データは重要で、替えの利かない資産です。データのバックアップが欠かせないことは理解していても、Amazon Web Services(AWS)などのプラットフォームでクラウドバックアップを運用する際には、若干の複雑さを伴うことがあります。このAWSバックアップガイドでは、重要なAWSワークロードを保護するために問題を回避する方法についてご説明します。
AWSはクラウドコンピューティングの最大手であり、32%の市場シェアを誇ります。そのため、ビジネスのインフラ、ストレージ、データ管理にAWSを利用している企業は少なくありません。しかし、AWSをはじめとするすべてのクラウドプロバイダーは、セキュリティに関して責任共有モデルを採用しています。 そのため、AWSは自社のクラウドインフラ(ハードウェアやネットワークなど)のセキュリティを担います。ただし、AWSクラウドに置かれるすべての要素については、AWSユーザーが責任を負うことになります。
これには、データのセキュリティやバックアップも含まれます。漏れのないバックアップと保護を実現するには、どうすればよいでしょうか。
AWSバックアップのベストプラクティス
ITの専門家は、AWSデータのバックアップに関する多数のベストプラクティスを構築し、改善してきました。その多くはセキュリティに関するものです。要するに、バックアップは、ランサムウェアなどのサイバー脅威を軽減するための対策です。ただし、バックアップデータ自体も悪意のある攻撃者の標的となります。
ネイティブバックアップとサードパーティバックアップの比較
よく聞かれる質問に、「AWSにはAWS Backupが用意されているのではないですか?」というものがあります。まずは、その疑問にお答えします。確かに、そのとおりです。ただし、AWS Backupの特性を把握し、その制限事項を理解しておくことが有用です。
AWS Backupのメリットとしては、幅広いワークロードに対応しています。さまざまなAWSリソースのバックアップが可能です。また、すでにAWSを利用していれば比較的簡単に導入できると考えられています。さらに、バックアップと復元を1つのベンダーに一本化できるというメリットもあります。
それでもなお、AWSのサードパーティ製バックアップソリューションを検討する価値はあります。サードパーティ製の代替ソリューションには、バックアップ・復旧ソリューションに求められる他の機能も備わっています。以下が主な機能です。
高度なセキュリティ機能(例:機密性の高いデータの特定、ランサムウェアの検知)
マルチクラウドやハイブリッドクラウドアーキテクチャに対応したバックアップと復元のプロセス(AWS Backup単体では対応不可能)
低価格帯のバックアップストレージオプション
高い可視性、詳細なガバナンス、複数のAWSアカウントとリージョンの簡素化されたバックアップ管理
EC2、S3、Amazon Elastic Block Store(Amazon EBS)、Amazon Relational Database Service(RDS)など、AWSワークロードのすべての範囲にわたるデータのバックアップと復元を処理できる機能上の利点。
サードパーティバックアップが持つこれらのメリットにより、AWSのバックアップにかかる総所有コスト(TCO)を削減できます。
セキュリティの責任共有
セキュリティに責任共有モデルが適用されることを踏まえると、AWSにおけるバックアップと復元のセキュリティ面に細心の注意を払うことがベストプラクティスとなります。クラウドデータ保護の観点から見ると、バックアップされたファイルはハッカーにとって格好の標的となります。それを防御するのはユーザー側の責任です。バックアップには、他の重要なITシステムと同等の厳格なセキュリティを適用することが推奨されます。
ランサムウェアは、バックアップデータにとって最も危険な脅威であると言えます。最適な対策を検討するにあたっては、Amazonプラットフォームにおけるランサムウェアのリスクに関してAmazonが実施した調査が参考になります。AWSのカスタマーインシデント対応チーム(CIRT)によるランサムウェア攻撃の調査によると、ランサムウェア攻撃に至る最も一般的な要因は「Identity and Access Management(IAM)アクセスキーの意図しない開示」であることが明らかになりました。認証情報を盗み出したハッカーは、AWSバックアップインスタンスに簡単に侵入できます。これは、AWS上のデータに影響を与える可能性がある多くの脆弱性のうちの1つです。
セキュリティに関するベストプラクティスは他にもあります。
認証情報管理:複数のクラウドやオンプレミス環境にわたってユーザー認証情報を管理・保護するIAMソリューションと、バックアップ機能を連携させます。
多要素認証(MFA):MFAを適用することで、悪意のあるユーザーが、未承認のデバイス上のバックアップデータにアクセスするために認証情報を盗んで悪用するのを防ぎます。
ロールベースアクセス制御(RBAC):可能な限り、アクセス権限をロールに基づいて簡素化・整理することで、過剰な権限付与や元従業員の権限解除漏れの可能性を軽減できます。
データ暗号化:AWSに保管されているデータを暗号化することで、データ侵害による影響を軽減できます。
暗号化用のAWS Key Management Service(KMS):KMSを利用することで、悪意のある攻撃者によるキーの悪用や、それに伴うデータへの不正アクセスのリスクを軽減できます。
ゼロトラスト設計:デフォルトではバックアップシステムへのアクセスを拒否し、ユーザーIDとデバイスの厳密な検証が完了した場合にのみ許可します。
バックアップの論理的分離:バックアップを分離して「エアギャップ」を設ける、という論理的手段により、攻撃者によるバックアップデータへのアクセスを確実に防ぎます。
AWSバックアップベンダーを選定する際のポイント
効果的なAWSバックアップベンダーを選ぶには、バックアップと事業継続に関する目標を支援できるかどうかが重要です。例えば、低価格帯のクラウドストレージオプションが用意されているか、AWS以外のプラットフォームから作業できるか、などが挙げられます。管理が簡単なソリューションを選ぶべきで、理想としては自動化機能が充実していることが望まれます。
多くの企業に共通する要件としては、RTOとRPOをほぼゼロに抑えつつ、複数のクラウドとオンプレミスのストレージ環境にわたってデータを管理・保護できるAWSバックアップソリューションが求められます。
低価格帯のクラウドストレージオプション
AWS Backupでは、ユーザーがバックアップデータを低価格帯のストレージに保存することはできません。そのため、バックアップを保管するだけで多額の費用がかかってしまうということになりかねません。2024年に入り、このようなコストの問題に対する解決策を求めるIT部門が増えています。解決策はすぐそばにあります。AWSには、必要なパフォーマンスに応じて価格帯が異なるストレージオプションが用意されています。適切なサードパーティバックアップベンダーを利用すれば、そのような低価格帯のストレージオプションだけでなく、他のクラウドストレージサービスにもバックアップを保存できます。
ポリシーベースの自動化による管理の簡素化
理想的には、すべてのワークロードに対応するバックアップと復元の機能をシンプルかつ効率的に管理できるAWSバックアップベンダーを選ぶべきです。その一例としては、すべてのワークロードを自動的に検出し、共通のデータ保護ポリシーを用いて基本バックアップを確立する機能が挙げられます。
ポリシーによって自動プロセスを制御する必要があります。例えば、データの種類に基づいて一定の保持期間を設定するポリシーを採用している場合は、すべてのAWSデータに対してそのポリシーを自動適用できるソリューションのあるAWSバックアップベンダーを選ぶべきです。
RTOとRPOをほぼゼロに抑える高速復旧
AWSバックアップベンダーには、高速な復旧機能を備えていることが求められます。実績のあるアプローチの1つに、最も必要なアプリ、ファイル、オブジェクトを対象とした大規模な「外科的」復旧があります。重要性の高いデータを優先することで、業務の復旧時間を短縮できます。
目標復旧時間(RTO)と目標復旧時点(RPO)を可能な限り短くすることを目指とすべきです。RTOとは、障害が発生してから、その影響を受けたシステムが復旧するまでの時間を指します。RPOとは、障害や操作によってそれ以降のデータが失われた時点を指します(例:障害発生後に復旧可能な直近のトランザクション)。外科的なデータ復元プロセスを活用することで、RTOとRPOをほぼゼロに近付けることが可能です。
データの脅威分析
バックアップデータを脅威から守るには、常に警戒することが求められます。IAMやデータ損失防止(DLP)ソリューションとの連携、Security Orchestration Automation and Response(SOAR)などのセキュリティツールとの統合といった対策を備え、このプロセスを支援できるAWSバックアップベンダーを選ぶべきです。さらに、データの脅威分析が可能で、データポスチャを継続的に監視して機密性の高いデータの漏洩を検知できる機能も必要です。
例えば、従業員が誤ってマルウェアに感染したファイルをAWSに保存してしまう可能性があります。その場合、ファイルはS3バケットにバックアップされ、アクティブになるまで潜伏することになります。このマルウェアの影響を軽減するには、まずその存在を認識することが必要です。つまり、バックアップデータをスキャンし、脅威のシグネチャーを検索したうえで、リスクに対応できる適切な担当者に通知する必要があります。
法令遵守の支援
バックアップは法令遵守の観点からも重要です。特に、データセットに個人識別情報(PII)、医療データ、プライバシー規制の対象となるその他の種類のデータが含まれている場合は注意が必要です。法令遵守監査では、クラウドストレージとバックアップの両方が対象となります。そのため、監査への対応など、法令遵守プロセスを支援できるAWSバックアップベンダーを選ぶべきです。