Emotetなどランサムウェア対策のためにMicrosoft 365 データバックアップ対策を検討する

Emotetなどを利用して、攻撃者が企業内のデータを暗号化し利用できなくしたうえで、復号するために金銭を要求する、という攻撃手法が増えています。

金銭を支払わなくても、安全な場所に保管されたバックアップデータを復元することでデータは利用可能になるため、自社で利用しているシステムのデータバックアップは、何らかの方法で取得しておくことが推奨されます。

このブログエントリでは、昨今登場しているMicrosoft以外のメーカーが提供するデータバックアップソリューションの概要説明、次にEmotetのリスク考察とMicrosoft標準機能で実現できるデータバックアップ対策機能、最後に各対策の比較検討を行います。

• Microsoft 365 データバックアップソリューションとランサムウェアについて
  • Microsoft 365 データバックアップソリューションとは?
  • ランサムウェア"ビジネス"の台頭
  • Microsoft 365 データバックアップソリューションはランサムウェア対策になる?
• ランサムウェアのリスク
  • ランサムウェアにやられる時のシチュエーション想定
    • 1. エンドユーザーがランサムウェア感染
    • 2. システムの脆弱性をつかれ、管理者権限が奪われる
    • 3. 意図的な内部からの攻撃
  • シチュエーションまとめ
• ランサムウェア対策の検討
  • 一番大事な対策は"感染しない"。だが、感染した際の対策はデータバックアップしかない
• Microsoft 365 データバックアップを検討する
  • Microsoft 365データバックアップ対象の定義
  • さまざまなデータバックアップ方法
    • 1. Exchange Online ジャーナリング機能
    • 2. OneDrive for Business / SharePoint Online 履歴保持機能
    • 3. Exchange Online / OneDrive for Business / SharePoint Online 保持ポリシー(訴訟ホールド)機能
    • 4. Microsoft 365 データバックアップソリューション
  • データバックアップ方法まとめ
• 保持ポリシー VS Microsoft 365 データバックアップソリューション
  • 侵害シチュエーションでの検討
    • エンドユーザーアカウントの侵害
    • システム管理者アカウントの侵害
  • コストでの検討
  • 使い勝手での検討
• まとめ

Microsoft 365 データバックアップソリューションとランサムウェアについて

Microsoft 365 データバックアップソリューションとは?

Microsoft 365 データバックアップソリューションとは、Microsoft 365 テナント内のデータをソリューション提供ベンダーのデータ保存領域にコピーし、世代管理バックアップするものです。

オンプレミスシステム時代は

• システムのシステムバックアップ
• システムが保管するデータのバックアップ

を両方取るのがセオリーでしたが、クラウド時代、システムはSaaSベンダーが管理、データもSaaS領域に保管されて安全かつ、バックアップを取るにしても大容量データをインターネット越しに保管しなければならず非現実的であるため、SaaSベンダーを信用してデータを預けるのが一般的でした。

これをクラウドであっても3rdパーティー製ベンダーの領域にデータバックアップしよう、というのが今回検討するものです。

ランサムウェア"ビジネス"の台頭

ここ数年、ランサムウェアで企業のデータを暗号化し「復号したけりゃ金払え」と身代金の支払いを迫るクラッカー集団が増加しています。仮にデータがSaaSに保管されても暗号化されてしまっては意味がありません。そこで別領域にデータを保管して、万が一の事態に別領域からリストアできるようにしておきましょう、というのが、Microsoft 365 データバックアップソリューションを提供するメーカーの売り文句、というわけです。

※ これ以外にもクラウド側のデータ損失・障害での閲覧不可に備えたニーズを売り込んでいますが、大手クラウドでのデータ損失事件はほぼなく、障害があっても数時間で復旧することが普通なので、このブログエントリでは主にランサムウェアについて論じることとします。

Microsoft 365 データバックアップソリューションはランサムウェア対策になる?

ベンダーの宣伝資料には「ランサムウェアにやられたときの被害は数億円！(だからウチのサービスを数100万円で導入した方がいいですよ)」と謡われています。しかしながら、今までMicrosoft 365 にデータを預け、問題なく運用してきたのに、万が一のために数100万～数1000万のお金を支払ってバックアップを取る意味があるのでしょうか。正直もったいなくないですか?

…と思うので、

• ランサムウェアのリスク
• Microsoft 365 データバックアップソリューション他、複数の対応策比較

をして、コストメリットを確認したいと思います。

ランサムウェアのリスク

ランサムウェアにやられる時のシチュエーション想定

まずは「ランサムウェアにやられた！」という世の中の事例より、どのようなパターンがあり得るのかを検討します。

1. エンドユーザーがランサムウェア感染

例えば、エンドユーザーが怪しいメールの添付ファイルを開封したらEmotetだった、といったケースです。ウイルスの種類にもよりますが、一般的には同じネットワークあるいは組織のユーザーにも同等の攻撃を仕掛け、どんどんと暗号化する範囲を増やそうとします。

2. システムの脆弱性をつかれ、管理者権限が奪われる

なんらかのぜい弱性を利用され管理者権限が漏洩するなど、管理者権限が奪われる場合です。あるいは、上記エンドユーザーがやられるパターンで感染が広がり、管理者権限を持つアカウントも感染してしまったケースもここに含まれます。

この場合、管理者権限が制御されるので理論上は全てのデータ・システムが攻撃者の手に落ち、身代金を払わなければデータもシステムも戻ってきません。最近相次いでいる病院に対する攻撃では、電子カルテの閲覧システムが暗号化され、システム復旧のために再構築が必要となった事例もあります。

幸いSaaSの場合、システムはSaaS提供者 = Microsoftが管理しているので、ランサムウェアによって暗号化されることはないため考慮する必要はありませんが、データが暗号化されるリスクは考慮が必要です。

3. 意図的な内部からの攻撃

今までは考えられませんでしたが、内部ユーザーが意図的にランサムウェアをばらまき、社内のデータを暗号化してしまうリスクもあります。どういうことかと言うと、昨今のランサムウェア攻撃では、SNS上で「このツールを使ってあなたの組織のデータを暗号化してくれたら、組織が支払った身代金を3割あげる！」など"闇バイト"のような勧誘が行われています。

このような誘いに乗る内部ユーザーがいた場合、どんなに外部からの攻撃を警戒していてもランサムウェアにやられてしまう可能性があります。

シチュエーションまとめ

シチュエーション例	侵害されるアカウント	侵害されるファイル
エンドユーザーがランサムウェア感染、意図的な内部からの攻撃	エンドユーザー	エンドユーザーがアクセスできる範囲のファイル
管理者アカウントがランサムウェア感染、システムの脆弱性をつかれる、意図的な内部からの攻撃	管理者	組織内のすべてのファイル

自社のシステムセキュリティに自身があり、性善説を信じるのであれば、ランサムウェア被害を考慮しなくてもよいかもしれませんが、システムが堅牢でも悪意のあるユーザーが1人でもいればランサムウェア被害の可能性は排除できない、と考えると「自社は全く無関係」と言い切れる人は少ないと考えます。

---

ランサムウェア対策の検討

ここからはランサムウェアの攻撃を受けた場合の対策と、その有用性について検討を行います。

一番大事な対策は"感染しない"。だが、感染した際の対策はデータバックアップしかない

データバックアップについてこれから話しますが、データバックアップよりも大事なのは多要素認証でアカウントを保護する、EDR検知を行うなど、基本的なセキュリティ対策です。仮にこれらをやらず「ランサムウェア対策のためにデータバックアップをやるんだ！」となるのはナンセンスです。

データをバックアップしてればランサムウェアに感染していい、というわけではありません。データリストアだってすぐできるわけではありませんから、業務停止影響は絶大です。

基本的なセキュリティ対策は当然しっかりやる必要があります。その上で…。不幸にもランサムウェアに感染してしまったら、データを復元する手段はデータバックアップからのリストアしかありません。

Microsoft 365 データバックアップを検討する

Microsoft 365データバックアップ対象の定義

Microsoft 365のどのデータを守るかについては各社優先度があると思いますが、基本的にはユーザーデータのうちで重要な

• Exchange Online メールボックス
• SharePoint Online/OneDrive for Business ストレージ領域

の2つが最優先事項になると思います。

次点は

• Microsoft Teams 個人チャット
• Microsoft Teams チャネルメッセージ
• Microsoft List

などですが、一般論としてExchange OnlineやSharePoint,OneDriveと比べて重要なデータが保管されている確率は少ないため、このブログエントリではExchange Online,SharePoint,OneDriveの保護を考えます。

さまざまなデータバックアップ方法

ここからはMicrosoft 365に標準的に備わっているデータバックアップ・データ保護方法から、サードパーティー製品と組み合わせて利用できるソリューションまでを並べて比較していきます。

1. Exchange Online ジャーナリング機能

Exchange Onlineで利用できるデータ保持機能です。よく間違えられますが、Exchange Online アーカイブとは別機能なので注意が必要です。

Exchange Online でのジャーナリング | Microsoft Learn

仕組みとしては、組織内のメールボックスでやり取りされたメール全てを、改ざん不可能な状態で別メールサーバーに保管する、というものです。古くより(2000年代)利用されてきたソリューションであり、 一度保管したら保管期間が過ぎるまで絶対に消すことが出来ません 。

オンプレミスExchange時代のエンタープライズ利用においてはほぼ必須の仕組みでしたが、別メールサーバーを用意するコストがかかる事が欠点でした。Microsoft 365になってからは後述の保持ポリシー(訴訟ホールド)がライセンスによっては無償で利用できるため、代替されることが増えました。

2. OneDrive for Business / SharePoint Online 履歴保持機能

OneDrive for Business / SharePoint Onlineに実装されている世代管理機能です。ファイルサーバーのVSS（ボリュームシャドウコピーサービス）のように、ユーザーがファイルを保管したタイミングでスナップショットを取得し、編集ミスなどが発生した際に任意のタイミングに戻せる、というものです。

ただし、本機能はユーザーの利便性向上を目的にしたものであり、消そうと思えばユーザー自身がファイルの履歴を消せてしまうので、証跡目的で使うのは難しいです。

3. Exchange Online / OneDrive for Business / SharePoint Online 保持ポリシー(訴訟ホールド)機能

Microsoft 365に実装されているデータガバナンス機能です。指定した領域を指定した期間データ保持し、ユーザーがファイルを削除・改ざんしたとしても管理領域(アイテム保管ライブラリ)で元ファイルを保存し続ける仕組みです。

※ 図はSharePoint Online / OneDrive for Businessでの保持方法。Exchange Onlineの内部処理はこれとは異なりますが、保持する機能は同じです

Exchange Onlineのみ利用できる"訴訟ホールド"という似たような機能が有名であるため、訴訟ホールドと呼ぶエンジニアもいますが、正確には別物です。このブログエントリでも、ここからは"保持ポリシー"と呼ぶことにします。

本機能はMicrosoft 365系ライセンスのうち、E3以上のライセンスを保有していれば利用できます。

※ 細かくはExchange Online ArchiveライセンスやExchange Online P2系ライセンスなどありますが、ここでは割愛します

4. Microsoft 365 データバックアップソリューション

本エントリで取り上げる機能であり、冒頭で記載した通りデータバックアップソリューション提供ベンダーのデータ保存領域にコピーして、世代管理バックアップを行うソリューションです。

データバックアップ方法まとめ

データ保護機能	データ保護対象	必要なMicrosoft 365ライセンス	エンドユーザーによるデータ改ざん
Exchange Online ジャーナリング機能	Exchange Online	問わない	不可
OneDrive for Business / SharePoint Online 履歴保持機能	OneDrive for Business / SharePoint Online	問わない	可
Exchange Online / OneDrive for Business / SharePoint Online 保持ポリシー機能	Exchange Online / OneDrive for Business / SharePoint Online	E3,E5系統	不可
Microsoft 365 データバックアップソリューション	Microsoft 365全体(製品による)	問わない	不可

以上より、データ保護機能としては

• Exchange Online / OneDrive for Business / SharePoint Onlineすべてに対応している
• ユーザーによるデータ改ざんが不可

という理由で、

• 保持ポリシー
• Microsoft 365 データバックアップソリューション

に絞って考えていけばよいでしょう。

---

保持ポリシー VS Microsoft 365 データバックアップソリューション

まず、Microsoft E3/E5系ライセンスを持たない場合は、Microsoft 365データバックアップソリューション一択なので、前提としてMicrosoft E3/E5系ライセンスを持っている場合にどちらを選ぶか、を考えます。

侵害シチュエーションでの検討

エンドユーザーアカウントの侵害

評価：引き分け

エンドユーザーアカウントが侵害され、アクセスできる範囲のファイルをランサムウェアによって暗号化されてしまった場合です。両機能ともエンドユーザーによるデータ改ざんに対応していることもあり、暗号化されたファイルをバックアップから復号することは可能です。

システム管理者アカウントの侵害

評価：Microsoft 365 データバックアップソリューション。だが…

仮にシステム管理者アカウントが侵害された場合、攻撃者がファイルを暗号化したうえで身代金を要求するならば、同時にバックアップされているファイルの削除も考えるでしょう。保持ポリシーを利用している場合、管理者画面から設定を行うことで簡単に解除・データ削除できるため、データは守れないと考えた方がいいでしょう。

一方、サードパーティーのMicrosoft 365 データバックアップを利用している場合、利用アカウントがMicrosoft 365のシステムアカウントと異なる場合、データは改ざんされず守られることになります。また、攻撃者がデータバックアップシステムのログインID/Passwordを手に入れた場合でも、バックアップシステムにデータ消去機能がない場合は、データは守られることになります。

以上の点より、システム管理者アカウントの侵害に対しては、保持ポリシーよりMicrosoft 365 データバックアップの方が強いとなります。

が、個人的にはこれでMicrosoft 365 データバックアップの有利不利を決めるのはナンセンスだと考えます。

というのは、システム管理者アカウントは

• 絶対に侵害されないような運用を行うべきであり
• 仮に侵害されたとしても、すぐに対応できる体制を取る

べきだろうと思うからです。

前述のシチュエーションで上げた通り、機器の脆弱性や意図的な内部からの攻撃によってシステム管理者権限が侵害される可能性もありますが、例えばE5ライセンスを持っているならAzure AD Privileged Identity Management (PIM)による管理者アカウント管理などができるので、データバックアップよりもそちらの導入を先にすべきだと考えます。

システム管理者アカウントが攻撃者の手に渡ったけど、データは無事だったからオッケー、とはならないのです。

そういった事を差し置いて「システム管理者アカウントの侵害に強いから、Micorosoft 365 データバックアップソリューションを採用！」とするのはどうなのかな…、と思います。

コストでの検討

評価：容量に余力があるなら保持ポリシー。そうでなければ価格比較が必要

既にMicrosoft 365 E3/E5を契約している顧客の場合、保持ポリシーは設定すればライセンス範囲内で利用できます。一方、サードパーティー製のMicrosoft 365 データバックアップは多大な費用がかかるのが一般的です。

つまり、コストだけで見れば保持ポリシーに軍配が上がりますが…。

Microsoft 365で利用できるデータは以下の通り。

• Exchange Online；1ユーザー 100GB + 最大 1.5 TB
• OneDrive for Business：1ユーザー 1TB
• SharePoint Online：組織全体で 1TB + 10GB × ユーザー数

これはユーザーが利用できる領域だけでなく、保持ポリシーにて保持される容量も含まれます。

一般的な使い方でExchange Online、OneDrive for Businessが枯渇する事は少ないと思われますが、問題はSharePoint Online。いちユーザー当たりの割り当て容量が少なく、容量が枯渇しがちです。

SharePoint Onlineの領域をどれだけ利用しているかは各社によって異なるため、気になる方は自社のSharePoint Online管理センターより、現在の容量総計の確認をお勧めします。

余力があればしばらくは保持ポリシーを使えばいいですし、容量がひっ迫しているようならMicrosoft 365 の SharePoint容量を増やすべく課金するか、Microsoft 365 データバックアップソリューションの購入を検討するか、予算を見ながら決めればいいでしょう。

使い勝手での検討

評価：製品による

ランサムウェア被害にあってしまった時に、目的のデータを素早くリストアが評価ポイントです。

保持ポリシーの場合、Microsoft Purviewのコンテンツの検索または電子情報開示(eDiscovery)を利用します。

リリース当初は検索が遅く使いづらかったですが、2022年11月に検索画面が一新されジョブの同時実行も可能となりました。また、SharePoint Online / OneDrive for Businessで保持されたファイルをリストアする際、バージョンが複数あれば個別のファイルとして表示されてしまった仕様も改善され、1つのファイルとして扱われるようになるなど改善が進んでいるため、昔のイメージを持っている方は、一度触ってみる事をお勧めします。

E5ライセンスを保有している場合、Premium版のeDiscoveryが利用でき、標準のeDiscoveryよりも高性能・高速な検索が可能です。

• Microsoft Purview コンプライアンス ポータルでのコンテンツ検索と電子情報開示 (標準) の制限 - Microsoft Purview (compliance) | Microsoft Learn
• 電子情報開示 (プレミアム) の制限 - Microsoft Purview (compliance) | Microsoft Learn

例として、通常版のeDiscoveryでは組織内の 1 日あたりのジョブの最大数が500に制限されていますが、Premium版は制限がありません。逆に言うと、標準のeDiscoveryしか使えない会社は、1日あたりに500ジョブでランサムウェア被害にあい、すべてのデータをリストアした際に果たして問題ないのか?を確認する必要があります。

サードパーティー製のMicrosoft 365データバックアップソリューションの使い勝手はソリューションによって違うためここで論じるのは難しいですが、どちらにせよ、リストア時の要件を定義し、電子情報開示(eDiscovery)で出来る事と比較しながら性能を見極める必要があります。

まとめ

比較項目	保持ポリシー	Microsoft 365 データバックアップソリューション
侵害シチュエーションの検討：エンドユーザーアカウントの侵害	○対応	○対応
侵害シチュエーションの検討：システム管理者アカウントの侵害	×攻撃者にポリシーを解除された場合、リストア不可	△製品仕様による
コスト	○容量に余力があれば無料	×有料
使い勝手	○よくなっているが、eDiscovery性能要件のチェックが必要	○製品による。ランサムウェア被害時のリストア作業を想定した性能要件のチェックが必要

• アカウント侵害対策については両社ほぼ互角と言っていいでしょう。
• コスト面では、SharePoint Online容量に余力のある組織の場合、保持ポリシーを設定するのがよいでしょう。
• SharePoint Onlineの領域が枯渇しそうな組織の場合、Microsoft 365に課金してSharePoint Onlineの容量を追加するか、Microsoft 365 データバックアップ製品にライセンス費を払うのかの二択となります。Microsoft 365 データバックアップ製品はデータ保存容量が格安、あるいは無制限の製品を選ぶのがいいでしょう。
• 使い勝手については主観もあるので比較しづらいですが、実際に製品を触って大量データを簡単にリストアできるかを確認するのがよいでしょう。