Qumulo LogoQumulo Logo

ブログ

金融サービス業界がサイバー復旧の水準をいかに引き上げているか

IEEEコンピュータ協会によると、パンデミックが始まって以来、ランサムウェアによるインシデントは2倍以上に増加しており、その影響はIT部門をはるかに超えて広がっている。 イングランド銀行が、2025年第3四半期の国内総生産(GDP)成長率の鈍化の直接的な要因としてジャガー・ランドローバー(JLR)へのサイバー攻撃を挙げた際、サイバーインシデントが国家レベルで英国経済に実質的な損害をもたらしたのはこれが初めてのことだった。 同年、英国の小売業者マークス&スペンサー(M&S)は、サイバー攻撃後の復旧費用が3億ポンドを超えると試算した。一方、英国の国家サイバーセキュリティセンター(NCSC)は、大規模なサイバー攻撃の件数が130%増加したと発表した。 

脅威の状況は急速に変化しており、従来の防御策ではますます対応しきれない状況になっています。 Anthropic社の「Project Glasswing」は、すでにすべての主要なオペレーティングシステムやブラウザにおいて、これまで知られていなかった数千ものゼロデイ脆弱性を特定しており、AIによって、それらの脆弱性を発見し、攻撃に利用するためのコストは根本的に低下した。新しいマルウェアの亜種が、シグネチャデータベースの更新速度を上回る速さで生成されるようになった今、攻撃の経済性は恒久的に攻撃者側に有利に傾いている。

金融サービス企業が現在取り組んでいること

主要な管轄区域の規制当局は、組織にバックアップがあるかどうかを問う段階をすでに越え、現在では、標的型かつ敵対的なサイバー攻撃から復旧できることを証明できるかどうかを問うようになっている。 

欧州デジタル・オペレーショナル・レジリエンス法(DORA)第12条では、金融機関に対し、「ソースから物理的および論理的に分離された」システムを用いてデータを復旧することを義務付けています。 イングランド銀行、プルーデンシャル規制庁(PRA)、および金融行動監視機構(FCA)は共同で、システミックな金融機関に対し、強化されたサイバー対応および復旧能力を実証することを求めるガイダンスを公表した。 

米国証券取引委員会(SEC)は現在、重大なサイバーインシデントについて、4営業日以内に開示することを義務付けています。

香港金融管理局(HKMA)、インド証券取引委員会(SEBI)、ネットワーク・情報セキュリティ指令2(NIS2)、および英国の市場横断的業務レジリエンス・グループ (CMORG)の「クラウドホスト型データ・ヴォーティング・グッドプラクティス・ガイド」など、他の規制および業界の枠組みも、以下の点において共通の期待を示しています:

  • 分離された復旧環境

  • 証明可能なデータの完全性

  • 文書化された対応能力

これらの要件を総合すると、従来の運用向けバックアップソリューションが提供することを想定していた範囲をはるかに超えるものとなります。

規制対象企業の多くは、これに対応して、既存のバックアップおよび災害復旧戦略を強化しています。各社は、バックアップコピーの増設、レプリケーション頻度の向上、フェイルオーバーの高速化、そして災害復旧予算の拡充に投資してきました。こうした対応は理解できるものです。なぜなら、これらのツールは、ハードウェアの故障、自然災害、誤削除といった事態に直面しても、何十年にもわたり業界を支えてきたからです。 

問題は、ランサムウェアがそれらのいずれにも該当しないという点です。ランサムウェアは、ユーザーの復旧メカニズムを機能不全に陥らせるよう仕組まれた、標的を絞った敵対的な攻撃なのです。

高可用性、事業継続(BC)/災害復旧(DR)、およびバックアップが、そもそもこのような用途を想定して設計されていなかった理由

高可用性および事業継続・災害復旧(BC/DR)システムでは、データがリアルタイムでレプリケートされます。ランサムウェアによってプライマリ環境のデータが暗号化された場合、その暗号化は、攻撃が検知される前にセカンダリ環境へレプリケートされてしまうことがよくあります。その結果、データの両方のコピーが侵害される可能性があります。

従来のバックアップシステムには、別の課題があります。攻撃者は、攻撃を仕掛けるまで、しばしば数週間にわたって環境内に潜伏し、検知されずに済んでしまうことがあります。攻撃者が30日間も潜伏していた場合、その期間中に作成されたバックアップの多くには、すでにマルウェアやその他の悪意のある改ざんが含まれている可能性があります。こうしたバックアップから復元すると、データとともに脅威も再び持ち込まれてしまう恐れがあります。

現代のランサムウェア攻撃者は、このアーキテクチャを熟知しています。彼らは特にバックアップインフラを標的とし、シャドウコピーを削除し、バックアップカタログを暗号化し、バックアップ管理者の認証情報を乗っ取ります。なぜなら、復旧手段を奪えば、被害者が身代金を支払うことを知っているからです。彼らのビジネスモデル全体は、組織に実行可能な代替手段を残さないことに依存しているのです。

エンタープライズセキュリティスタックには、これらのツールのいずれも対応していない構造的なギャップが存在します。ファイアウォールは境界でのトラフィックを検査します。エンドポイント検出・対応(EDR)は、エンドポイント上で実行中のプロセスを検査します。セキュリティ情報・イベント管理(SIEM)は、ログやトラフィックパターンを分析します。 しかし、それらのいずれも、ストレージ上に保存されているファイルの中身を確認することはありません。そして、まさにそこに、攻撃者の仕掛けたものが潜んでいるのです。 ランサムウェアの展開からデータのステージング、ファイルの暗号化に至るまで、エクスプロイト後のあらゆる動作は、データ層に痕跡を残します。その層を監視する仕組みがなければ、侵害は検出されることなく、導入されているあらゆる保護メカニズムをすり抜けて持続することになります。

クムロがこの問題にどう取り組んでいるか

Qumuloは、ランサムウェアの課題の両面、すなわち、感染が拡大する前にデータの破損を防ぐこと、および攻撃者の横方向の移動の及ばない、信頼性の高い隔離された復旧環境を維持することに対応する、最新のサイバーレジリエンスアーキテクチャを導入しました。 アクティブな保護機能と、アーキテクチャ的に隔離された復旧環境を組み合わせることで、Qumuloは、侵害を前提とし、確実な復旧を保証する、ランサムウェア耐性の新たな基準を確立します。 

NeuralProtect:ストレージ層での検知

Qumulo NeuralProtect は、Qumulo ストレージプラットフォームに直接組み込まれた、ランサムウェアおよびマルウェアのリアルタイム検出機能です。既知のシグネチャやネットワークトラフィックからの行動推論に依存するアプローチとは異なり、NeuralProtect は「Deep File Inspection」技術を用いて、ファイルがストレージに書き込まれる瞬間にすべてのファイルを開いて分析します。 そのマルチモーダル検出エンジンは、既知のマルウェアファミリーだけでなく、これまでカタログ化されたことのないゼロデイランサムウェアも識別します。脅威を検出すると、即座に悪意のあるセッションを強制終了してファイルの横方向への暗号化を阻止すると同時に、正常な状態を保持するための防御用スナップショットを作成し、検証済みのクリーンなデータからの迅速な復旧を可能にします。 これは、別途インフラを必要とする追加型エージェントやサードパーティ製統合ソリューションではありません。攻撃者による被害が発生するまさにその場所、すなわちストレージ層そのものに組み込まれた保護機能です。

Qumulo Cloud Data Vault:横方向の移動を阻止


「Qumulo Cloud Data Vault」は、Qumulo Cloud Nativeの展開環境を基盤として構築された、検証済みのアーキテクチャパターンであり、ビジネスに不可欠なデータのために、隔離された不変の復旧環境を構築するように設計されています。これは独立した製品ではなく、既存のQumuloの機能を活用してサイバーレジリエンスを実現するアーキテクチャです。 

この保管庫は、本番環境との永続的な接続がない独立したクラウドアカウント内に配置されており、これにより、侵害されたシステムから保管庫への横方向の経路は存在しません。保管庫内のスナップショットは暗号鍵を使用してロックされているため、秘密鍵を持たない侵害された管理者であっても、ロックされたスナップショットを削除したり、有効期限を短縮したりすることはできません。 Vault への接続は、スケジュールされたレプリケーションウィンドウ中にのみ可能であり、これはライブラリから取り出されたテープによる物理的なエアギャップを模倣したものです。ただし、DORA、CMORG、およびイングランド銀行の「有効な実践指針」の規制要件を満たすクラウドネイティブアーキテクチャを通じて実現されています。

「コンパウンド・エフェクト」

これら2つの機能は連携して、バックアップだけでは解決できない根本的な問題を解決し、現在金融サービス業界に課せられている規制上の要件に直接対応します。 NeuralProtectは書き込みの時点でデータを検査します。つまり、バックアップ、レプリケーション、および保管層に流入するデータは、発生源においてクリーンであることが検証されます。この検査がなければ、下流にあるすべての保護層は、侵害されたデータを保存したまま、それを「回復力」と呼んでいることになる可能性があります。

NeuralProtectが攻撃を早期に検知できれば、既存のバックアップおよびDR用コピーは汚染されず、そのまま利用可能です。もし高度な攻撃が初期の検知をすり抜け、後になって発見された場合でも、Qumulo Cloud Data Vaultは、侵害が発生する前の「確実にクリーンな」リカバリポイントを、攻撃者がアクセスしたことのない環境に保存しておきます。 

DORA第12条では、「最高水準のデータ整合性」を確保するため、復元されたデータが「複数のチェックと照合」を経ることを求めています。NeuralProtectの「Deep File Inspection」は、まさにその検証機能を提供するものであり、復元時だけでなく継続的に適用されます。 

「CMORG クラウドホスト型データ・ヴォールティング・グッドプラクティス・ガイド」では、ヴォールティングされたデータは、本番環境への永続的な接続がなく、暗号的な不変性を備え、レプリケーションの時間帯が明確に定義された環境に格納されなければならないと規定されています。Qumulo Cloud Data Vault は、この仕様に基づいて構築されています。 

SECが定める4日間の開示期限は、攻撃が発生した時点からではなく、企業が当該事象が重要であると判断した時点から開始され、その判断は不当な遅延なく行われなければならない。重要性の判断は、合理的な投資家が意思決定においてその事象を重要であると考えるかどうかに基づいて行われる。組織としては、曖昧さを許容する余裕はない。 NeuralProtectのリアルタイム検知機能により、セキュリティチームは、攻撃がデータ層に到達したかどうか、またリカバリポイントが依然として有効であるかどうかを即座に把握でき、その評価期間を数週間から数分に短縮します。

これらを組み合わせることで、あらゆる管轄区域の規制当局が現在求めていること、そしてバックアップだけでは実現できない以下の機能を実現します。すなわち、暗号化が完了する前に脅威を検知し、侵害されたセッションをリアルタイムで隔離し、重要なデータを分離された不変の環境で保護し、身代金を支払うことなく完全に復旧させることです。

結論

ランサムウェアは企業の存続に関わる問題であり、これをうまく乗り切れる組織とは、既存の事業継続性(オペレーショナル・レジリエンス)ツールが、もはや過去の脅威の時代に適したものであると認識した組織である。イングランド銀行は、GDP予測においてサイバー攻撃の影響を挙げている。DORAはEU全域で施行されている。 PRA(英国金融規制庁)とFCA(金融行動監視機構)は、システミック企業にとって「効果的な」サイバー復旧とはどのようなものかについて、共同ガイダンスを発表している。SEC(米国証券取引委員会)は、サイバーセキュリティガバナンスについて取締役会に個人的な責任を問う姿勢を示している。保険会社は、保険金請求額が保険料を上回る状況を受けてサイバー保険市場から撤退しており、市場に残っている保険会社は、保険契約を引き受ける前に、分離された復旧アーキテクチャの証拠を要求している。

バックアップはランサムウェア対策ではありません。
災害復旧はランサムウェア対策ではありません。
事業継続はランサムウェア対策ではありません。

これらはすべて、運用レジリエンスに必要な要素ですが、その戦略のすべてをこれらの機能の失敗に賭けている標的型攻撃者に対抗するようには設計されていません。さらに重要なことに、これらはもはや規制上の基準を満たしていません。 規制当局は、単に「バックアップから復元できるか」と問うだけではありません。復旧環境が分離されているか、データの完全性が証明可能か、そして「最後に正常と確認されたコピー」が真にクリーンであることを実証できるかについても問いかけています。

Qumulo NeuralProtect および Qumulo Cloud Data Vault は、規制当局がますます求めている機能の構築を組織が実現できるよう支援します。書き込み時点で脅威を検知し、重要なデータを隔離された復旧環境で保護し、検証済みのクリーンなコピーから復旧することで、サイバーレジリエンスを強化し、ランサムウェアへの対策として実証可能な復旧戦略を支えます。 

Qumulo NeuralProtectとCloud Data Vaultがどのように連携するのか、ご覧になりませんか? デモのお申し込みはこちら qumulo.com/product/neural-protect または、以下の NeuralProtect ソリューション概要 詳細はこちら。

著者について

トム・タスカー Qumuloのプリンシパル・クラウド・ソリューション・アーキテクトとして、EMEAおよびAPJ地域の金融サービス業界や規制対象業界におけるクラウドデータ保護およびランサムウェア対策に注力しています。また、AWS Storage Blogの記事の共著者でもあります。 「設計による回復力:効果的なランサムウェア復旧戦略の構築」, また、ラフバロー大学で「現代のデータアーキテクチャ」に関する講義も行っています。