バックアップファイルのランサムウェア対策 その② RDXの活用

最終更新日: 2024年1月5日

本コラムでは、イメージバックアップファイルの保存先にRDXを活用し、ランサムウェア感染からデータを守る方法についてご紹介いたします。

ランサムウェアの脅威とその対策方法とは?

ランサムウェア感染は確実に防ぐというのは難しいですが、ランサムウェアに感染してファイルが暗号化してしまった場合にはバックアップファイルから感染前の状態に復元することができます。
しかし、バックアップをとっていても、取得したバックアップファイルがランサムウェアに感染し、暗号化されてしまうと、感染前の状態に復元することができません。

つまり、ランサムウェア対策としてバックアップを取得するだけでなく、取得したバックアップファイルを暗号化されないように守らなければなりません。
ランサムウェアはネットワーク上で感染していくため、バックアップファイルをネットワーク上から物理的に隔離する必要があります。

2021年5月に総務省が発行したテレワークセキュリティガイドライン第5版では、「ランサムウェアの感染に備え、重要な電子データのバックアップを社内システムから切り離した状態で保存する。」と記載されています。

RDXでランサムウェア感染からバックアップファイルを守る!

ランサムウェアからバックアップファイルを守る方法として、RDXの活用が有効です。RDXはカートリッジを入れ替えて使用することができるため、ネットワーク上に接続していない状態のカートリッジをランサムウェア感染から守ることができます。

ActiveImage Protector -REでRDXを保存先にする際のポイント

ActiveImage Protector -REでRDXを保存先にする際には、下記2つの設定を有効にしていただくことを推奨しております。

① 一つのスケジュールで複数の USB デバイスを保存先に設定できるようにする

バックアップ保存先に指定したものとは異なる USB ディスクが、同じドライブ レターで検出された際に保存先として設定可能にするかどうかの設定です。RDXカートリッジを複数入れ替えて使用する場合は、こちらを有効にする必要があります。

② RDXオプションを有効にする

下記でご紹介するRDXオプションを使用する際は、こちらを有効にする必要があります。
RDXオプションを有効にすると、バックアップスケジュールは週単位のみ設定可能です。

ActiveImage Protector –REのRDXオプション

ActiveImage Protector -REのRDXオプションでは、バックアップ終了後に保存先のRDXカートリッジをイジェクト(取り出し)する動作が自動で行われます。
このオプションを使用することで、カートリッジがネットワーク上から切り離されるため、ランサムウェア感染から守ることができます。
ただし、自動でカートリッジが挿入されないため、バックアップスケジュール開始前に手動でカートリッジ挿入を行っていただく必要がありますのでご注意ください。

その他注意事項
  • このオプションが機能するのはタンベルク製もしくはHPE製のRDXです。
  • 事前に RDX Manager をインストールしておく必要があります。
  • 本機能を使用する場合、週単位のスケジュールのみ設定可能です(スケジュールのトリガー追加はできません)。
週単位 指定曜日の最後の増分タスクでのみイジェクトされます。
日単位 フルもしくは増分バックアップで指定時間にイジェクトされます。バックアップ中に指定時間になるとイジェクトは保留されバックアップが終わるとイジェクトされます。
バックアップ終了後 フルもしくは増分バックアップタスク後にイジェクトされます。
イジェクトしない イジェクトしません。

ActiveImage Protector -REの世代管理

ActiveImage Protector REでは「保有ポリシーを有効にする」ことで世代管理を行うことができます。世代管理はバックアップファイルによる保存先の容量不足防止に有効です。

フルバックアップが取得されてから、次のフルバックアップが取得されるまでを1世代として、保存先に残す世代数を設定します。
保有ポリシーを有効にすることで、保存先にある一番古い世代のバックアップファイルから削除されていき、新しい世代のバックアップファイルが保存されていきます。

動画で見る世代管理について

RDXを活用した世代管理

RDXを活用する際、カートリッジごとに世代管理を行うことが可能です。世代管理を行うことで定期的に古いバックアップファイルは削除されるため、カートリッジの容量が圧迫されることはありません。

作業例1)世代数1の場合

  1. カートリッジAに1世代分のバックアップファイル(バックアップセット1)を保存します。
  2. 次のフルバックアップ作成前にカートリッジAを取り外し、カートリッジBを外付けRDXドライブに差し込みます。カートリッジBに1世代分のバックアップファイル(バックアップセット2)を保存します。
  3. また、次のフルバックアップ作成前にカートリッジBを取り外し、カートリッジAを外付けRDXドライブに差し込みます。カートリッジAに新たなバックアップファイル(バックアップセット3)を保存すると、カートリッジAに保存されていた古いバックアップファイル(バックアップセット1)が削除されます。
    世代数1の保有ポリシーに設定しているため、カートリッジ1つにつき1世代分のバックアップファイルを常に保有している状態になります。

作業例2)世代数2の場合

  1. カートリッジAに2世代分のバックアップファイル(バックアップセット1,2)を保存します。
  2. 次のフルバックアップ作成前にカートリッジAを取り外し、カートリッジBを外付けRDXドライブに差し込みます。カートリッジBに2世代分のバックアップファイル(バックアップセット3,4)を保存します。
  3. また、次のフルバックアップ作成前にカートリッジBを取り外し、カートリッジAを外付けRDXドライブに差し込みます。カートリッジAに新たなバックアップファイル(バックアップセット5)を保存すると、カートリッジAに保存されていた古いバックアップファイル(バックアップセット1)が削除されます。
    世代数2の保有ポリシーに設定しているため、カートリッジ1つにつき2世代分のバックアップファイルを常に保有している状態になります。

まとめ

ランサムウェア対策としてバックアップを取得するだけでなく、取得したバックアップファイルを暗号化されないためには、ネットワーク上から物理的にバックアップファイルを隔離していただくことが重要です。

また、隔離する際にはRDXを活用してカートリッジを入れ替える使い方がオススメです!
RDXのカートリッジを入れ替えて世代管理を行うこともActiveImage Protector -REなら可能
ですので、是非お試しください。

この記事を書いた人

名前:桜子
担当プリセールス

入社してすぐにバックアップ製品担当しているフレッシュプリセールス。
レベルアップを目指して日々お問い合わせ奮闘中~

バックアップコラムナンバー