投稿日: 投稿者: okamura

中小製造業のセキュリティは「守り方」より「戻し方」 ── バックアップを自分で握る

最低限のセキュリティ対策はさらっと触れるだけにする

中小製造業のセキュリティについて、教科書的な「やるべきことリスト」は他に譲る。ただ、最低限の前提として以下は押さえておきたい。

  • PCにセキュリティソフトを入れている
  • ネットワークの出口にUTM(統合脅威管理)を置いている
  • WindowsやOfficeのアップデートを放置していない
  • PCの管理者権限を全員に配っていない

このあたりは基本的な衛生管理のようなもので、やっていなければまずやる。ここを深掘りしても、他の記事や情報源で十分に読める内容になるので、この記事では省略する。

書きたいのは、その先の話になる。

防御は100%にならない

セキュリティソフトもUTMも、脅威を「減らす」ためのものであって「なくす」ためのものではない。

ランサムウェアを例にとる。ランサムウェアは社内のファイルを暗号化して使えなくし、復号と引き換えに身代金を要求する攻撃になる。メールの添付ファイルやWebサイト経由で侵入し、ネットワーク内のPCやサーバーに広がる。

UTMがブロックする。セキュリティソフトが検知する。それで大半は防げる。しかし新種の攻撃、ゼロデイ脆弱性、あるいは単純に社員が不審なメールを開いてしまうケースまで、すべてを防ぐことは構造的に不可能になる。

つまり、どれだけ防御を固めても「すり抜ける可能性はゼロにならない」。この前提に立つと、セキュリティの本丸は防御ではなく、すり抜けたあとにどう戻すかになる。

バックアップが唯一の確実な復旧手段

ランサムウェアに感染した場合、現実的な復旧手段はバックアップからの復元しかない。

身代金を払っても復号キーが送られてくる保証はない。セキュリティベンダーが復号ツールを出すこともあるが、対応できるのは既知の型だけで、タイミングも読めない。

結局、自分のデータを自分で持っている状態——つまりバックアップ——が、唯一コントロール可能な復旧手段になる。これは以前の記事でデータの主権について書いたことと同じ構造で、自分で持っていないものは、自分では取り戻せない

ただし「バックアップがある」だけでは足りない

ここで重要なのは、バックアップの「ある・なし」ではなく、どこにあるかになる。

ランサムウェアはネットワーク上のドライブを片っ端から暗号化する。社内のNASに毎日バックアップを取っていても、そのNASがネットワークに繋がっていれば、本体と一緒に暗号化される。バックアップがあるのに復元できない、という最悪のケースが起きる。

バックアップが有効であるためには、ランサムウェアの影響が及ばない、切り離された環境に保管する必要がある。

具体的には:

  • 外付けHDDに取って、物理的に外しておく。 最もシンプルで確実。バックアップ時だけ接続し、終わったら外す
  • クラウドストレージに世代管理付きで保管する。 暗号化されたファイルが同期されても、過去の世代に戻せる
  • テープバックアップ。 大げさに聞こえるが、オフラインメディアとしては今でも有効

方法は会社の規模やデータ量に合わせて選べばいい。原則は一つ。バックアップの保管先が、本番環境と同じネットワーク上にないこと

「業者に任せてあるから大丈夫」が一番危ない

自分の経験を一つ書いておきたい。

以前、あるソフトウェアの導入にあたって、サーバーのハードウェア選定から環境構築、バックアップ設定までを一括で業者に依頼したことがある。専門業者だから安心だろうと思っていた。

しかし、そのサーバーが壊れたとき、バックアップイメージからの復旧がうまくいかなかった。どうやらイメージの作り方に問題があったようで、結果として復旧に数週間かかった。中小製造業にとって、サーバーが数週間止まるというのは業務が止まるということになる。

この経験で痛感したのは、専門業者に任せたからといって、バックアップが正しく機能するとは限らないということ。業者の技術力にもばらつきはあるし、構築時の設定の問題は納品時点では表面化しない。問題がわかるのは実際に壊れたとき——つまり検証していなければ、何年も気づかないまま「使えないバックアップ」を取り続けることになる。

復旧手順を自分たちで理解しておく

この問題の根っこは、バックアップの技術的な話ではなく、復旧の知識が社内になかったことにある。

以前の記事で、DXにおいて「知識がベンダー側に偏る」ことの危険性を書いた。セキュリティのバックアップと復旧でも、まったく同じ構造が起きる。

  • バックアップの設計を業者に任せる
  • バックアップが毎日動いているのを確認して安心する
  • いざ壊れたときに「業者に連絡して復旧してもらおう」と思う
  • 業者がすぐ来るとは限らない。来ても、数年前に構築した環境の詳細を業者側が覚えているとも限らない

以前の記事でDXの丸投げについて書いたが、構造としては同じことが起きている。

最低限、以下は社内で把握しておいたほうがいいと思っている。

  • 何のバックアップが、どこに、どの頻度で取られているか
  • バックアップからの復元手順。 実際に復元テストをやったことがあるか
  • 復旧にどのくらいの時間がかかるかの見積もり
  • 業者に連絡がつかない場合、自分たちだけでどこまで復旧できるか

完璧に理解する必要はない。しかし「バックアップは業者に任せてあるので大丈夫です」という状態は、「システムはベンダーに任せてあるので大丈夫です」と同じレベルの危うさがある。

セキュリティも「自分で持つ」

このシリーズを通じて、データの主権、ツールの選択権、知識の所在——「自分で持つ」ことの重要性を繰り返し書いてきた。セキュリティも同じだと思っている。

セキュリティ製品を導入することと、セキュリティを「持っている」ことは同じではない。UTMを置いてセキュリティソフトを入れることは大事だが、それは防御の道具を揃えた段階であって、いざというときに事業を継続できる力があるかどうかは、また別の話になる。

防御は製品に任せていい。ただ、復旧については自分たちでも動ける状態にしておく。バックアップを切り離された場所に持ち、復旧手順を理解し、定期的に検証する。地味で面倒な作業だが、これが中小製造業にとって最も現実的で、最も確実なセキュリティになる。

高価な製品を積み上げるよりも、「壊れても月曜日には出荷できる」状態を作ること。それがこの規模の会社にとってのセキュリティの本質だと考えている。