はじめに
ファイルサーバーは業務の中核であり、ランサムウェアの主要な標的でもあります。共有フォルダごとデータが暗号化されれば、業務はたちまち止まります。多くの組織は何らかのバックアップを取っているはずですが、それでも「バックアップは取っていたのに復旧できなかった」という事例は後を絶ちません。原因の多くは、バックアップやスナップショットが本番と同じ侵害範囲に置かれ、攻撃者にまとめて消されてしまう点にあります。
本記事では、ファイルサーバーをランサムウェアから守るための「仕組み」を整理します。脅威動向や対策全体の優先順位は『ランサムウェア対策の基本と全体像|3-2-1-1-0 で守るバックアップ設計』を参照ください。
- ファイルサーバーが暗号化されたときに実際に起きること
- バックアップ・スナップショット・レプリケーションの役割と限界
- WORM/イミュータブル(不変)の仕組みと、オフライン隔離との違い
- 3-2-1-1-0 をファイルサーバーに当てはめる具体的な考え方
結論を先に述べると、ローカルのコピーは復旧の速さに優れる一方、本番と同じ侵害範囲に置かれやすく、攻撃者に消される前提で考える必要があります。鍵となるのは、改ざん・削除できない不変コピーをオフサイトに最低 1 つ持ち、定期的に復元を検証しておくことです。具体的には、ローカルの NAS とクラウドの Object Lock を組み合わせ、2 層で 3-2-1-1-0 を満たす設計が現実的です。
ファイルサーバーが暗号化されると何が起きるか
ランサムウェアは、感染端末からアクセスできる共有フォルダを次々と暗号化していきます。マッピングされたネットワークドライブや、認証情報が通る範囲のファイルサーバーは、まとめて被害に遭いやすいということです。
問題は、被害が本番データだけにとどまらない点です。同じストレージ上のスナップショットや、常時接続されたバックアップ先、リアルタイムに同期されるレプリカも、同時に暗号化・削除されることがあります。世代を含めて失われると、どの時点にも戻せなくなり、復旧そのものが成立しなくなります。「バックアップはあるはず」という認識と、「使える復旧ポイントが残っている」という事実は、必ずしも一致しません。
バックアップ・スナップショット・レプリケーションの違い
似た言葉ですが、役割と耐性が異なります。混同すると、守れているつもりで守れていない状態に陥りがちです。
それぞれの役割と限界
- スナップショット
-
同一ストレージ上に作る、ある時点の差分コピーです。復旧が速い反面、ストレージや NAS そのものが侵害・削除されると、スナップショットごと失われます。
- バックアップ
-
別の媒体や場所に取る独立したコピーです。世代管理ができ、本番と切り離せる点が強みです。
- レプリケーション
-
別拠点などへデータを複製する仕組みです。可用性や事業継続には有効ですが、暗号化された変更もそのまま複製されるため、ランサムウェア対策としては単独で頼れません。
「コピーがある」だけでは不十分な理由
オンラインで常時接続され、本番と同じ認証基盤から操作できるコピーは、本番が侵害されれば一緒に侵害されます。レプリケーションやミラーリングは、暗号化という「変更」も忠実に複製してしまいます。だからこそ、コピーを持つことに加えて、本番から「隔離」され、かつ「改ざん・削除できない」コピーを用意することが、ファイルサーバー保護の核心になります。
イミュータブル(不変)とは何か: WORM の仕組み
ここで鍵になるのが、イミュータブル(不変)と、それを実現する WORM の考え方です。
WORM / Object Lock の基本
WORM は Write Once Read Many の略で、一度書き込んだデータは保持期間中、変更も削除もできない状態にする方式です。クラウドでは Amazon S3 や Wasabi の Object Lock、NAS では Synology の WriteOnce などがこれにあたります。設定によっては、管理者権限やルートアカウントでも保持期間中は削除できないモードを選べます。これにより、本番環境や管理アカウントが侵害されても、バックアップだけは書き換えられない状態を保てます。
参考: AWS「Amazon S3 Object Lock」
“S3 Object Lock is the industry standard for object storage immutability for ransomware protection”
(S3 Object Lock は、ランサムウェア対策における不変オブジェクトストレージの業界標準とされています)
https://aws.amazon.com/s3/features/object-lock
エアギャップ(オフライン隔離)との違い
エアギャップは、ネットワークから物理的・論理的に切り離して保管する方式で、テープやオフライン保管が代表例です。一方 WORM は、オンラインのまま不変性を保ちます。両者は排他ではなく、組み合わせて使えます。クラウドの Object Lock は「オンラインだが不変」という位置づけで、オフラインのテープに近い堅牢さを、運用しやすい形で得られる選択肢といえます。
3-2-1-1-0 をファイルサーバーに当てはめる
3-2-1-1-0 は、抽象的なルールに見えても、ファイルサーバーに当てはめると具体的な構成として描けます。
ローカル世代(即時復旧)とオフサイトの不変コピー
- 3 つのコピー: 本番データ、NAS 上のスナップショットやバックアップ、クラウド上のコピー
- 2 種類のメディア: ローカルストレージとクラウド(オブジェクトストレージ)など。
- 1 つはオフサイト: クラウドや遠隔拠点に置く。
- もう 1 つの「1」: 改ざん・削除できない不変、またはオフラインのコピー(クラウドの Object Lock や、隔離した NAS など)。
ローカル世代は復旧の速さを、オフサイトの不変コピーは「最後の砦」を担います。役割を分けて両方を持つことが、設計の基本方針になります。
参考: CISA「#StopRansomware Guide」
“maintain offline, encrypted backups of critical data”
(重要データのバックアップを、オフラインかつ暗号化した状態で保持する)
https://www.cisa.gov/stopransomware/ransomware-guide
「0」: 復旧テストと RPO/RTO の考え方
「0」は、エラーなく復元できることを定期的に確認するプロセスです。あわせて、目標復旧時点(RPO)と目標復旧時間(RTO)を意識すると、設計の解像度が上がります。RPO は「どの時点まで戻せるか」で、バックアップの取得間隔に左右されます。RTO は「どれだけ早く戻せるか」で、ローカル世代が効いてくる部分です。テストを習慣化しておくと、「取れていたが壊れていて使えなかった」という最悪の事態を避けられます。
ソリューション選定の前提: ローカルとクラウドの組み合わせ
最後に、具体的なソリューションを選ぶ前に押さえておきたい要件を、ローカルとクラウドそれぞれで整理します。
NAS 側で備えるべき要件
スナップショットの世代保持に加え、WORM や Immutable Snapshot に対応しているかが要点です。バックアップの管理系を本番の認証基盤から分離できるか、対象機種が不変機能に対応しているか(製品やファームウェアの世代で異なります)も確認しておくと安心です。
クラウド側で備えるべき要件
Object Lock への対応と、保持期間の設計が中心になります。あわせて、保持モード(運用の柔軟性を残す方式と、誰も解除できない厳格な方式)の使い分けや、転送・保管にかかるコスト構造も比較ポイントです。検証環境を使った設定例は関連記事『AWS S3 Object Lock でランサムウェア対策|設定手順と注意点』で、コストを抑えたい場合は『Wasabi での低コスト構成』で詳しく解説します。
まとめ
ファイルサーバーのランサムウェア対策は、「コピーを持つこと」から「消されないコピーを持つこと」へ重心を移すのが要点です。ローカルの即時復旧とクラウドの不変性を役割分担させ、2 層で 3-2-1-1-0 を満たすのが現実的な設計です。
- ファイルサーバーは共有フォルダごと一括で暗号化されやすい。
- スナップショットだけでは NAS 侵害時に失われる。
- レプリケーションは暗号化も複製するため単独では頼れない。
- 不変(WORM)とオフライン隔離で改ざん・削除を防ぐ。
- 3-2-1-1-0 をローカルとクラウドの 2 層で満たす。
- 「0」は定期的な復旧テストで担保する。
- 選定はローカルの即時復旧とクラウドの不変性で役割分担
以上、最後までお読みいただきありがとうございました。
