今考えるBCP対策:ニップンランサムウェア被害から私達にできること

今考えるBCP対策

「バックアップからリストアが必要な状況を起こしてはいけない」

これは、ある中堅会社のシステム担当者が宣った言葉です。

不思議な事に、彼のシステムは深刻なトラブルやバックアップから戻すような作業は日常はありませんでした。彼の担当するシステムのバックアップは、NASへのミラーコピーと日次の仮想テープライブラリへのバックアップ、週次の物理テープメディアへのバックアップとテープメディアのオフライン保管です。物理テープは一か月保管して再利用していました。

とある外資系企業の担当者は、バックアップジョブに何等かのエラーが記録されると、必ず私とマネージャ宛にメールで報告してきました。バックアップソフトウェアが余りにもバカなのか、あまりにも彼のメールがシツコイので閉口したくなるほどでしたが、それは彼の責任範囲でできる最大の業務だったようで、彼が在籍中は、「リストア」が必要な案件は全くありませんでした。

彼の後を継いだ担当者(女性)は、引き継ぎが充分でなかったのか、彼女はテープの交換手順だけは行っていましたが、ログの確認は行っていませんでした。知らせがない事は良い事。そう思っていましたが、彼女が担当している間、重要なインシデントが発生して、テープからリストアを行う必要がありました。

しかし、ログを確認すると、複数のテープに跨ってバックアップが行われるはずのジョブが途中でテープフルになってキャンセルされていたのです。

その後のリカバリ作業が大変だった事は、費用、手順、共に膨大な作業だったことは言うまでもありません。死にそうになるくらい複雑で面倒で退屈な作業でした。

とある司法書士事務所さんは、小さな組織の割には先進的な事が大好きな司法書士の先生が経営していました。90年代にまだ大手企業ですら導入していなかった、所内LANのシステムを導入したのです。DOS から Windows への移行も早かったのですが、少しコストを掛けすぎていた感があり、NAS が普及し始めた頃、「ファイルサーバー」を止めて NAS へのダウングレードを提案しました。営業面では、「わざわざダウングレードするとは何事か!」と怒られましたが、事業規模からその程度のサイズが最適だと判断したのです。バックアップは当時一般的だった、MOドライブを使ってもらいました。毎日 NAS のデータをMOにバックアップして、経営者の先生が自宅に持ち帰る、という方式です。その後はリムーバブルディスクにバックアップを取ってもらいました。

不思議とその司法書士事務所では大事故は起こっていません。その先生とは、まだ年賀状の付き合いがあります。


--
何が言いたいか? と問われれば、

「BCP対策には万全はない」

という事と

「バックアップできてもリストアできなければBCP対策は意味がない」

事です。

また、不思議とバックアップを管理されているシステムは深刻なトラブルに陥る事は少ない、という事です。つまりそれほどシステム担当者がシステムの日常に気を遣っていた、という事です。

--
ニップンで起こったランサムウェアの対策に就かれている担当者、サポートエンジニアの皆さん。大変だと理解しています。

バックアップシステムも被害に遭って、リストアも困難だと言う記事を読みました。また、運用が杜撰だったというネガティブな情報もないので、一般的な企業が実施するセキュリティ対策、BCP 対策を行っていたと思います。どこの企業でも行っている平均的な対策だったようです。

ただ、ワタクシ視点で見た場合。

1. オフラインのバックアップ保管はあったのか
2. システムの多様性はあったのか

という二点が気になりました。

ここから、「ニップンじゃないヒト」の私たちが、このような「わが身にも降りかかる可能性がある」インシデントに対して「私達が学びたい事」、BCP対策として考えてみたい事です。

--オフラインバックアップメディア保管の重要性

今回のニップンのインシデントの中で、バックアップシステムも被害を受けた事は重要です。一昔前なら面倒なバックアップシステムでしたが、やれクラウドだのハードウェアレベルのミラーリングやストレージプールを使っても、バックアップシステムは手軽で簡単になりました。それと同じ位に致命的な障害を与えるオペレータのトリガーも軽いでしょう。瞬時にバックアップメディアをフォーマットしてしまった、などという事故も簡単に発生します。

対して、物理的にオフライン保管するのは、バックアップもリストアもテープストックに取りに行くだけでも面倒なだけ、オペレータの誤操作にも「その種のやる気があるヒトビト」にもトリガーは重い。

クラウドは確かに便利で楽かも知れないけれど、バックアップとリストアの自由度は低く、無事だったシステムの最新の世代だけが頼りになってしまう。柔軟性やカスタマイズの自由がないのですね。おまけに「クラウドにバックアップがある」と言っても、オンプレミスの負荷分散のためであったり、プライベートクラウドの一部分であったりすれば、軽いトリガで簡単に消去できてしまう。万能ではないのです。

大体ニップン程の規模でクラウドを使っていないはずがないのです。負荷分散やバックアップ、BCP目的のプライベートクラウドも多分やられたのでしょうね。クラウドストレージを暗黙に信頼すべきではない。

バックアップを実施中はオンラインで、終わったら物理メディアを取り外したりバックアップサーバーを停止させたり、せめてボリュームをアンマウントするくらいの意識は持っておきたいですね。

バックアップ先のファイルを R/O フラグにしておくのも一つの手段かも知れません。




-- システムの多様性

今回のニップンのランサムウェア被害で感じた事として、「システムの多様性」はあったのか、という事が気になりました。システムに多様性があると、「何かおかしなことに熱中」する側としては複数の脆弱性を狙った手段を考えなくてはなりません。システムに壊滅的なダメージを与えるアタックの難易度は格段に上がります。

自然環境保護の話題として「多様性」はよく言われますが、システムも全体の多様性も壊滅的なパンデミックを避けるためにも必要なのではないでしょうか。もちろんシステムの多様性は、複雑さとコストの増大を意味するのですが、経営的判断が必要な出費になります。

大きな被害を受けたファイルサーバーや会計システム、バックアップシステムも同じプラットフォームで動いていたのでしょうか。単一のセキュリティ上の問題点を突かれて一挙に全部が「ヤラレタ」という感じがします。

単純な話、運用上のスキルを平準化したいから Windows だけにしよう、となっていたんじゃないかな、と思ってしまう。

もしバックアップシステムが別なプラットフォームで動作していたら、少なくともバックアップが全滅という事はなかったのではないか、と余計な事を考えてしまいます。

-- 仮想化イメージのバックアップ

つくづく SUSE+XEN/KVM を扱ってみて、仮想化システムは重要なBCPプランの一つの回答だな、と考えています。何しろコールドダンプができる訳なので、導入しているお客様の重要で、復旧が面倒なシステムは週次単位で仮想システムのシャットダウンとコールドイメージのコピーバックアップをするようにお勧めしています。

まだ、ベアメタルサーバに直接アプリケーションを導入しているのであれば、是非検討してもらいたいところです。

--

「前例がない程」と言われたニップンへのランサムウェア攻撃。「あり得ない」事は日常もある事です。

いま、対岸の火事として眺めている私達が、「今、お金を掛けずにできる事」を考える機会を与えてくれたように思います。


SUSE Linux から Samba/Windows 共有をマウントしてバックアップ(openSUSE Leap15/SLE15)


by islandcenter | 2021-09-22 14:30 | 雑文 | Comments(0)