、ランサムウェア攻撃、内部脅威、その他の自然災害や人災が発生した際には迅速にリストアすることもできるas a Serviceのオプションを選ぶことです。このデータ隔離オプションによって、仮想エアギャップでマネージドクラウド保管庫にデータのイミュータブルコピーが保管されることで、サイバーレジリエンスが高まります。さらに、この方法で安全に保持されたデータは、必要に応じて迅速かつ簡単に元の場所や別の場所へ復旧することができます。

Cohesityとエアギャップのセキュリティ

Cohesityは、今のクラウド時代に対応した仮想エアギャップ (データ隔離や復旧テクノロジーとも呼ばれる) を推進しています。私たちは組織にデータセキュリティと復旧スピードのどちらかを選択させるのではなく、物理的な隔離、ネットワーク、運用上の隔離を利用して保管したデータとポリシーを内外の悪意ある行為者からアクセス不可能にし、データ窃取ベクトルを制限する仮想エアギャップモデルでその両方に対応しています。また、仮想マシン (VM) からデータベース、ファイル、オブジェクトまでさまざまなデータソースに対応するCohesityのSoftware as a Service (SaaS) ソリューションは、カスタマイズ可能な保護ポリシーで、迅速な復旧ポイント、目標復旧時点や目標復旧時間 (RPO/RTO) もサポートしています。

Cohesity FortKnoxは、Software as a Service (SaaS) 型のサイバー保管庫、データ隔離、復旧ソリューションに含まれる仮想エアギャップが特長で、サイバーレジリエンスを高めます。このソリューションではCohesityマネージドのクラウドにデータのイミュータブルコピーを保管し、コストを抑えながらバックアップ運用を大幅にシンプルにします。FortKnoxは、接続、保管、復旧というシンプルな運用で、組織によるサイバー攻撃の防止と迅速な復旧の両方を実現します。

以下に、Cohesity FortKnoxソリューションがデータを安全に保護する方法を紹介します:

• データの保管後に接続するセキュアで一時的なネットワーク接続を通じた仮想エアギャップの作成
• 保持ポリシーの変更防止とデータの保管と復旧ワークフローの分離を実現するため、イミュータビリティ、WORM (Write Once, Read Many)、保存中や転送中のデータの暗号化、AWSのオブジェクトロックによる改ざん防止に対応
• 保管データへの不正アクセスを防止し、2名以上の認可済み担当者による重要アクションや変更の承認が必要なRBACとMFAによるアクセス制御の実現
• 潜在的なランサムウェア攻撃を示すCohesityの機械学習インテリジェンスを用いた異常検知の推進
• バックアップクラスターにアクセスできる認可ユーザーが保管データにアクセスしたりリストアしたりしないようにするCohesityまたは顧客マネージドのKMSを通じた運用の隔離

組織がCohesityを利用すると、ミッションクリティカルなデータに対する内外の悪質なユーザーからの保護を強化する仮想エアギャップを利用できます。

また、Cohesityは12を超えるセキュリティ業界の重鎮による組織、データセキュリティアライアンスの一環としてパートナーと協力し、包括的かつ高度なデータ保護と信頼性ソリューションや戦略を提供しています。