バックアップ保持とは
バックアップ保持とは、規制、法的、サイバーセキュリティ要件に基づき、重要なデータのコピーを定められた期間維持する運用です。どのくらいの期間リカバリポイントを保持するか、どこに保存するか、そして本番環境を侵害する攻撃からどのように保護するかを決定します。
リスクは現実的です。MGM Resortsの2023年のランサムウェアインシデントでは、同社はSECへの提出書類で調整後EBITDAに約1億ドルの影響があったと開示しました。攻撃者がバックアップに到達または破損させた場合、ビジネスへの影響はITのダウンタイムを超え、企業レベルの財務イベントとなります。
多くの企業は依然としてバックアップ保持をストレージの物流問題として扱っています。復旧できる組織と身代金を支払う組織の違いは、バックアップ保持ポリシーの設計、実装、運用の徹底にあります。
CISA #StopRansomwareガイドは、バックアップ保持をクロスセクターサイバーセキュリティパフォーマンス目標2.Rとして指定し、重要データのオフラインかつ暗号化されたバックアップを維持し、その可用性と完全性を定期的にテストすることを求めています。これは連邦サイバーセキュリティのベースラインです。
ランサムウェアグループは現在、バックアップインフラを主要な標的としています。バックアップ保持ポリシーは、それらのバックアップが生き残るかどうかを決定する設計図です。
.jpg)
バックアップ保持ポリシーとサイバーセキュリティの関係
バックアップ保持ポリシーは防御的なコントロールです。 NIST Cybersecurity Framework 2.0では、サブカテゴリPR.DS-11でこれを規定し、バックアップの作成、保護、維持、テストを要求しています。これにより、バックアップ保持は エンドポイント保護、アクセス管理、 ネットワークセグメンテーションと並ぶ保護コントロールアーキテクチャの一部となります。
攻撃者の行動を分析すると、サイバーセキュリティ上の重要性が明確になります。 NIST SP 800-209によると、攻撃者はバックアッププロセス自体に干渉し、将来のコピーを徐々に汚染して、利用可能なバックアップがすでに破損している状態にすることがあります。保持期間は、侵害前のクリーンなリカバリポイントを維持できるかどうかを直接左右します。
2021年のColonial Pipeline ランサムウェアインシデントでは、米国司法省が DOJリリースで440万ドルの身代金支払いについて説明しました。バックアップ保持だけでランサムウェアを阻止することはできませんが、復元と業務再開が交渉なしで可能かどうかを決定します。
バックアップ保持ポリシーは、どこまで遡って復元できるか、どれだけ迅速に復旧できるか、攻撃者が身代金要求を拒否する能力を排除できるかを定義します。
バックアップ保持ポリシーの仕組み
バックアップ保持ポリシーは、組織が作成するすべてのバックアップコピーのライフサイクルを管理します。作成頻度、保存場所、保護メカニズム、保持期間、各データ分類階層ごとの廃棄手順を規定します。
3-2-1-1-0フレームワーク
業界標準は、従来の3-2-1ルールから、現在のランサムウェア戦術に対応するため3-2-1-1-0フレームワークへと進化しています。
このフレームワークは以下を要求します:
- 本番データに加え3つのバックアップコピー
- 異なる2種類のメディアで異なるリスククラスに対応
- 地理的分離のため1つをオフサイトに保存
- 1つのイミュータブルまたはエアギャップコピー、さらにバックアップ検証テストでエラー0件
これらすべてを徹底することで、単一の侵害で全リカバリオプションが消失するリスクを低減します。
保持階層と期間
バックアップ保持ポリシーは、データ分類、規制要件、復旧目標に基づき保持期間を定義すべきです。 GartnerのPeer Communityによると、企業実務者は通常、災害復旧用バックアップ(30~90日)とコンプライアンス用アーカイブデータ(業界固有の規制に従う)を区別しています。
すべての保持判断を左右する2つの時間ベースの目標があります:
- リカバリポイント目標(RPO):復元可能なデータの最大許容古さ。RPOが4時間なら、4時間以上のデータ損失は許容できません。
- リカバリ時間目標(RTO):最大許容ダウンタイム。保持インフラがどれだけ迅速に利用可能なリカバリポイントを提供できるかを決定します。
RPOとRTOは、バックアップ作成頻度と、インシデント時に保持インフラがどれだけ迅速に提供できるかを決定します。
イミュータビリティとアクセス制御
イミュータブルバックアップは、WORM(Write Once Read Many)技術を用い、フル権限の管理者でも変更や削除ができません。 NIST SP 1800-25は、バックアップシステムが既知のマシン上の単一サービスアカウントへのアクセス制限、ロールベースアクセス制御、 MFA、本番環境と分離した認証基盤の運用を推奨しています。
これらの仕組みが基盤となりますが、バックアップの構造次第で保持ポリシーが各データ階層をどれだけ効果的に保護できるかが決まります。
バックアップ種別と保持戦略
バックアップ保持ポリシーは、組織が利用する各種バックアップ方式を考慮する必要があります。各方式は異なるリカバリチェーンを生み、ストレージ、速度、リスクのトレードオフが異なります。
- フルバックアップ:選択したすべてのデータを一度にコピーします。 NIST SP 800-34は、データの重要度と新規情報の発生頻度に基づきバックアップ頻度を規定することを推奨しています。フルバックアップは1セットで復元でき最速ですが、最も多くのストレージを消費し、完了まで最も時間がかかります。
- 増分バックアップ:直近のバックアップ(種類問わず)以降に変更されたデータのみを取得します。各増分は小さく高速ですが、復元には最後のフルバックアップとすべての増分が必要です。チェーンのどこかが破損すると、それ以降のリカバリポイントすべてにアクセスできなくなります。
- 差分バックアップ:最後のフルバックアップ以降のすべての変更を取得します。何回差分を実行しても、差分は日ごとに大きくなりますが、復元は増分より速く、最後のフルバックアップと最新の差分の2セットで済みます。
- GFSローテーションによる組み合わせ:多くの企業は、Grandfather-Father-Son(GFS)ローテーションを用いてこれらの方式を組み合わせます。週次フルバックアップは数か月保持、日次差分または増分は数週間保持、月次または年次アーカイブはコンプライアンス要件に応じて1~7年保持します。保持スケジュールは各階層ごとに異なる期間を指定すべきです。例えば、日次増分は14日後に期限切れ、週次フルは90日後、月次アーカイブは規制要件に応じて1~7年保持などです。
選択するバックアップ種別はRPOにも影響します。毎時増分は日次差分より厳格なRPOを実現しますが、復元チェーンが長くなりRTOが増加します。各データ分類階層ごとに、これらの目標をバランスさせるバックアップ方式と保持期間を割り当ててください。
バックアップ保持ポリシーのベストプラクティス
バックアップ保持ポリシーは、実装が伴って初めて有効です。以下の各ベストプラクティスは、バックアップ汚染やID侵害、未検証のリストア、不十分な監視など、実際のインシデントで観測された特定の障害モードに対応しています。
1. 最低30~90日間のイミュータブルバックアップストレージを徹底
組織の平均的な脅威潜伏期間に基づき、イミュータブルな保持期間を設定してください。 CISA LockBitアドバイザリは、すべてのバックアップデータが暗号化され、イミュータブルであり、組織全体のデータインフラをカバーすることを要求しています。
90日間のウィンドウは、 NIST SP 800-209がバックアップ汚染と呼ぶ、攻撃者が数週間かけて徐々にコピーを破損し、本番システムで暗号化を発動するような遅延型侵害にも対応できます。30日間の短いウィンドウは、早期発見された攻撃には有効ですが、長期潜伏には対応できない場合があります。
2. エアギャップまたは論理的分離ストレージの実装
イミュータブルバックアップも、攻撃者が本番環境と同じネットワーク経路で到達できる場合は価値を失います。NIST NCCoEガイダンスは、物理的エアギャップ(オフラインテープやネットワーク非接続のリムーバブルメディア)または論理的エアギャップ(オブジェクトレベルの保持ポリシーと強力なID分離を持つオンラインストレージ)による完全な分離を強調しています。いずれの場合も、攻撃者が本番IDプレーンからバックアップコントロールプレーンへピボットできないようにしてください。
3. ゼロエラー許容でリカバリテストを実施
3-2-1-1-0の「0」は、未検証のリカバリ手順を一切許容しないことを意味します。NIST Cybersecurity Framework 2.0は、バックアップのテストを明示的に要求し、推奨事項から正式なサイバーセキュリティ成果要件へと格上げしています。
リスクプロファイルに合わせたテスト頻度を構築してください:
- 重要システムのリカバリを毎月検証
- ランサムウェアシナリオを想定したフルリストアテストを四半期ごとに実施
- ISO 27001監査対応のため、半年または年1回の完全復元演習を実施
各テストでは、実際の復旧時間がRTOを満たしているか、チェックサムによるデータ完全性検証を行ってください。失敗したテストはP1インシデントとして扱い、次回サイクル前に是正してください。
4. 分離されたリカバリエンvironmentsの導入
NIST NCCoEガイダンスは、イミュータブルデータボールト(IDV)を備えた分離リカバリエンvironments(IRE)の導入を推奨しています。これは、バックアップデータを復元・分析するための安全かつ分離された環境であり、マルウェアの再導入を防ぎます。IREには、独立した認証基盤、専用ネットワークセグメント、独立した管理者アクセス経路が必要です。
5. バックアップの暗号化と鍵管理の分離
ISO 27001ガイダンスに従い、保存時はAES-256 暗号化、転送時はTLS 1.3を適用してください。暗号鍵はバックアップデータとは別に、異なるロール割り当てで保管します。鍵削除操作にはMFAを必須としてください。バックアップデータと暗号鍵が同じ経路で侵害された場合、暗号化は無意味となります。
6. バックアップテレメトリをセキュリティ運用と統合
バックアップインフラは、SOCが監視すべきシグナルを生成します。 NIST SP 800-61は、バックアップシステムが インシデント対応機能と統合されるべきとしています。バックアップテレメトリをSIEMや XDRプラットフォームに連携し、以下を監視してください:
- バックアップサイズや所要時間の急激な変化
- スキップまたは失敗したバックアップジョブ
- バックアップインフラでの異常なログインパターン
- 予期しない変更や削除の試行
これらの異常は、ランサムウェアが暗号化を発動する前に表面化することが多いです。SentinelOneのSingularity Platformは、エンドポイントやクラウドのシグナルとともにこのテレメトリを相関し、アナリストに攻撃チェーン全体のコンテキストを提供します。
7. ゴールデンイメージとInfrastructure-as-codeバックアップの維持
CISA #StopRansomwareガイドは、重要システムのゴールデンイメージを維持し、Infrastructure-as-code(IaC)でクラウドリソースをデプロイし、テンプレートバックアップをオフラインで保持することを指示しています。IaCテンプレートはバージョン管理し、変更を監査して完全な環境再構築を可能にしてください。
8. 破壊的操作に対するクォーラム承認の実装
単一の管理者がイミュータブルバックアップを削除・変更できてはなりません。バックアップコピーの削減、保持期間の短縮、イミュータビリティの無効化など、いかなる操作にも複数の承認者によるクォーラム承認を必須としてください。これにより、内部脅威や特権アカウントの侵害から保護します。
これらのコントロールを実装したら、保持期間とテスト証跡をコンプライアンスフレームワークにマッピングしてください。
バックアップ保持に関する規制コンプライアンス要件
バックアップ保持期間はセキュリティ上の判断だけでなく、監査や法的影響を伴うコンプライアンス義務でもあります。課題は、フレームワークごとに要件が異なり、多くの組織が複数の規制対象となることです。規制要件が競合する場合は、最も長いバックアップ保持要件を適用し、各データ分類階層ごとに根拠を文書化してください。
HIPAA
HIPAAはバックアップデータの保持期間を明示していませんが、45 CFR § 164.308(a)(7)の下で電子保護健康情報(ePHI)の正確なコピーを作成・維持する手順を義務付けています。 HHS HIPAAシリーズは、セキュリティ文書の最低6年間の保持を要求しています。
GDPR
EDPBガイドライン4/2019は、不要となった個人データの削除を要求しています。GDPRはバックアップも EDPBガイドライン9/2022の下で処理とみなし、すべてのデータ保護要件の対象とします。すべての保持期間について業務上の根拠を文書化してください。
PCI-DSS
PCI-DSS要件10.7は、1年間の監査証跡保持と3か月分の即時利用可能性を義務付けています。要件3.1は、保持期間を超えたデータが四半期ごとに安全に削除されていることの検証を要求しています。
SOC 2
SOC 2は保持期間を規定していません。自組織で定義・文書化し、一貫して運用し、監査時に有効なコントロール運用を証明してください。
フレームワーク | バックアップデータ保持 | 文書保持 | テスト要件 | 暗号化要件 |
HIPAA | リスクベース(明示なし) | 最低6年 | あり | アドレッサブル仕様 |
GDPR | 目的限定・根拠文書化 | アカウンタビリティ原則に従う | あり(迅速な復元) | 第32条で必須 |
PCI-DSS | 業務根拠に基づき、四半期ごとに検証 | 1年分の監査ログ(3か月はオンライン) | 暗黙的 | カード会員データは必須 |
SOC 2 | 組織定義・文書化 | 組織ポリシーに従う | あり(可用性基準) | 必須(セキュリティ基準) |
コンプライアンスの整合性は必要条件ですが十分条件ではありません。実際にバックアップ保持が破綻する障害モードへの備えも必要です。
バックアップ保持ポリシーの課題と限界
設計が優れた保持ポリシーでも、実際のインシデント時に初めて表面化する実装上の障壁があります。最も一般的な失敗は、ポリシー自体は正しく構築されているものの、攻撃者、インフラのギャップ、運用上の死角が時間とともに有効性を損なうというパターンを共有しています。
ランサムウェアグループはまずバックアップを標的に
攻撃者はバックアップ認証情報を狙い、未修正のバックアップソリューションを悪用し、本番システムで暗号化を発動する前にリカバリインフラを意図的に破損させます。バックアップインフラが本番と同じIDストアを共有している場合、1つの ドメイン管理者アカウントの侵害で全リカバリ能力が失われます。
IDインフラの死角
Active Directoryや認証システム、特権アクセス管理が保持対象に含まれていない場合、復元のパラドックスが発生します。イミュータブルなデータバックアップは存在しても、それにアクセスを復元できません。バックアップ保持ポリシーは IDインフラも第一級のバックアップ対象とする必要があります。
フレームワーク間のコンプライアンス競合
GDPRのデータ最小化原則は、HIPAAやPCI-DSSの長期保持要件と競合する場合があります。これらの競合管理には、データごとに法的根拠を文書化した粒度の高い保持スケジュールと継続的な法的レビューが必要です。
監視のギャップとサイレントフェイル
バックアップログやアラートを誰も確認しない場合、障害は数か月間発見されません。ストレージが満杯になり、バックアップジョブが通知なしにスキップされ、実際の復元時に初めて破損が判明します。バックアップテレメトリをセキュリティ監視スタックに統合することで、この可視性ギャップを解消できます。
週末・休日の攻撃タイミング
攻撃者は監視の手薄な時間帯を狙います。ランサムウェアグループは、ITスタッフのカバレッジが最も薄い期間に攻撃を仕掛け、バックアップ侵害が発見されないウィンドウを拡大します。自律的な監視・対応機能は、手動監督よりもこの脆弱性に効果的に対処します。
これらの課題は共通のギャップを示しています。バックアップ保持ポリシーには、文書化だけでなく継続的な運用徹底が必要です。そのギャップを埋めるには、自律的に動作し、リカバリエンvironments全体を可視化できるセキュリティプラットフォームが必要です。
SentinelOneによるバックアップ保持の強化
バックアップ保持ポリシーはルールを定めます。セキュリティプラットフォームは、そのルールが攻撃下でも有効かどうかを決定します。SentinelOneのSingularity Platformは、ランサムウェアがバックアップインフラに到達する前に阻止し、SOCがバックアップ標的行動をリアルタイムで検知できる可視性を提供することで、バックアップ保持を強化します。
自律型ランサムウェアロールバック
SentinelOneは、実行時にランサムウェア活動を検知・阻止する行動AIを用い、暗号化がバックアップサーバーを含む重要システムに到達するリスクを低減します。ランサムウェアがWindowsエンドポイント上のファイルを暗号化した場合、プラットフォームのロールバック機能はVolume Shadow Copyスナップショットを利用して、攻撃前の状態にファイルを復元します。
バックアップインフラ保護
Singularity Cloud Workload Securityは、バックアップインフラをホストするVM、サーバー、コンテナ、Kubernetesクラスター全体にリアルタイム保護を拡張します。プラットフォームは、パブリッククラウド、プライベートクラウド、オンプレミスデータセンター全体でランタイム脅威防止と自律対応を提供し、影響を受けたシステムを隔離し、アナリストの介入なしに既知の安全な状態に戻します。
AWS Backup連携
SentinelOneはAWS Backupと連携し、クラウドリカバリワークフローを効率化します。Singularity Cloud Workload Securityが侵害されたEC2インスタンスを検知すると、AWS Backupからリカバリ情報を取得し、SentinelOneコンソールから直接復元リンクを提示します。
Purple AIによるバックアップ異常調査
Purple AIは、アナリストが会話型クエリで疑わしいバックアップアクセスパターンを調査できるようにし、インシデント対応時のリカバリオプション検証にかかる時間を短縮します。早期導入企業は、Purple AIにより脅威ハンティングと調査が 最大80%高速化されたと報告しています。
Singularity™ AI SIEM
SentinelOneのSingularity™ AI SIEMは、自律型SOC向けに業界最速のオープンプラットフォームであり、すべてのデータとワークフローに対応します。自社データレイク上に構築され、エンタープライズ全体にリアルタイムAI保護を提供します。無制限のスケーラビリティと無期限のデータ保持が可能です。ハイパーオートメーションでワークフローを加速し、エンドポイント、クラウド、ネットワーク、ID、メールなどを保護します。データをリアルタイム検知のためにストリーミングし、自律AIによるマシンスピード保護を実現します。業界唯一の統合コンソール体験で、調査・検知の可視性も向上します。ツアーを見る。
SentinelOneのデモに申し込むことで、自律型バックアップ保護が自社環境にどのように適合するかをご確認いただけます。
重要なポイント
バックアップ保持は、組織がランサムウェアから復旧できるか、支払うかを左右するサイバーセキュリティコントロールです。イミュータブルかつエアギャップされたコピーを含む3-2-1-1-0フレームワークを実装し、四半期ごとにゼロエラー許容でリカバリテストを実施してください。
バックアップ保持スケジュールをHIPAA、GDPR、PCI-DSS、SOC 2に整合させ、バックアップテレメトリをSOCに統合してください。SentinelOneのSingularity Platformは、自律対応とリアルタイム可視性でこれらの戦略を強化し、リカバリエンvironments全体を保護します。
よくある質問
バックアップ保持ポリシーは、組織がデータのバックアップコピーをどのくらいの期間保持し、それらのコピーをどこに保存し、いつ削除するかを定めるルールの集合です。作成頻度、保存場所、イミュータビリティ要件、廃棄手順を含みます。
保持ポリシーは、サイバーセキュリティ要件、HIPAAやGDPRなどの規制要件、組織のRPOおよびRTOの復旧目標によって管理されます。
3-2-1-1-0フレームワークは、従来の3-2-1ルールにランサムウェア耐性のための2つの追加要素を加えたものです。追加の「1」は、攻撃者が管理者認証情報を盗んでも変更できないイミュータブルまたはエアギャップのコピーを要求します。
「0」は、未検証のリストアを許容しないことを強制し、インシデント発生時に破損を発見することがないようにします。これにより、バックアップ保持がストレージ衛生から復旧コントロールへと変わります。
ランサムウェアグループは、管理者エンドポイントのメモリダンプなどで認証情報を窃取し、バックアップコンソールやリポジトリに移動します。未修正のバックアップソフトウェアを悪用し、ジョブスケジュールを変更してカバレッジギャップを作り、保持設定の削除や短縮を試みます。
一部の攻撃者は、バックアップを徐々に汚染し、リストア時に持続性を再導入させることもあります。アクセス経路の遮断、イミュータビリティの強制、定期的なリストア検証が重要です。
バックアップポイズニングは、攻撃者が潜伏期間中にバックアップを徐々に破損させ、直近のリストアポイントすべてが侵害された状態になる現象です。最終的に暗号化が実行されると、リストア時に攻撃者を再導入してしまいます。
イミュータブルな保持期間は、環境内の典型的な潜伏期間を超えるように設定すべきです。多くの企業は30~90日間のイミュータビリティから開始し、発見速度やリスク許容度に応じて調整します。
攻撃者がActive DirectoryやIDプロバイダーを侵害すると、バックアップを保持するシステムへの認証ができなくなる可能性があります。データは存在しても、安全にアクセスしたり整合性を証明したりできません。
IDバックアップがなければ、ドメインやサービスアカウント、信頼関係を再構築してから本番アプリをリストアする必要があり、その遅延で復旧が数時間から数日に延びることもあります。
