🚀 新しいCSOonline.comのハイブリッド検索:🔍 CSOのコンテンツをよりスマートに、より速く、AIパワーで探索しましょう。✨
オピニオン
2025年9月24日8分
ストレージセキュリティゼロトラスト
バックアップは安全だと思っていませんか?攻撃者はそうは思いません。ストレージのゼロトラストこそが、あなたと災害の間に立つ唯一のものかもしれません。
私がストレージ層にゼロトラストの原則を本気で適用しようと考え始めたのは、ホワイトペーパーやベンダーのプレゼンがきっかけではありませんでした。今でも夜眠れなくなるほどのランサムウェア事件を目の当たりにしたからです。攻撃者は本番システムだけでなく、バックアップも標的にしました。その瞬間、私たちは本当のレジリエンスがどうあるべきかを見誤っていたことに気づきました。
この衝撃的な経験が私に教えてくれたのは、ストレージ層がゼロトラスト対応でなければ、それ以外のすべてが砂上の楼閣だということです。これはもはや理論ではありません。2024年2月に起きたChange Healthcareの事件を見てみましょう。攻撃者はデータを暗号化するだけでなく、適切に隔離されていなかったバックアップを標的にして、組織の復旧能力そのものを体系的に破壊しました。数か月に及ぶ混乱。数十億ドルの損失。すべてはストレージが信頼された後回しの存在として扱われていたからです。
数字は恐ろしいものです。ランサムウェア攻撃はますます頻繁かつ深刻になっています。攻撃が増えているだけでなく、より巧妙になっています。今日のランサムウェアは、単にファイルを暗号化するだけでは満足しません。Qilinのような亜種は、バックアップを探し出して破壊するために作られています。Dire Wolfはさらに進んで、技術的に復旧を不可能にします。犯罪者たちはRansomware-as-a-Serviceのようなプラットフォーム、たとえばMedusaを使い、私たちが常に頼りにしてきた唯一のもの、つまり「復旧能力」を標的にしているのです。
なぜストレージがアキレス腱であり続けるのか
長年にわたり、ネットワーク、アイデンティティ、アプリケーションにゼロトラストを導入してきた中で、私は常に同じパターンを目にしてきました。ストレージはほぼ毎回見落とされるのです。
この状況が繰り返される理由は3つあると私は考えています:
- ストレージは「見えない」存在に感じられる。 多くのチームはストレージを「バックエンドインフラ」、つまりただそこにある受動的なものと見なしています。しかし実際には、MITRE ATT&CKの手法、たとえばT1485(データ破壊)やT1490(システム復旧の妨害)は、ストレージを明確に標的にしています。攻撃者はどこを狙えばいいかを正確に知っており、私たちはストレージを戦場ではなく背景として扱い続けているのです。
- 本当に複雑である。 複数のクラウドプロバイダー、リージョン、オンプレミスシステム全体で一貫したポリシーを適用しようとするとどうなるでしょうか。ストレージの全体像を把握するだけで何か月もかかるチームも見てきました。ましてやそれを保護するとなると…。
- 誤った前提を受け継いできた。 長年にわたり、私たちは「アプリケーションが安全ならデータも信頼できる」と考えてきました。しかし攻撃者がアプリケーションを迂回してストレージAPIに直接アクセスしたらどうなるでしょうか?ゲームオーバーです。
実際に効果のある3つの原則
複数の組織でストレージ層のゼロトラストを導入した結果、私はこの課題を3つのリーダーシップ原則に基づいて整理し、経営層に戦略的な成果として理解してもらうことの重要性に気づきました。
1. データに「どこから」触れられるかを制御する
ストレージの境界制御では、単一のファイアウォールに頼るのではなく、信頼できるネットワークや環境だけがストレージAPIを利用できるよう、明確なポリシー境界を設定する必要があります。
私が主導したある導入では、マルチテナントクラウド環境でネットワーク境界を利用し、プロジェクト間の拡大を防ぎました。その結果、たとえ有効な認証情報を持っていても、境界外の攻撃者は機密データセットにアクセスする道がありませんでした。
ここでの重要な教訓は、「デフォルト拒否」を組織の標準とし、すべての例外申請をリスク判断として扱うことです。
2. 「誰が」「いつ」触れられるかを制御する
ストレージのアイデンティティ&アクセス管理(IAM)は、単なる静的なロール割り当てを超える必要があります。つまり:
- 最小権限: 必要な権限を、必要な期間だけ付与する。
- 職務分離: アクセス権と保持設定の管理者を分ける。
- ジャストインタイムアクセス: 特定の作業のために一時的に権限を付与し、終了後は自動的に取り消す。
この変革は困難でした。開発者はスピード低下を、運用担当は承認手続きの増加を嫌いました。しかしJITを明確な権限・監査削減と結びつけたことで、導入が進みました。
3. 一部のデータは「触れられない」ものにする
WORM(書き込み一度・読み取り多数)イミュータビリティは、単なるコンプライアンス要件ではなく、戦略的な安全策です。一度適用すれば、保持ロックによって特権を持つ内部者でさえ、ロックが解除されるまでデータを変更・削除できません。
この違いを私は実際に目の当たりにしました。あるシミュレーションでは、管理者権限を持つ「攻撃者」がすべてのデータセットを消去できましたが、イミュータブルなバックアップだけは守られました。これが、全面的な危機と迅速な復旧の分かれ目となりました。
リーダーにとっての教訓は明確です。イミュータビリティは時間と確実性をもたらします。インシデントの最中に最も欲しい2つのものです。
ストレージが準備不足だった時:実例からの教訓
すべての大規模な侵害事件は何かを教えてくれます。これらの攻撃に共通する恐ろしい点は、攻撃者が復旧ポイントを本番システムと同じくらい執拗に狙ったことです。
Maersk(2017年)は、最悪の状況で幸運に救われました。NotPetyaによってグローバルインフラ全体とドメインコントローラのバックアップが消去された中、唯一生き残ったのはガーナの停電でオフラインだったサーバー1台だけでした。たった1回の停電。それが巨大海運会社と完全なデジタル消滅の境界線でした。
JBS Foods(2021年)はREvil攻撃を受けてもバックアップが生き残りましたが、それでも1,100万ドルの身代金を支払いました。なぜか?復旧にかかる時間が、事業継続に耐えられないほど長かったからです。バックアップがあるだけでは不十分で、ビジネスを維持できるだけの速さで復旧できることが必要です。
Miljödata(2025年)はサプライチェーン攻撃の進化を示しています。スウェーデンのITプロバイダー1社が攻撃されただけで、200の自治体が給与処理不能に。重要なベンダーがストレージのゼロトラスト原則を守っていなければ、その脆弱性はあなた自身の脆弱性にもなります。
DaVita(2025年)は二重脅迫の悪夢に直面しました。1.5TBの患者データが盗まれ、システムも暗号化。インターロックグループは両方の脅威に対して身代金を要求しました。包括的なゼロトラストアーキテクチャはこれに直接対抗します。境界制御でデータ流出を検知されずに行うのを難しくし、イミュータブルなバックアップで暗号化による脅迫の切り札を奪います。
ガバナンスの視点で考える
これらの原則を経営層に説明する際、私はリーダーにとって明確な3つの成果、すなわちリスク低減、レジリエンス、コンプライアンスに焦点を当てます。経営陣は、データ層の攻撃対象領域が縮小していること、上流防御が破られても復旧ポイントが生き残ること、保持・アクセスのポリシーがSEC 17a-4(f)やHIPAAなど主要な規制に対応していることを確認すべきです。
「ポリシー・アズ・コード」はここで大きな変革をもたらしました。理由は「DevOpsでクールだから」ではなく、すべての重要な制御について監査可能かつレビュー可能な変更履歴をリーダーに提供できるからです。取締役会に対して「バックアップがロックされていることをどう証明するのか?」と問われたとき、ポリシーのコミットログを直接示すことで、透明性と説明責任を果たせます。
現場からの教訓
ストレージへのゼロトラスト拡張は週末プロジェクトではありません。始める前に誰かに教えてほしかったことを挙げます:
- スピードや複雑さへの反発は覚悟すべきですが、自動化やシンプルな 例外ワークフロー、指標を活用すれば、リスク低減が生産性を損なわないことを示せます。
- シミュレーションは想像以上に重要です。 ストレージ復旧をテストせずにランサムウェアの机上訓練をするのは、出口の機能を確認せずに避難訓練をするようなものです。プレッシャー下で戦略が本当に機能するかは、試してみないと分かりません。
- 財務部門のリーダーが最大の味方になることも。 CFOを設計段階から巻き込むことを学びました。保持ポリシーが復旧保証や数百万ドル規模の身代金回避につながると理解してもらえれば、資金調達の強力な後押しになります。
厳しい問いかけ
あなたが組織のサイバーレジリエンスを担っているなら、自問してください。もし攻撃者が今、有効な認証情報とネットワークアクセスを持っていたら、あなたの復旧ポイントを危険にさらせるでしょうか?
「はい」または「分からない」と答えたなら、あなたのゼロトラスト戦略は不完全です。
攻撃者が内部に侵入してからストレージの抜け穴に気付くのでは遅すぎます。ストレージのゼロトラストは生き残りのためのビジネス必須事項であり、単なる技術的アップグレードではありません。
ストレージを「見えないインフラ」として扱うのをやめ、実際に攻撃対象領域であることを認識しなければなりません。なぜなら、他のすべてが失敗したとき、復旧の速さと確実性こそが、組織と壊滅的被害の間に立つ唯一のものだからです。
この記事はFoundry Expert Contributor Networkの一部として公開されています。
参加しませんか?
ニュースレターを購読する
編集部からあなたの受信箱へ
下記にメールアドレスを入力して始めましょう。
Vivek Radhakrishnanは、Google、Amazon、EdgeVerve Systemsで16年以上の経験を持つ優れたエンジニアリングリーダーです。Googleでは、Alphabetの重要なハードウェア予測のための高度な最適化エンジンを構築するチームを率いるエンジニアリングマネージャーとして、リードタイムとコストの削減に貢献しています。以前はGoogle Cloud Storage(GCS)ガバナンスのスタッフSWEとして、オブジェクトロック(ランサムウェアから顧客を保護/コンプライアンス確保)、カスタム組織ポリシー統合、新しいネットワーク境界ベースのセキュリティ制御の設計・立ち上げに重要な役割を果たしました。Amazon/AWSではシニアSDEとしてAWSサプライチェーンN-Tier Visibilityを開発し、ルートプランニングシステムを6倍以上にスケールさせ7億5千万ドル以上のコスト削減を実現、Amazon DynamoDB Accelerator(DAX)立ち上げにも大きく貢献しました。専門分野はML/最適化、クラウド/分散システム、データセキュリティ/ガバナンス、サプライチェーンです。
もっと見る