エアギャップバックアップとは？例とベストプラクティス

エアギャップバックアップとは？

ランサムウェアオペレーターは、プロダクションデータを暗号化する前にバックアップインフラストラクチャを標的としています。CISAのサイバーインシデントコスト調査によると、1件あたりの平均被害額は590万ドルに達しており、攻撃者が到達できない場合にのみ、最後の防御線が有効となります。

エアギャップバックアップは、重要なデータのコピーをプロダクションネットワークから物理的または論理的に分離して保存する手法です。ネットワークベースの攻撃が到達できない、アクセス制御された環境を構築することで保護バリアを形成します。物理的に切り離されたテープメディア、厳格なアクセス制御を持つネットワーク分割ストレージ、または論理的に分離されたクラウドボールトなど、エアギャップバックアップは、攻撃者が環境内を横移動する際にも、少なくとも1つのリカバリーコピーが到達困難となるよう支援します。

 NIST SP 800-209は、バックアップ運用にオフラインのストレージデバイスを含めることができると定めており、 CISAランサムウェアガイドは、ランサムウェアがアクセス可能なバックアップデータの削除や暗号化を試みるため、オフラインバックアップの維持を組織に推奨しています。

サイバーセキュリティ制御としてのエアギャップバックアップ

エアギャップバックアップは、データ保護とランサムウェア耐性の交差点に位置します。最新のランサムウェアファミリーは、バックアップサーバーの特定、シャドウコピーの削除、バックアップリポジトリの暗号化を行い、プロダクション暗号化を発動する前に偵察を実施します。CISAのランサムウェア対応ガイドは、組織に「重要データのオフラインかつ暗号化されたバックアップの維持」を指示しており、最新のランサムウェア亜種が「アクセス可能なバックアップを発見し、削除または暗号化しようとする」ためです。

エンドポイント保護がBehavioral AIによってランサムウェアの試行を検知・阻止した場合、脅威はそこで終息します。しかし、防御が突破または回避された場合、エアギャップバックアップはネットワークベース攻撃の直撃範囲外でリカバリーパスを提供できます。その保護が実際にどのように機能するかを理解するには、アーキテクチャをコアコンポーネントに分解する必要があります。

エアギャップバックアップのコアコンポーネント

エアギャップバックアップアーキテクチャは、種類を問わず、同じ6つのレイヤーで構成されます。各レイヤーが機能して初めて、分離の意味が生まれます。

• 分離ストレージレイヤー。 バックアップコピーが存在する物理的または論理的な環境。テープライブラリ、リムーバブルディスクアレイ、ネットワーク分割システム、または認証が分離されたクラウドセキュリティドメインなどが含まれます。
• 転送メカニズム。 データは、手動またはロボットによるメディア搬送、逆汚染を防ぐ一方向データフローによるスケジュールレプリケーションなど、制御された経路を通じてプロダクションから分離ストレージレイヤーに移動します。
• イミュータビリティレイヤー。 データがエアギャップ環境に到達した後は、ハードウェアの書き込み不可テープメディア、ソフトウェアの保持ロック、オブジェクトストレージのコンプライアンスモードなどにより、改ざんや削除に耐性を持たせます。
• アクセス制御。 物理的実装では、鍵や暗証番号によるアクセスと入退室記録が必要です。論理的実装では、ロールベースアクセス制御、多要素認証、最小権限の徹底、監査ログが求められます。 CISAデータ保護ガイドは、管理者アクセスにMFAを必須とし、保護システム全体で最小権限のロールベースアクセスを要求しています。
• 暗号化。 バックアップデータは保存時・転送時ともに暗号化すべきです。 CISA暗号化基準ガイドは、保存時・転送時のデータにFIPS 140-2または強化暗号化メカニズムを指定しています。暗号化鍵管理システムはバックアップデータから分離し、単一の侵害で両方が露呈しないようにします。
• 検証インフラストラクチャ。 定期的な整合性チェック、チェックサム、バックアップ検証ルーチン、リカバリーテストを通じてバックアップの完全性を確認できる必要があります。

いずれか1つのレイヤーに弱点があると、アーキテクチャ全体が損なわれます。次は、これらのレイヤーがバックアップ、分離、保存、リカバリーの各段階でどのように機能するかを理解することです。

エアギャップバックアップの仕組み

エアギャップバックアップは、取得、分離、安全な保存、制御されたリカバリーの4フェーズサイクルで運用されます。各フェーズには、攻撃者が環境に到達した際のアーキテクチャの堅牢性を左右する要件があります。

• フェーズ1：バックアップと取得。 プロダクションデータは標準のバックアッププロセスを通じてバックアップターゲットにコピーされます。データがエアギャップ環境に入る前に、マルウェア対策スキャンで完全性を検証します。事前スキャンは不可欠であり、侵害されたデータをイミュータブルなエアギャップ環境にバックアップすると、リカバリー時に再感染を引き起こす有害なコピーが作成されてしまいます。
• フェーズ2：分離。物理的エアギャップの場合、 これはテープカートリッジの取り外しやリムーバブルディスクアレイの全システム・ネットワークからの切断を意味します。論理的エアギャップの場合、バックアップサイクル間はネットワーク接続を無効化し、スケジュールされたレプリケーションウィンドウごとに転送ごとの明示的認証が必要です。クラウドベースのボールトは、APIのみのアクセスと独立した認証を持つ分離セキュリティドメインで分離を実現します。
• フェーズ3：安全な保存。 分離されたコピーは保護状態を維持し、物理メディアは安全なオフサイトボールトに保管され、論理コピーはネットワーク分割、アクセス制御、イミュータビリティロックの背後で管理されます。このバックアップ分離により、攻撃者が接続システムを横移動しても、少なくとも1つのリカバリーパスが露出しにくくなります。
• フェーズ4：リカバリー。 データが必要な場合、プロセスは逆転します。物理メディアは安全な保管場所から取り出され、手動で接続されます。論理コピーは認証された制御経路でアクセスされます。プロダクションに再接続する前に、分離されたステージング環境で検証を行います。

ワークフローを理解すれば、自社環境に最適な実装モデルを評価できます。

エアギャップバックアップアーキテクチャの種類

主に3つのアーキテクチャ選択肢があり、それぞれに明確なトレードオフがあります。

1. 物理的エアギャップは、リムーバブルストレージメディアを完全にネットワークから切断して使用します。テープカートリッジをコピーし、物理的に取り外してオフサイトに保管します。この方法は1GBあたりのストレージコストが低く、最も強力なランサムウェア分離を提供しますが、データアクセスが遅く、迅速かつ頻繁なリストアが必要な組織には不向きです。
2. 論理的エアギャップは、ネットワーク分割、プロトコル制限、アクセス制御により、メディアを物理的に取り外さずに分離を実現します。専用VLANとファイアウォール制御、CIFS・NFS・SMBなど標的となりやすいプロトコルの排除、一方向データフローなどが含まれます。物理的切断が非現実的なエンタープライズ規模環境に適しています。このモデルは、強力なアイデンティティ、分割、ポリシー施行に依存します。
3. クラウドベースのエアギャップボールトは、クラウドインフラ内に論理的に分離されたセキュリティドメインを作成します。個別認証、S3 Object Lockなどのオブジェクトレベルイミュータビリティ、APIのみのアクセス、MFAを利用します。クラウドストレージ単体ではエアギャップとはならず、追加の分離制御が必要です。環境がクラウドインフラとクラウドアプリケーションバックアップにまたがる場合、クラウドセキュリティ制御が論理的分離の強度を左右します。

アーキテクチャの選択がリカバリー制約を決定します。以下の例は、実際の環境で各方式がどのように見えるかを示しています。

実践におけるエアギャップバックアップ例

アーキテクチャを抽象的に理解するのと、実際に見るのとでは大きな違いがあります。ここでは、異なる環境でエアギャップバックアップがどのように運用されているかを示す3つのシナリオを紹介します。

テープベースの物理的エアギャップ

産業制御システムを運用する製造業者が、重要なOT構成や生産ヒストリアンデータを毎晩LTOテープにバックアップしています。各ジョブ完了後、技術者がカートリッジを取り外し、チェーン・オブ・カストディ台帳に記録し、生産現場外の耐火金庫に保管します。テープは一切ネットワーク接続されません。リカバリーが必要な場合、テープを取り出し、分離されたワークステーションに接続して整合性をスキャンし、リストアに使用します。 CISA ICSセキュリティガイダンスは、OT環境のベースライン制御としてオフラインメディア保存を挙げています。

ネットワーク分割による論理的エアギャップ

あるエンタープライズは、専用バックアップVLAN上のハードニング済みサーバーでバックアップソフトウェアを運用し、すべてのプロダクションセグメントからファイアウォールポリシーで分離しています。そのセグメントではSMB、NFS、CIFSが無効化されています。スケジュールされたレプリケーションウィンドウ中は、一方向データフローでバックアップデータをコピーし、各ジョブは他のネットワーク権限を持たないサービスアカウントによるMFA保護認証が必要です。ドメイン参加済みプロダクションエンドポイントはバックアップサーバーに直接到達できず、ランサムウェアがバックアップインフラを特定・破壊するための横移動経路を遮断します。

クラウドボールトによる論理的エアギャップ

クラウドネイティブ企業が、Object Lockをコンプライアンスモードで有効化したAWS S3バケットにバックアップを保存し、プロダクションアカウントから分離された別のAWSアカウント内に配置しています。プロダクション環境のIAMロールはいずれもバックアップバケットへの書き込み・削除権限を持ちません。バックアップジョブは、バックアップアカウント内にのみ存在する専用認証情報で一方向APIコールにより実行されます。プロダクションアカウントが完全に侵害されても、保持期間中はボールト内容の削除や上書きができません。このモデルは、 CISAランサムウェアガイダンスが推奨する、別認証・アクセス制御下でのバックアップ維持に合致します。

これらの実装はいずれも、現代の3-2-1-1-0バックアップルールにおけるオフラインコピー要件（1つはオフライン・イミュータブルまたはエアギャップ、エラーゼロはリストアテストで確認）を満たしています。このフレームワークが、エアギャップバックアップの主要な利点を示しています。

エアギャップバックアップの主な利点

正しく実装された場合、エアギャップバックアップは常時接続型バックアップアーキテクチャでは実現できない4つのセキュリティ・運用上の利点をもたらします。

• ランサムウェア分離。 これが最大の価値提案です。エアギャップバックアップは、バックアップ破壊を可能にするネットワーク経路を排除します。物理的または論理的分離により、 ランサムウェアがプロダクションシステム上で実行されても、バックアップコピーに容易に到達できません。
• リカバリーの信頼性。 エアギャップバックアップは、攻撃にさらされにくいリカバリーポイントを保持できます。バックアップが侵害された組織は、どの世代が信頼できるかをフォレンジック分析で判断する必要があり、これがリカバリーを大幅に遅延させることがあります。エアギャップアーキテクチャは、少なくとも1つのリカバリーパスへの直接攻撃者アクセスを制限することで、そのプレッシャーを軽減します。
• 規制対応。 エアギャップバックアップ戦略は、 NIST SP 800-209に準拠し、連邦セキュリティや医療環境のコンティンジェンシープラン要件をサポートし、主要な管理フレームワークに見られるバックアップ・可用性・アクセス制御目標を支援します。規制産業では、エアギャップアーキテクチャが合理的なサイバーセキュリティ制御の証拠となります。
• インサイダー脅威の低減。 エアギャップアーキテクチャは設計上、アクセスサーフェスを縮小します。特権ユーザーであっても、標準ネットワーク経路からバックアップリポジトリにアクセスできず、分離コピーへの操作には物理アクセスや二重承認ワークフローが必要です。これは、単一の侵害がビジネス終了イベントに発展するのを防ぐリカバリー側制御です。

これらの利点は現実的ですが、同時に「どの組織がどのレベルでエアギャップバックアップを必要とするのか？」という重要な問いも生じます。

エアギャップバックアップが必要な組織

問題は組織の規模ではなく、検証済みで攻撃者耐性のあるリカバリーコピーなしにプロダクションデータアクセスを失うリスクを許容できるかどうかです。下表は、組織タイプごとに最も実用的なエアギャップ方式と主な導入動機を示しています。

小規模組織は、エアギャップバックアップは運用的に手が届かないと考えがちです。実際には、別アカウントのObject Lock付きクラウドボールトはオンプレミスハードウェア不要で数時間で構成可能です。10人規模の医療機関でも大企業と同じだけのリカバリーレバレッジが必要であり、ランサムウェアの計算式は規模に関係なく同じです。

自社環境に合った方式を知ることは重要ですが、エアギャップバックアップには現実的なトレードオフも伴います。導入前にそれらを理解することで、後から設計を逆転させる事態を防げます。

エアギャップバックアップの課題と限界

エアギャップバックアップは即時導入可能なソリューションではありません。4つの課題が、アーキテクチャの誤設定や実際の保護過大評価の主因となっています。

• 定義の曖昧さによる誤った安心感。多くの「エアギャップ」バックアップ導入は、実際には真のエアギャップではありません。本物のエアギャップは、物理的に接続されておらず、論理的接続も自律的ではなく手動制御されている必要があります。自社がどのタイプを導入しているか正確に把握する必要があります。
• 自動化と真の分離のパラドックス。 エンタープライズ環境では、真のエアギャップには手動介入が必要ですが、スケール時の手動プロセスはコストを増大させます。スケジュールrsyncジョブ、APIコール、バックアップエージェントなど、あらゆる自律経路が悪用機会を生みます。この緊張関係は完全には解消できず、意図的なアーキテクチャ設計で管理するしかありません。
• 運用の複雑化とリカバリー時間の延長。 エアギャップ実装は運用上の摩擦を生み、リカバリー目標に直接影響します。バックアップ・リカバリープロセスの複雑化により、常時接続型ソリューションよりもリカバリー時間が長くなる場合があり、強化されたセキュリティが設計目的のインシデント時にリカバリーを遅延させるという逆説が生じます。
• イミュータビリティはエアギャップではない。 多くの組織がこの2つの制御を混同しています。ランサムウェアやマルウェアを含むイミュータブルバックアップは、リカバリー時に役立たず、再感染を引き起こす可能性があります。スキャンされていないエアギャップバックアップは破損データを含む場合があります。両方の制御が必要であり、それぞれの役割を明確に理解する必要があります。日常運用でこの区別が曖昧になると、最も一般的な実装ミスが発生します。

そのため、設計を弱体化させる繰り返しのミスを確認することが有効です。

よくあるエアギャップバックアップのミス

設計が優れていても、同じ運用ミスが修正されない場合、エアギャップアーキテクチャは実際には機能しません。以下の6つのミスが、分離されているように見えて実際には到達可能なバックアップ環境の大半を占めます。

• 論理的分離を「エアギャップ」と呼び、受容リスクを文書化しない。 ネットワーク分割バックアップシステムをスケジュール転送で運用する場合、論理的分離であり真のエアギャップではありません。受容リスクを文書化し、MFA、RBAC、攻撃者滞留期間を超える保持期間のイミュータブルストレージ、異常監視など追加レイヤーで補完してください。
• バックアップインフラをプロダクションネットワーク上に残す。 バックアップシステムをプロダクションシステムと同じネットワークセグメントからアクセス可能にするのは重大な設計ミスです。バックアップインフラは専用セグメントに分離し、管理インターフェースは一般社内ネットワークからアクセスできないようにしてください。
• バックアップソフトウェアのデフォルト認証情報を無視する。 一部のバックアップソフトウェアはデフォルトのユーザーログインやパスワードが設定されたまま出荷されます。MFA未導入と組み合わさると、攻撃者に直接の侵入口を与えます。デフォルトを排除し、すべてのバックアップアクセスにMFAを強制し、バックアップデータの削除など破壊的操作には二重承認ワークフローを実装してください。
• リストアテストを一度も実施しない。 これが最も一般的なギャップです。 CISAランサムウェア対応ガイドは、バックアップ手順の定期的なテストを強調しています。エアギャップメディアからのシステム全体リストアをテストし、ファイル整合性だけでなく、定期的に分離環境でのフルリストアテストを実施し、実際のリカバリー時間をRTO要件と比較してください。
• 事前エアギャップマルウェアスキャンを省略する。 侵害されたデータをイミュータブルなエアギャップ環境にバックアップすると、修正できない有害なコピーが作成されます。 NIST SP 800-209は、サイバーイベントリカバリーに使用するバックアップコピーのマルウェアスキャン結果記録を求めています。専用の事前バックアップマルウェアスキャンで、分離環境に入る前にデータ完全性を検証してください。
• エアギャップを単一レイヤー防御とみなす。 エアギャップバックアップのみをバックアップ戦略とすると、単一障害点が生じます。3-2-1-1-0ルールを遵守し、いずれか1レイヤーの侵害で全リカバリー能力が失われないようにしてください。

これらのミスを回避したら、設計を持続可能にする運用プラクティスに移行できます。

エアギャップバックアップのベストプラクティス

適切なアーキテクチャタイプの選択は出発点に過ぎません。バックアップ分離を長期的に有効に保つには運用上の規律が不可欠です。以下の8つのプラクティスは、エアギャップバックアップ設計が初期導入後に劣化しやすい領域をカバーします。

1. アーキテクチャ設計前にデータを分類する。 すべてのデータが同じエアギャップ方式を必要とするわけではありません。規制義務、ビジネス重要度、RPO、保持スケジュールごとにバックアップ要件を整理してください。
2. RPO/RTOを定義し、それに対してテストする。 RPOが1時間なら、バックアップは1時間ごとまたはそれ以上の頻度で実施する必要があります。RTOが4時間なら、エアギャップリストアプロセスは物理メディア取り出しを含めてその時間内に完了しなければなりません。これらの数値を文書化し、定期演習で検証してください。
3. すべてのバックアップリポジトリでイミュータビリティを実装する。 保持期間中に変更できない書き込み不可またはロック構成を有効化してください。これは、攻撃者が分離環境にアクセスしても改ざんできないようにし、エアギャップと組み合わせることでランサムウェアリカバリーの選択肢を強化します。
4. すべてのバックアップ操作にMFAと二重承認を徹底する。 バックアップインフラへのすべてのアクセス経路でMFAを必須とし、管理者アクセスも含めます。削除や保持ポリシー変更、イミュータビリティ無効化などの破壊的操作には、別管理者による二重承認を要求してください。バックアップ分離が特権ワークフロー制御に依存する場合、強力な アイデンティティセキュリティ制御が特に重要です。
5. 保存前後に最新ツールでバックアップをスキャンする。 過去のバックアップコピーも定期的に最新のマルウェア対策ツールで再スキャンしてください。バックアップ時に特定できなかったマルウェアを含む有害コピーを特定できます。エンドポイント保護プラットフォームのBehavioral AIがここで検証レイヤーとなります。
6. バックアップ標的行動を監視する。 CISAは、vssadmin.exe, bcdedit.exe, wbadmin.exe, fsutil.exeのdeletejournal、wmic.exeのshadowcopyまたはshadowstorageコマンドの異常使用監視を CISAランサムウェア監視ガイドで推奨しています。XDRプラットフォームでこれらを高優先度シグナルとして検知してください。
7. リストアを定期的にテストし、年1回災害をシミュレートする。 定期的に分離環境でフルリストアテストを実施してください。年1回は実際のデータ損失イベントを模した災害シミュレーションを行い、ファイルレベルチェックだけでなくシステム全体の復旧を検証します。 NIST IR 8576は、バックアップ手順からのリストアの年次テストを規定しています。
8. プロダクションではなく分離ステージングにリストアする。 エアギャップリカバリーコピーは、専用の分離環境にリストアし、プロダクション復帰前にシステムがクリーンであることを検証してください。ステージング環境で行動異常検知ツールを実行し、再感染がないことを確認してから再接続してください。

これらのプラクティスにより、実際のインシデント時のバックアップ設計がより堅牢になります。また、リカバリーパスが到達可能または未検証だった場合に何が起こるかを示すインシデント例にもつながります。

実際のランサムウェアインシデントとバックアップの教訓

実際のインシデントはバックアップリスクを具体化します。

1. Norsk Hydro、2019年、LockerGogaランサムウェア。 2019年3月にLockerGogaが発生した際、Norsk Hydroは 企業危機を宣言し、40カ国で手動運用に切り替えました。ランサムウェアが数千台のサーバーとPCのファイルをロックしたためです。同社はその後、2019年前半だけで 5億5千万～6億5千万ノルウェークローネの損失を報告しました。このインシデントは、プロダクションが縮退運転を続けても運用障害が全社に波及しうること、そしてバックアップ耐性が身代金を支払わずにシステム復旧を可能にしたことを示しました。
2. Colonial Pipeline、2021年、DarkSideランサムウェア。 攻撃後、同社はパイプライン運用を停止し、司法省は後に 75ビットコイン中230万ドルの身代金を回収しました。 CISAのDarkSideアドバイザリは、ビジネスシステムへの攻撃が重要インフラ全体に大規模な運用障害をもたらしたことを記録しています。
3. MGM Resorts、2023年、ソーシャルエンジニアリングとランサムウェア関連障害。 攻撃者がソーシャルエンジニアリングでMGMのアイデンティティインフラを侵害した後、同社は ホテル・カジノ施設全体の運用を停止して封じ込めを図りました。MGMはその後、2023年9月の EBITDAR1億ドルの影響を報告しました。この事例は、アイデンティティ侵害が広範な障害状態に波及しうること、バックアップ分離だけではアイデンティティ制御なしでは不十分であることを示しています。

これらのインシデントは、リカバリー耐性と、攻撃者がバックアップ経路を汚染・削除・到達する前に阻止する制御をどう組み合わせるかという最終的な問いに直結します。

重要なポイント

エアギャップバックアップは、少なくとも1つのリカバリーコピーを通常のネットワークベース攻撃の手の届かない場所に保持するためのアーキテクチャ的手法です。分離は、堅牢なランサムウェアリカバリープランの不可欠な要素です。

3-2-1-1-0ルールに従ってエアギャップバックアップを実装し、リストアを定期的にテストし、保存前後にスキャンを実施し、バックアップ分離とBehavioral AIによる脅威防止を組み合わせて、バックアップインフラ到達前に脅威を阻止してください。オフラインバックアップやイミュータブルバックアップを広範なサイバーレジリエンス計画の一部として利用する場合でも、信頼できるランサムウェアリカバリーを支えるには定期的な検証が不可欠です。