便利か安全か、データ保護へのアプローチとは？

データ保護の領域において、バックアップとリカバリは重要な位置を占めています。バックアップとリカバリ戦略において、利便性を優先すべきか、それともセキュリティを優先すべきか？このトピックを探ってみたいと思います。

バックアップとリカバリの利便性

バックアップとリカバリにおける利便性とは、多くの場合、シンプルさとスピードのことです。
ユーザーはデータを素早くバックアップし、最小限の労力でリカバリしたいと考えています。そのため、自動バックアップ・ソリューションやクラウドベースのリカバリ・システムが普及してきました。

しかし、これらのシステムの利便性は、時としてセキュリティを損なう可能性もございます。例えば、自動バックアップはランサムウェア攻撃に対して脆弱である可能性があり、クラウドベースのシステムは適切に保護されていない場合、侵害の影響を受けやすい等です。

また、SaaSソリューションの導入と使用には、バックアップとリカバリーのサービスはすべてSaaSプロバイダーの手に委ねられているという、ある種の考えがございますが、ほとんどの場合、それは事実ではなく、誤解しているままですとデータ損失からの復旧能力に大きなリスクを負うことになる。例えば、Microsoft 365のサービス・レベル・アグリーメント（SLA）には、バックアップとリカバリーは顧客の責任であると記載されている：「マイクロソフトは、お客様が本サービスに保存したり、サードパーティのアプリやサービスを使用して保存したりするお客様のコンテンツとデータを定期的にバックアップすることを推奨します」（マイクロソフトサービス契約）。

SaaSアプリケーションをバックアップしない根拠は？

SaaSアプリケーションを悪意のある侵入から効果的に保護できると信じている。

また、SaaSプロバイダーの堅牢な変更プロセスを信頼し、SaaS担当従業員が十分な訓練を受け、正確な作業を実施するため、エラーの可能性を最小限に抑えることができると信用しています。

例えばプログラミングエラー、偶発的なミスなどの潜在的な脅威を含むリスクアセスメントを実施した結果、データ損失の可能性が非常に低いことが判明したため、バックアップサービスの費用が不釣り合いだ、と考える方がいても不思議ではないでしょう。

このアプローチのリスクは？

洗練されたフィッシングベースのランサムウェア攻撃は、データを復元するために高額な身代金を支払わせる可能性があります。

自然災害は、データにとって別のリスクとなります。バックアップとリカバリーがなければ、SaaSソリューションに含まれるすべてのデータを失うリスクがあります。

SaaS型クラウド・プロバイダーは、多額の資金投資、優秀なサイバーセキュリティやITの専門家を採用する能力、包括的なセキュリティ・インフラの導入など、大きなリソースを自由に使えることから、問題が発生する確率は一般的に低いと考えられています。言い換えれば、クラウド・プロバイダーが、自社のビジネスとそのデータに悪影響を及ぼす可能性のあるセキュリティ・インシデントや停止を排除するサービス・レベルを維持することを期待することとなります。

このアプローチのリスクは？

◆ガートナー

「SaaSアプリケーションにバックアップが必要ないと考えるのは危険だ。」

ガートナーのようなトップアナリストは、「SaaSアプリケーションにバックアップは必要ない、あるいはSaaSベンダーのデータ保護は十分だと思い込んでいる組織は、重要なデータを危険にさらす可能性がある」とアドバイスしている。SaaSプロバイダーがサービスの一部としてバックアップを提供したり、バックアップベンダーがデータにアクセスするためのインターフェイスを提供したりすることを、組織は想定してはならない。

あなたは、クラウド・プロバイダーがあなたのデータに対して責任があると信じている。

クラウド・サービスの責任共有モデルには、企業が保存・処理するデータに対する責任を負うという明確な規定があるにもかかわらず、一定の割合の企業はこの事実を無視することを選択している。ある調査によると、25％の組織がこのような見解を持っているという。

◆フォレスター

ほとんどすべてのSaaSベンダーが、データの保護は顧客の責任であると明言している一方で、インフラストラクチャと運用（I&O）のリーダーは通常、データの回復力を確保するための計画なしに、重要なデータをこれらのプロバイダーに送信している」とForrester社は述べている。SaaSのデータをバックアップしなければ、顧客やパートナーを失うリスクがある。手遅れになる前に、データ損失への扉を開いたままにせず、積極的にクラウドデータの保護を開始しましょう。

あなたのチームは、ミスの許されない完璧なオペレーションを行い続ける？

例えば、あなたの組織では、SaaSアプリケーションにおけるデータ損失の一般的な原因であるヒューマンエラーという概念は、事実上存在しないという考え方が蔓延っているとします。

ヒューマンエラーは常に他社、他人の問題であり、自分たちの問題ではないと信じきるとします。従業員や経営陣の無謬性に対するSaaSへの絶対的な信頼から、ヒューマンエラーを軽減するためのバックアップの必要性は認識されていません。結局のところ、ミスは常態ではなく異常であるという前提のもとに運営されているとも言えるのです。

このアプローチのリスクは？

完璧なチームなど存在せず、マーフィスの法則は遅かれ早かれあなたを襲う可能性がございます。

サイバー攻撃に関する最近の統計がある：

2022年、米国では約48万件のサイバー攻撃インシデントが報告された。
2021年には16の異なる業界と4つの世界地域で合計5,258件のデータ漏洩が確認された。
インターネット犯罪苦情センター（IC3）では、苦情件数が2019年から69％増加し、合計79万1790件の苦情が寄せられ、被害額は41億ドルを超えた。
2020年9月までに、身代金の平均支払額は233,817ドルとピークに達した。
2020年、新たに695万件のフィッシング・詐欺ページが作成された。
2023年には2,365件のサイバー攻撃があり、被害者は343,338,964人。
2023年は2021年からデータ侵害が72%増加。
データ侵害のコストは平均445万ドル。
電子メールはマルウェアの最も一般的なベクターであり、2023年には約35%のマルウェアが電子メール経由で配信された。
2022年、ビジネスメールの漏洩による損失は27億ドルに上った。
1年間で約10億通の電子メールが流出し、インターネットユーザーの5人に1人が影響を受けた。
2022年上半期に世界で発生したランサムウェア攻撃は約2億3610万件。

これらの統計は、サイバー攻撃の脅威の増大と、バックアップやリストアのような強固なサイバーセキュリティ対策の重要性を浮き彫りにしています。

OpenText Data ProtectorでSaaS環境やその他のクラウドワークロードを保護する方法

OpenText Data Protectorは、複数のプラットフォームのバックアップを標準化し、統合します。仮想、物理、クラウドのオンラインを問わず、ビジネスクリティカルなデータとアプリケーションを安全かつ包括的にバックアップ保護します。

包括的なバックアップ：仮想、物理、クラウドを問わず、ビジネスクリティカルなデータとアプリケーションを安全に保護します。
ディザスタリカバリ物理、仮想、クラウド、コンテナなど、さまざまな環境のバックアップとディザスタリカバリを提供します。
アプリケーション統合：アプリケーションを意識したバックアップとリカバリを簡単に行うためのネイティブな統合機能を備えています。
サイバー攻撃からの保護ランサムウェア攻撃に対する強固な防御を提供し、高度な重複排除と詳細なレポート機能によりパフォーマンスを向上させます。
Microsoft 365バックアップ：電子メール、ファイル、Teamsチャットなど、Microsoft 365スイート全体の包括的なバックアップ保護を提供します。
ハイパーバイザーのサポート：幅広いハイパーバイザーのバックアップ保護を提供し、運用管理の柔軟性を確保します。
クラウドの柔軟性：複数のクラウドプラットフォームとストレージオプションをサポートし、運用ニーズとコストコントロールに応じたバックアップを可能にします。
コンサルティングサービス：エンド・ツー・エンドのソリューション導入と、システム効率を高める包括的なテクノロジー・サービスが含まれます。

これらの弊社製品の機能により、最新のハイブリッドIT環境に対応した堅牢なディザスタリカバリと迅速なランサムウェア・リストア機能が保証されます。

引用先（Source）：

本投稿は以下の抄訳です。

Convenient or Secure, What Is Your Approach to Data Protection? | OpenText Community for Micro Focus products

Micro Focus Security Blog

最近の記事

カテゴリ