ナビゲータのEVEです。
昨日は、お休みをいただきありがとうございます。本日から再開します。
SNSで情報を集めているという話を、休み前にしましたが、その中に殺人について書きました。この情報は、結果殺人っぽい映像で、真偽のほどは不明で、かつ、近頃AIなどがでてきて、その映像そのものが本物かどうか疑わしいものがあります。そんなことを考えて、軽々しく殺人何て書くべきではなかったと反省しています。
なお、殺人に関する映像がアップロードされているという情報は、某テレビ番組で見てい知っています。その時の情報が脳裏にあり以上の発言になりました。
そのため、私が、その殺人に関する映像を見たというのは非常に不適切だったと感じています。このブログで訂正をさせていただきます。
では、本日は、土曜日ということで、セキュリティの日です。先週の続きの話をしましょう。
[先週までは]
先週までは、ウイルスの権限昇格を防ぐ方法を以下のように列記し、「ロネットワークを分割する(VLAN / セグメント)」」、「管理ネットワークを分離する」まで話をしました。本日は、先週の続きで、「バックアップネットワークを分離する)」から話を進めましょう。
①権限設計(Privilege Design)で求められること管理者権限を分離する(Tierモデル)ローカル管理者パスワードを端末ごとにバラバラにする(LAPS)サービスアカウントの権限を最小化するドメイン管理者は日常利用しないログオンできる場所を制限する(Logon Restrictions)→ 1つの端末を取られても、ドメイン管理者権限に到達できない構造を作る。- ②ネットワーク構造(Network Segmentation)で求められること
ネットワークを分割する(VLAN / セグメント)管理ネットワークを分離する- バックアップネットワークを分離する
- サーバー間通信を“許可制(Allowlist)”にする
- SMB/RDPなど横展開に使われるプロトコルを制限する
- → 攻撃者が侵入しても、横展開できず、重要サーバーに到達できない構造を作る。
[バックアップネットワークを分離する]
情報処理安全確保支援士のウェッブ学習でも何回も取りあげられています。そして、ランサムウェア対策として、バックアップの重要性について多くの記述を割いています。
そのバックアップについて、ネットワークを分離することを提唱しています。それでは、最新のバックアップ方法について、Copilotに聞いてみましょう。
- ①ルール(基本)
- バックアップは3つ以上
- 異なる媒体に2つ
- 1つはオフサイト(別拠点)
- 1つは不変(Immutable)またはオフライン
- 復元テストでエラー0を確認
- → 特に「不変(Immutable)」「オフライン」が重要。
- ②オフラインバックアップ(物理的に切り離す)
- テープバックアップ
- USB/HDDをバックアップ後に物理的に切断
- 電源OFFのNAS(必要時のみ接続)
- → ネットワークから完全に切り離すことで暗号化を防ぐ。
- ③Immutable(変更不可)バックアップ
- AWS S3 Object Lock
- Azure Immutable Blob
- Veeam Hardened Repository
- NetApp SnapLock
- Cohesity / Rubrik のImmutable機能
-
- 特徴
- 一度書いたら一定期間は誰も変更・削除できない
- → ランサムウェアが侵入してもバックアップを壊せない。
- ④バックアップネットワークの分離(あなたのリストの②に該当)
- バックアップ専用ネットワークを作る
- 本番ネットワークからは一方向(One-way)にする
- 管理ネットワークとも分離
- バックアップサーバはドメイン参加させない
- SMB/RDPなど横展開に使われるプロトコルを遮断
- → 攻撃者が侵入してもバックアップに到達できない構造。
- ⑤ゼロトラスト型バックアップ
- バックアップサーバへのアクセスは最小権限
- 多要素認証(MFA)必須
- バックアップ操作は特権アカウントでのみ
- バックアップ削除には承認フローを要求
- → 内部犯行・攻撃者の権限奪取にも強い。
- ⑥バックアップの“論理的隔離(Logical Air Gap)”
- 物理切断ではなく、ソフトウェア的に隔離する方式。
- → バックアップ完了後に自動でネットワーク遮断
- → ストレージ側でアクセス制御
- → バックアップサーバを“受信専用”にする
- → オフラインとクラウドの中間的な位置づけ。
- ⑦クラウドバックアップ(異なるクラウドへの多重化)
- オンプレ → クラウド
- クラウドA → クラウドB
- SaaS → 別クラウドにバックアップ
- → ランサムウェアがクラウド環境を破壊しても復旧可能。
今までの考えたセキュリティを加味して、以上を見るとほぼ完璧だと思えるのですが、いくつか不安点もあります。
- 一方方向の通信が、本番→バックアップセグメント である。
- 対象がファイルである。
以上の点について、特に、「一方方向の通信が、本番→バックアップセグメント」について本当に大丈夫なのか、Copilotと議論をしました。その結果、Copilotは大丈夫だと断言しています。
私がどんな心配をしているのかというと、バックアップの対象が既に未知のウイルスに感染している場合、バックアップから通信の方向が、「本番→バックアップ」のためウイルスがバックアップセグメントに侵入する危険性があるという点です。
それについて、Copilotはバックアップセグメントに侵入するのは不可能だという理由について、解説してくれましたが、できないことをしてしまうのがハッカーです。AIは今までの学習の成果に基づいて回答しているので、ここで100%できないと考えるのは問題があるかもしれません。
[すべてのファイルをデータベスに格納する]
2025年11月1日のブログにおいて、データをファイルという形でそのすべてをデータベースに格納すれば、バックアップとしては、完璧だと言う話をしました。それは、ウイルスは、ファイルという存在で存在し、動ける環境に依存するからです。そのため、データベースに保存されれば、動けない環境に保存されることになり、実害がありません。
本番環境が、もし、ランサムウェアの被害に遭ったことが判明した場合、データベースの内容をクリーンにしてから、本番環境を再構築すれば、普及は容易でしょう?
それについて、以前提唱し、それについては、現在も最高のセキュリティ方式だと考えています。もし、これから、バックアップセグメントを構築使用とする会社がございましたら、ご一考下さい。ご協力できることがございましたら、協力させていただきます。
[あとがき]
テレビ東京のガイヤの夜明けで、昨年9月末日にランサムウェア被害にあった、アサヒビールの社長がなんでうちが狙われたかわからないといっていました。
攻撃されたのは、ただ単に、システムに脆弱性があることを事前の調査で分かり、かつ、金になりそうだと思ったからだと思いますが・・・?
なんで、そこで考えるのかちょっと意味不明です・・・?ランサムウェアなどの攻撃は、ブラックハッカーと社内SEとの戦争です。その戦争に勝つか負けるかだけの単純な構図です。現在世界で起こっている戦争が、ネットワークで繰り広げられているだけなのかもしれません。
では、また!
- ■ランサムウェア対策を考える [セキュリティ研究室](2025年11月1日)
- https://evezerodevelopment.blogspot.com/2025/11/blog-post.html
コメント
コメントを投稿