分離されたリカバリー環境: 最新のサイバー レジリエンスにおける重要なレイヤ

※この投稿は米国時間 2025 年 7 月 8 日に、Google Cloud blog に投稿されたものの抄訳です。

エグゼクティブ サマリー

攻撃者がステルス化し、より迅速で破壊的になるにつれて、従来の復旧戦略ではますます不十分になっています。Mandiant の M-Trends 2025 レポートでは、今日のランサムウェア運用者が本番環境システムだけでなくバックアップも日常的に標的にしていることが報告され、この傾向を裏付けています。このような進化を受け、組織はレジリエンス ポスチャーの再評価を求められています。注目を集めているアプローチの一つに、分離されたリカバリー環境（IRE）の実装があります。これは、組織のプライマリ ネットワークが侵害された場合でも、信頼性の高い復元を可能にするために構築された、安全で論理的に分離された環境です。

このブログ投稿では、IRE が重要な理由、従来の障害復旧戦略との違い、企業が IRE を効果的に実装するために取ることができる実際の手順について説明します。

バックアップの盲点

多くの組織は、定期的なバックアップが復元力につながると考えていますが、この前提は現在の脅威の状況には当てはまりません。ランサムウェア攻撃者や国家が支援する攻撃者は、バックアップ インフラストラクチャを直接標的にして、暗号化、削除、破損させ、復元を阻止して攻撃のインパクトを高める傾向を強めています。

M-Trends 2025 レポートによると、ランサムウェア侵入のほぼ半数で、攻撃者は正規のリモート管理ツールを使用してセキュリティ制御を無効にし、永続性を獲得していました。このようなシナリオでは、侵害がバックアップ システムにまで及ぶことが多く、特にメインドメインからアクセスできるバックアップ システムが標的となります。

つまり、本番環境ネットワークからアクセスできるバックアップは安全ではありません。そうしたバックアップはインシデントの進行中、無用となります。

分離されたリカバリー環境とは

分離されたリカバリー環境（IRE）は、バックアップの不変コピーを保存し、復元されたワークロードを検証するための安全なスペースを提供するために設計された安全なエンクレーブです。インシデント対応担当者がフォレンジック調査を実施している間、並行して再構築を進めることができます。従来の障害復旧ソリューションは、多くの場合、稼働中の環境間のレプリケーションに依存しますが、IRE は本番環境から論理的にも物理的にも分離されています。

IRE の本質は、侵害が発生したことを想定し、プライマリ環境が失われた瞬間に備えて計画を立て、攻撃者に触れられていないクリーンなフォールバックを確保することです。

IRE の主な特徴

• インフラストラクチャとアクセスの分離: IRE は企業環境から分離する必要があります。本番環境と IRE の間では、認証の共有、ツールの共有、インフラストラクチャやサービスの共有、永続的なネットワーク リンクや直接の TCP/IP 接続は行われません。

• 管理ワークフローの制限: 日常的なアクセスは許可されません。検証または復旧時の、文書化されたブレークグラス プロセスを使ったアクセスのみが可能です。

• 既知の良質な検証済みアーティファクト: IRE に取り込まれるデータは、分離制御を維持しながら、暗号化された完全性チェックによってスキャン、検証、保存される必要があります。

• 検証環境とツール: IRE には、セキュリティ チームが復元されたワークロードを検証し、特定された攻撃者の残存物を削除するために使用できる、安全なネットワーク環境も含まれている必要があります。

• 復元用テンプレート: 単一のマシンを復元するのではなく、IRE には、事前定義された手順を使用して、分離された環境で重要なシステムを迅速に再構築するためのサポートが求められます。

実装戦略

IRE の実装は、チェックボックスにチェックを入れるような簡単な作業ではありません。セキュリティ、インフラストラクチャ、ID 管理、ビジネス継続性の各チーム間の連携が必要です。以下に、主な構成要素と考慮事項をまとめます。

インフラストラクチャのセグメンテーションと物理的な分離

IRE の基本原則は分離です。IRE は、本番環境と重要なインフラストラクチャ、ID、ネットワーク、ハイパーバイザ、ストレージ、その他のサービスを共有してはなりません。ほとんどの場合、これは次のことを意味します。

• 専用プラットフォーム（オンプレミスまたはクラウドベース）と厳密に制御された仮想化プラットフォーム

• 本番環境から IRE ネットワークへのルーティング可能なパスがない

• 物理的なエアギャップまたは厳しく制限された一方向レプリケーション メカニズム

• 独立した DNS、DHCP、ID サービス

図 2 は、許可される IRE へのフローと IRE 内のフローを示しています。

ID とアクセス制御

多くの侵入において、ID は主要な攻撃ベクトルです。そのため、IRE は独自の ID レイヤを確立する必要があります。

• 本番環境の Active Directory との信頼関係なし

• ローカル アカウントまたはドメイン アカウントの共有なし

• すべての管理者権限によるアクセスに、フィッシングに強い多要素認証（MFA）を必須とする

• すべての管理者権限によるアクセスは、IRE 内からセキュリティ強化された特権アクセス ワークステーション（PAW）経由で行う必要がある

• 可能な場合は、完全な監査ロギングを備えたジャストインタイム（JIT）アクセスを実装する

IRE の管理に使用するアカウントは、本番環境と一切関係がないようにする必要があります。これには、本番環境のドメインに属するデバイスからアカウントを使用することも含まれます。これらのアカウントは、専用の PAW から使用する必要があります。

安全な管理フロー

管理者権限は、多くの場合、攻撃者が悪用する脆弱なリンクとなります。そのため、IRE は、特に危機発生時に管理者権限がどのように管理されるかを厳密に制御して設計する必要があります。

次のモデルでは、すべての管理者権限によるアクセスは専用の PAW から行われます。このワークステーションは、隔離された管理ゾーン内にあり、IRE のコア コンポーネントにアクセスできる唯一のシステムです。

仕組みは次のとおりです。

• IT 管理ワークステーションを含む本番環境システムは、IRE に直接アクセスできません。これらの経路は完全に遮断されています。

• PAW は 以下の IRE コンポーネントを管理します。

• 分離されたデータボルト: 検証済みのバックアップが保存されます。

• 管理プレーン: Active Directory、DNS、PAM、バックアップ、復旧システムなどの IRE サービスが含まれます。

• Green VLAN: 再構築された Tier-0 と Tier-1 のインフラストラクチャをホストします。

• 復元されたサービスは、まず黄色のステージング VLAN に移行します。これは、東西トラフィックのない、管理された隔離ゾーンです。プロダクション レディな緑色の VLAN に移動する前に、システムがクリーンであることを検証する必要があります。黄色の VLAN 内のマシンへのリモート アクセスは、PAW からのコンソールのみのアクセス（ハイパーバイザまたは iLO コンソール）に制限されます。RDP または SSH による直接アクセスは許可されません。

この設計により、本番環境が侵害された場合でも、攻撃者がリカバリー環境に方向転換できないようにします。すべての特権アクションは監査、分離され、コンソールが制限されるため、防御者はクリーンなスペースから再構築できます。

一方向レプリケーションと不変ストレージ

データが IRE に取り込まれる方法は、データの管理方法と同じくらい重要です。データ転送ゾーンにコピーされたバックアップは、そうでないことが証明されるまで、有害である可能性があるものとして扱われる必要があります。

リスクを軽減するには:

• データは本番環境から IRE への一方向にのみ流れる必要があり、その逆はできません*。

• これは通常、一方向の移動とセッションの有効期限を強制するデータ ダイオードまたは時間ゲート型ソフトウェア レプリケーションを使用して実現されます。

• 取り込まれたデータはステージング ゾーンに保存され、次の処理が行われます。

• 予想値と照合するハッシュ検証。

• シグネチャと行動分析の両方を使用したマルウェア スキャン。

• 既知の正常なバックアップ ベースライン（ファイル構造、サイズ、時間差など）との相互チェック。

検証が完了すると、データは不変ストレージに commit されます。多くの場合、1 回書き込み複数回読み取り（WORM）ボリュームまたはコンプライアンス モードのオブジェクト ロックが設定されたクラウド オブジェクト ストレージの形式になります。暗号化と保持のための鍵は本番環境と共有されず、分離された KMS または HSM を介して管理する必要があります。

攻撃者がプライマリ バックアップ システムを侵害した場合でも、IRE に保存されているものを変更または削除できないようにすることが目標です。

* 全体的な復旧戦略によっては、復元されたワークロードを IRE から再構築された本番環境に戻す必要がある場合があります。

復旧ワークフローと復旧訓練

IRE は、プレッシャーのかかる状況下での復旧を可能にする場合にのみ有用です。そのため、コアサービスの完全な復元を計画してテストすることが必要です。効果的な IRE の実装には、次の要素が含まれます。

• ドメイン コントローラ、認証サービス、コア アプリケーションを再構築するためのテンプレート

• IRE 内の VM またはコンテナの自動プロビジョニング

• インシデント対応担当者が従うことができる障害復旧ランブックへのアクセス

• 机上演習と本格的な復旧演習のスケジュール設定（例: 四半期ごとまたは半年に 1 回）

多くの組織は、最初の演習で、ドキュメントが古くなっていることやバックアップが不完全であることを発見します。復旧訓練では、実際のインシデントが発生して問題が表面化する前に、これらの問題を浮き彫りにすることができます。

ハッシュ チェーンとログの完全性

IRE をフォレンジック調査と復旧の両方に利用する場合は、システムログとメタデータの完全性を確保することが不可欠です。ここでハッシュ チェーンが重要になります。

• IRE に保存されたログにハッシュ チェーンを実装して、改ざんを検出する。

• 信頼できるオフライン鍵からデジタル署名を適用する。

• 信頼できるチェックポイントに対してチェーンを定期的に検証する。

これにより、インシデント発生時に、何が起こったかだけでなく、攻撃者や事故によって証拠が改ざんされていないことも証明できます。

適切な IRE デプロイモデルの選択

適切なモデルは、環境、コンプライアンス義務、チームの成熟度によって異なります。

主な注意点

• 通常のオペレーションのための過剰なエンジニアリング: IRE はサンドボックスではありません。ミッション クリープは避けましょう。

• サイバー リカバリー以外の目的で IRE を使用する: IRE は、DR テスト、HA、日常業務には使用できません。インシデント以外の用途で使用すると、分離と信頼が損なわれるリスクがあります。

• クラウドは分離と同義であると考える: 分離には慎重な構成が必要です。クラウド テナンシーだけでは不十分です。

• インサイダー脅威を無視する: IRE は、ランサムウェアだけでなく、組織内部からの妨害行為も防御する必要があります。

最後に

攻撃が加速し、侵入の被害範囲が拡大するにつれて、信頼できる改ざん防止された復元オプションの必要性が明らかになっています。分離されたリカバリー環境は、単なるバックアップ戦略ではなく、レジリエンス戦略です。

侵害があること、危機発生時には可視性が失われる可能性があることを前提としています。また、防御側が再編成、調査、再構築を行う場所を提供します。

Mandiant の M-Trends 2025 レポートで明らかになっているように、ランサムウェアによる損失は、支払った身代金だけではありません。ダウンタイムが数日または数週間続き、規制上の罰則が科され、評判が失墜します。IRE の構築にかかる費用は侵害の被害額よりも少なく、得られる安心感ははるかに大きいです。

安全な復旧ワークフローの構築や現在の復旧体制の評価に関する技術的なガイダンスについては、Mandiant コンサルティングが戦略的なワークショップと評価サービスを提供しています。

謝辞

Glenn Staniforth の協力に感謝します。

-Mandiant、執筆者: Jaysn Rye