ランサムウェア対策はバックアップだけでは不十分？－いま、製造業に求められるサイバー・レジリエンスとIBM Storage Defender

「バックアップは定期的に取っているから安心」とお考えではありませんか？しかし、現代のサイバー攻撃は業務に必要なデータのみならず、バックアップのデータも標的となり、従来の対策では通用しないほど巧妙化しています。ランサムウェア攻撃からビジネスを迅速に復旧させるには、もはや従来のバックアップだけでは不十分です。

本記事では、製造業が直面する最新のサイバー脅威を解説し、事業継続の鍵となる「サイバー・レジリエンス」という考え方、そしてそれを実現するIBMの先進的なソリューションについて、その全貌をご紹介します。

製造業が直面する新たなサイバー脅威の現実

グローバルサプライチェーンの中核を担う製造業は、いま、かつてないサイバー攻撃の脅威にさらされています。IBMの「X-Force 脅威インテリジェンス・インデックス 2025」レポートによれば、製造業は全業種の中で、もっとも多くのサイバー攻撃インシデントに見舞われていることが明らかになっています。

これは、製造業が持つ高い知的財産の価値や、生産システムが停止した場合に発生するビジネス的影響の甚大さが、それらを熟知する攻撃者にとって格好の標的となっているためでしょう。

さらに、攻撃の手口も進化しています。従来のランサムウェア攻撃は減少傾向にありますが、その一方で、攻撃者はより静かで、かつ破壊的な手口にシフトしています。

例えば、ユーザーの認証情報を不正に入手し、正規のユーザーとしてシステムに長期間潜伏する攻撃が増加しており、2024年における攻撃手段の30%を占めるまでになっています。このような攻撃は、気づかれないままデータの改ざんや破壊を水面下で進行させ、いざという時の復旧を極めて困難にします。

ランサムウェア攻撃までの日数は、2019年の60日からわずか4日にまで短縮されており、攻撃の予兆から被害発生までの時間的余裕がなくなっています。一方で、ランサムウェア攻撃からのリカバリに要した日数は平均23日に及び、身代金を払っても26%の組織がデータを復旧できなかったというデータもあります。

この現状は、いかにデータの「復旧」が困難であるかを示しています。

なぜ従来のバックアップ対策では通用しないのか？

バックアップは、データの損失を防ぐ上で依然として不可欠な対策です。しかし、従来のバックアップ対策は、主に自然災害や機器故障といった「ランダムな」障害からの復旧を想定しており、ランサムウェア攻撃のような「標的型」の脅威には十分に対応できません。

従来の災害対策とランサムウェア攻撃対策の根本的な違いを比較すると、その理由が明確になります。

特に深刻な問題は、バックアップ・データが攻撃の対象となることです。バックアップ・データも改変されてしまうとデータを復旧することができません。そのため、バックアップ・データが攻撃の対象とならないような対策が必要です。

また、ランサムウェアはシステムに潜伏した後、徐々にデータを暗号化します。このランサムウェアによるデータの改変に気づかずバックアップが取得され続けると、改変されたデータがバックアップ・リポジトリに蓄積されてしまいます。そのため、いざ復旧しようとした際に「クリーンな」復旧ポイントを見つけるのが困難になり、復旧活動が長期化するのです。

例えば、ランサムウェアによるデータベースへの攻撃で、データベースのページを部分的に暗号化された場合には、システム自体は稼働し続けるため、データが改変されたことに誰も気づかず、数ヶ月経過してしまう可能性もあります。

このように、バックアップを取得するだけではなく、「バックアップ・データを攻撃から保護すると共に、バックアップ・データからいかに迅速に、そして安全に復旧できるか」という対策がサイバー・レジリエンスには重要となり、また事業継続の鍵となります。

サイバー・レジリエンスの3つのステップ：保護・検知・復旧

サイバー・レジリエンスは、サイバー攻撃を前提とした事業継続計画（BCP）の核となる考え方です。これは、単にデータを保護するだけでなく、脅威を早期に検知し、安全なデータを使って迅速に復旧するまでの一連のプロセスを指します。

サイバー・レジリエンスを構成する3つのステップは密接に連携し、ビジネスの復旧を確実なものにします。

• 保護（Protection）: 脅威からデータを守り、改変不可能な安全なデータのコピーを確保する。
• 検知（Detection）: 脅威の存在をリアルタイムで検知し、被害が拡大する前に食い止める。
• 復旧（Recovery）: 確実に安全なデータを使って、ビジネスを短時間で再開させる。

IBMは、この「保護」「検知」「復旧」のサイクルをエンドツーエンドで実現する、包括的なソリューションを提供しています。

IBM Storageが実現する多層的なサイバー・レジリエンス戦略

IBM Storage の包括的なサイバー・レジリエンス・ソリューションは、ソフトウェアとして提供されるIBM Storage Defenderとプライマリー・ストレージのIBM Storage FlashSystemを組み合わせた、データの「保護」「検知」「復旧」のすべてを網羅したエンドツーエンドのソリューションです。

1. プライマリー・ストレージにおける「保護」と「検知」

FlashSystemは単なる高速ストレージではなく、ランサムウェア対策に有効な革新的なハードウェアとAIを活用した機能を備えています。特に基幹業務のシステムでは、システムの長期停止はビジネスへの甚大な影響に繋がります。万が一ランサムウェアによりデータが改変されてシステムが停止したとしても、迅速に復旧し業務を再開させなければいけません。

セーフガード・コピー（Safeguarded Copy）によるデータ保護と潜在的な脅威の検知:
この機能は、本番ボリュームとは完全に分離された、外部からアクセスできない「エア・ギャップ」領域を本番ボリュームと同じストレージ内に構成し、この隔離された領域にデータのコピーを取得します。このコピーはサーバーからアクセスも削除もできないため、ランサムウェアによる攻撃から完全に保護され、改変されることはありません。同一のストレージ内にデータのコピーがあるため、万が一の際も、クリーンなコピーから瞬時にデータを復旧できます。

また、Defenderのデータ整合性をチェックするソリューションと組み合わせることで、取得したコピーのデータ整合性を検証することが可能になります。一般的な検知ツールがファイルのメタデータ（ファイル名やサイズ）の変化を検証するのに対し、Defenderではファイルのコンテンツ内部、特にデータベースの構造まで深くスキャンし、わずかな破損の兆候も検証します。これにより、見過ごされがちな巧妙な攻撃や、潜在的な脅威も発見することが可能です。

FlashCore Module 4 (FCM4)によるリアルタイム検知:
FlashSystemに搭載されたFCM4は、IOデータを常時監視し、AIを活用してエントロピー、圧縮率、暗号化レベル、アクセスパターンなどの変化を分析することで、ランサムウェアの脅威をわずか60秒以内に検知します。この高速な検知により、感染した可能性のある時点とシステムを特定することができ、被害の拡大を防ぐためのシステムの隔離など、次の対応に繋げられます。

また、SaaSとして提供しているストレージ管理ソフトウェア Storage Insights Pro を経由して Defender や他社を含めたセキュリティ・ツールと連携することも可能です。

2. セカンダリー・ストレージにおける「検知」と「復旧」

本番環境における基幹業務のデータ保護だけではなく、そのバックアップ環境におけるデータも攻撃の対象として狙われるケースが増えています。「IBM Storage Defender Data Protectは、バックアップ環境であるセカンダリー・ストレージにおいて、「保護」「検知」「復旧」のすべてを網羅したサイバー・レジリエンスを提供します。

インスタント・マスリストアによる劇的な復旧:
Defender Data Protectは、VMware環境に最適なバックアップ・ソリューションです。特に「インスタント・マスリストア」機能は、数百から数千台の仮想マシン（VM）を分単位で同時にリストアできる画期的な機能です。高速リカバリを実現する秘密はデータアクセスのタイミングにあります。従来のリストアでは、データアクセスはストレージへのデータ移行完了後に可能になりましたが、インスタント・マスリストアでは、データ移行前にアクセスが可能です。そのため、リストア開始から数分でユーザーがアクセス可能となり、スピーディーなビジネス復旧を実現します。

驚異的なPOC結果:
実際の検証事例では、さまざまなケースで回復までの時間を大幅に短縮した実績を持ちます。例えば、大規模マルウェア感染（VM数1,000〜16,000）の復旧に通常4週間かかっていたものが、IBM Data Protectを使用することでわずか47分でデータアクセスを可能にし、即座にビジネスの再開を可能にすることができたという結果が出ています。これはダウンタイムによる機会損失を最小限に抑え、企業のブランド毀損も防ぐ上で、計り知れない価値をもたらします。

3. 統合管理

IBM Storage Defenderは、プライマリー・ストレージでの「保護」「検知」「復旧」に関する情報と、バックアップ環境であるセカンダリー・ストレージでの「保護」「検知」「復旧」のすべての情報を連携し、環境全体でのサイバー・レジリエンスを統合管理します。IBM Storage Defender Data Management Service (DMS) は、Data Protectの運用を可能にする運用管理ダッシュボードを提供します。Data Protectの複数クラスタ全体の情報を把握し、バックアップ・データの保護情報、ストレージ容量、検知情報を通知として受け取ることで、バックアップ / リストアのあらゆる情報を可視化することができ、セカンダリー・ストレージへのバックアップの統合管理を可能にします。

さらに、IBM Storage Defender  Data Resiliency Service (DRS) では、さまざまな検知情報を集約し、警告通知を受け取ることで、復旧ポイントの高精度な特定および安全なリカバリー・オーケストレーションを実現します。

DRSは、前述のFlashSystem FCM4による検知に加え、Defender Sensorと呼ばれる検知情報も受け取ることができます。Defender Sensorは、VMゲストOSのファイルシステム層にインストールされる軽量なAI搭載センサーです。暗号化の検出、機械学習ベースのパターン認識、誤検出の低減という3つのレイヤーでファイルを分析することで、高精度なリアルタイム検知を実現し、データ損失を最小限に抑えます。

これらのサービスを組み合わせてお使いいただくことで、プライマリー・ストレージとセカンダリー・ストレージの両方からの検知結果や復旧プロセスを単一のダッシュボードで可視化し、すべてのデータ・レジリエンス機能を一元管理することによって、データ資産の保護におけるワークフローを統合します。これにより、セキュリティ担当者とストレージ担当者が連携し、迅速な意思決定とアクションが可能になります。

まとめ

サイバー攻撃はもはや避けられない時代。重要なのは、「いかにして迅速に復旧するか」というサイバー・レジリエンス対策を講じることです。

IBM Storage のサイバー・レジリエンス・ソリューションは、プライマリー・ストレージからセカンダリー・ストレージまで包括的に安全なデータ保護と早期検知、そして迅速な復旧を提供します。今回ご紹介したすべてのソリューション、機能はすべて同じライセンス『IBM Storage Defender』として、単一のサブスクリプション・ライセンスで提供されるため、ライセンス管理や購入形態もシンプルです。

アルゴグラフィックスは、IBM製品の豊富な実績と技術知識を持つパートナーとして、お客様の現状の課題を丁寧にヒアリングし、最適なサイバー・レジリエンス・ソリューションをご提案します。お客様の既存環境を最大限に活かした段階的な導入から、理想的なデータ・レジリエンス体制の構築まで、お客様のビジネスの安全と継続を強力にサポートします。

バックアップ環境の見直しや、より詳細なソリューションについてご興味のある方は、ぜひ一度ご相談ください。貴社のビジネスを守るため、今すぐ対策を始めましょう。

アンケートに回答すると本コラムの内容をまとめたeBOOK「製造業サイバー・レジリエンス ガイド」をダウンロードいただけます。

eBOOKはこちら