Azure Backup はどこまでランサムウェアに対抗できるの？

Azure Backup はどこまでランサムウェアに対抗できるの？ Murachi Akira aka Hebikuzure

About me • Murachi Akira aka hebikuzure ( 村地彰
) • 株式会社エクシードワン技術フェロー • 株式会社シーピーエス技術教育スペシャリスト • 専門学校東京テクニカルカレッジ非常勤講師 • Microsoft MVP (Most Valuable Professional) • Since Apr. 2011 ( 14 Years! ) • Award Category: Windows and Devices - Windows Cloud and Datacenter Management – Windows Server • Expertise • Windows client / user management and security • Microsoft 365, Active Directory, Microsoft Endpoint Manager https://www.linkedin.com/in/akiramurachi/ https://www.facebook.com/amurachi/ https://x.com/hebikuzure 2024/7/27 2 Murachi Akira aka Hebikuzure

2024/7/27 Murachi Akira aka Hebikuzure 3 ランサムウェア

2024/7/27 Murachi Akira aka Hebikuzure 4 感染しないのが一番

2024/7/27 Murachi Akira aka Hebikuzure 5 でもやられる時はやられる

2024/7/27 Murachi Akira aka Hebikuzure 6 そんな時は…

2024/7/27 Murachi Akira aka Hebikuzure 7 バックアップから復元だ！

2024/7/27 Murachi Akira aka Hebikuzure 8 しかし…

2024/7/27 Murachi Akira aka Hebikuzure 9 バックアップも暗号化されていたら…

バックアップが暗号化されるパターン •ランサムウェアがバックアップのストレージまで暗号化した •既に暗号化されたデータのバックアップで、すべてのバックアップ世代が埋まっていた 2024/7/27 Murachi Akira aka Hebikuzure
10

バックアップのストレージまで暗号化 •バックアップデータへのアクセスが容易だった •バックアップデータのアクセス権が簡単に取得できた •オフラインのバックアップデータが無かった 2024/7/27 Murachi Akira
aka Hebikuzure 11

すべてのバックアップ世代が暗号化 •バックアップ頻度に比べてバックアップ世代が少なかった 2024/7/27 12 Murachi Akira aka Hebikuzure

2024/7/27 Murachi Akira aka Hebikuzure 13 バックアップを安全に守る！

ランサムウェアの被害実態 2024/7/27 Murachi Akira aka Hebikuzure 14 サイバー空間をめぐる脅威の情勢等｜警察庁Webサイト (npa.go.jp)

2024/7/27 Murachi Akira aka Hebikuzure 15 企業・団体等におけるランサムウェア被害の報告件数の推移警察庁「令和５年におけるサイバー空間をめぐる脅威の情勢等について」より引用

2024/7/27 Murachi Akira aka Hebikuzure 16 警察庁「令和５年におけるサイバー空間をめぐる脅威の情勢等について」より引用感染経路

2024/7/27 Murachi Akira aka Hebikuzure 17 警察庁「令和５年におけるサイバー空間をめぐる脅威の情勢等について」より引用企業・団体等の規模別報告件数企業・団体等の業種別報告件数

2024/7/27 Murachi Akira aka Hebikuzure 18 警察庁「令和５年におけるサイバー空間をめぐる脅威の情勢等について」より引用ランサムウェアの感染経路

2024/7/27 Murachi Akira aka Hebikuzure 19 復旧に要した期間調査・復旧費用の総額警察庁「令和５年におけるサイバー空間をめぐる脅威の情勢等について」より引用

2024/7/27 Murachi Akira aka Hebikuzure 20 警察庁「令和５年におけるサイバー空間をめぐる脅威の情勢等について」より引用バックアップ取得の有無バックアップからの復元結果

2024/7/27 Murachi Akira aka Hebikuzure 21 バックアップしていても 8割以上復元できない

2024/7/27 Murachi Akira aka Hebikuzure 22 バックアップ＝「安心」ではない

バックアップに求められるもの •適切な間隔での自動的なバックアップの取得 • 完全性の検証（復元可能性検証） •バックアップデータの分離（通常の環境から切り離し） • アクセスの厳密な制御 •バックアップデータの安全性の確保 • バックアップデータに対する監視と警告
2024/7/27 Murachi Akira aka Hebikuzure 23

Azure Backup 2024/7/27 Murachi Akira aka Hebikuzure 24

2024/7/27 Murachi Akira aka Hebikuzure 25 以下の記事も参考にしてください ※私が中の人をやっている記事です • iDATEN(韋駄天)｜
Azure 第10回『やってみようシリーズ：Azure Backupを使ってみよう！』 https://www.idaten.ne.jp/portal/page/out/secolumn/multicloud/column035.html • iDATEN(韋駄天)｜ Azure 第19回『Azure Backupでランサムウェア対策をしよう』 https://www.idaten.ne.jp/portal/page/out/secolumn/multicloud/column046.html Microsoft のドキュメント • Azure Backup とは - Azure Backup | Microsoft Learn https://learn.microsoft.com/ja-jp/azure/backup/backup-overview • Azure Backup の概要 | Japan CSS ABRS Support Blog !! (jpabrs-scem.github.io) https://jpabrs-scem.github.io/blog/AzureBackupGeneral/Backup_Overview/

Azure Backup でバックアップできるもの • オンプレミス – ファイル、フォルダー、システム状態、VM (Hyper-V と VMware)
、ワークロード • Azure VM - Windows VM または Linux VM • Azure Managed Disks • Azure Files 共有 • Azure VM 内の SQL Server • Azure VM 内の SAP HANA データベース • Azure Database for PostgreSQL サーバー • Azure BLOB • Azure Database for PostgreSQL フレキシブルサーバー • Azure Kubernetes Service 2024/7/27 Murachi Akira aka Hebikuzure 26

Azure Backup の全体構成 2024/7/27 Murachi Akira aka Hebikuzure 27

Azure Backup のセキュリティ 2024/7/27 Murachi Akira aka Hebikuzure 28

自動的なバックアップの取得 2024/7/27 Murachi Akira aka Hebikuzure 29

曜日と時刻の指定 2024/7/27 Murachi Akira aka Hebikuzure 30

詳細なバックアップポリシー 2024/7/27 Murachi Akira aka Hebikuzure 31

完全性の検証 • 仮想マシンを使って簡単に検証可能 2024/7/27 Murachi Akira aka Hebikuzure 32

バックアップデータの分離 2024/7/27 Murachi Akira aka Hebikuzure 33

アクセスの厳密な制御 •多要素認証 • 条件付きアクセス •RBAC による最小権限構成 • マルチユーザー承認 2024/7/27 Murachi
Akira aka Hebikuzure 34

RBAC による最小権限構成 •変更の操作が行えないロール • 削除の操作が行えないロール 2024/7/27 Murachi Akira aka Hebikuzure
35 役割主な行える操作主な行えない操作 Backup Contributor (バックアップ共同作成者) バックアップの作成と管理のすべての操作 Recovery Services コンテナーの削除 Backup Operator (バックアップオペレーター) バックアップの有効化バックアップの復元バックアップの削除バックアップポリシーの変更 Backup Reader (バックアップリーダー) バックアップ管理操作の確認バックアップ設定の確認すべての変更の操作

マルチユーザー承認 2024/7/27 Murachi Akira aka Hebikuzure 36 https://learn.microsoft.com/ja-jp/azure/backup/multi-user-authorization-concept から引用

安全性の確保 •論理的な削除 • 不変コンテナー •不変性のロック 2024/7/27 Murachi Akira aka Hebikuzure
37

論理的な削除 2024/7/27 Murachi Akira aka Hebikuzure 38

不変コンテナー • 以下のようにコンテナーへの操作が制限される 2024/7/27 Murachi Akira aka Hebikuzure 39 結果
禁止禁止データ保持期間を短縮する修正禁止データ保持期間を延長する修正許可バックアップスケジュールの変更許可データ保持期間の短かいポリシーへの変更禁止データ保持期間の長いポリシーへの変更許可バックアップポリシーの修正バックアップポリシーの変更操作データの削除バックアップの停止

不変性のロック • 一度有効にした不変コンテナーを無効に戻せなくする 2024/7/27 Murachi Akira aka Hebikuzure 40 不変コンテナーの
設定の状態説明無効コンテナーで不変性は有効になっておらず、操作はブロックされません。有効コンテナーで不変性が有効になっており、バックアップが失われる可能性のある操作は許可されません。ただし、この設定は無効にすることができます。有効でロック済みコンテナーで不変性が有効になっており、バックアップが失われる可能性のある操作は許可されません。不変コンテナーの設定はロックされているので、無効にすることはできません。不変性のロックは元に戻すことができないので、ロックするときは、よく理解した上で決定してください。

監視と警告 •バックアップセンター • Azure Monitor 2024/7/27 Murachi Akira aka
Hebikuzure 41

バックアップセンター 2024/7/27 Murachi Akira aka Hebikuzure 42

Azure Monitor •セキュリティとジョブの失敗についてのアラート • セキュリティ：バックアップデータの削除や保持期間の短縮などデータの保全に関わる動作 • ジョブの失敗：バックアップの失敗や復元の失敗

まとめ 2024/7/27 Murachi Akira aka Hebikuzure 44

Azure Backup による安全なバックアップ •定期自動バックアップの構成 • バックアップの完全性の検証 •バックアップデータの分離 • バックアップデータに対するアクセスの厳密な制御 •バックアップデータの安全性の確保
• バックアップデータに対する監視と警告 2024/7/27 Murachi Akira aka Hebikuzure 45

Azure Backup のメリット •完全従量制 •フルマネージドサービス •すぐに開始できる • 特別な機器やネットワーク設定変更は不要 •安全なバックアップのための機能

2024/7/27 Murachi Akira aka Hebikuzure 47 ありがとうございました

Azure Backup はどこまでランサムウェアに対抗できるの？

Azure Backup はどこまでランサムウェアに対抗できるの？

More Decks by Murachi Akira

Other Decks in Technology

Featured

Transcript