「稟議が通らない」はこうして解決せよ！　NISTフレームワークの「元に戻す」ための要件の多くを1台でカバーする新世代バックアップソリューションとは？

サイバーリカバリーに求められる多くの要件を1台でカバーできるSynology ActiveProtectアプライアンス「DP340」

　万が一のランサムウェアの被害で、いかに慌てず、迅速に、以前の状態に復旧できるか？　現場の担当者が頭を悩ますバックアップの課題には、それに対してどのような仕組みを用意してどう運用するかという技術的な課題があるのはもちろんだが、それに加えて、組織の経営層に対していかにその重要性を訴求し、いかに予算と協力を引き出すのかというのも大きな課題となってくるだろう。

　本稿では、経営層を動かすための説得力のある材料としてNISTのサイバーセキュリティフレームワークを紹介しつつ、Synology ActiveProtectだけで、その要件をどれくらい満たせるのかを検証する。

現場担当者が抱える焦燥感

　「壊れていないものに金は出せない」――。

　決裁者から投げかけられるこの一言に、現場のバックアップ担当者はどれだけ苦しめられ続けてきたことか。

　もちろん、ランサムウェアの被害が話題になる中、経営層もバックアップの重要性は理解している。しかし、「バックアップを取っているから大丈夫だ」という経営層の見方に対して、現場の見方は変わり始めている。

　Synologyの「2025年エンタープライズデータ管理調査」によると、90％以上の企業が「ランサムウェア攻撃から確実に復旧できる自信がない」と回答している。

　これは、従来の「災害復旧や障害復旧を目的とした」バックアップが、現代の巧妙な攻撃の前ではもはや機能していないことを示す、現場の悲鳴だ。

90％以上の企業がランサムウェア攻撃からの復旧に自信がないと回答

「似て非なる」災害対策（DR）とサイバーリカバリー（CR）

　こうした状況の中、経営層を説得し、予算を確保するための第一歩として注目されているのが、従来の災害対策（DR）と、今求められているサイバーリカバリー（CR）の決定的な違いを説明することだ。つまり、バックアップやリカバリーをサイバーセキュリティ対策として再定義することで、経営上のガバナンスの課題へと転換する必要がある。

　自然災害やハードウェア故障を想定した災害対策用バックアップは、復旧の利便性のためにネットワークに常時接続され、どこからでも、いつでも復旧できるように準備されている。

　しかし、現代の攻撃者は、この準備万端なバックアップの利便性を逆手に取る。

　ランサムウェアの多くは、どこからでも容易にアクセスできるバックアップをターゲットとし、「復旧を不可能にするために、真っ先に破壊する」。だからこそ、「攻撃者の手が物理的・論理的に届かず」、しかも「容易に消せない」という状況を確保する必要がある。

　つまり、システムとして、従来のバックアップとは異なるサイバーリカバリーの前提に立った考え方で、バックアップ用のハードウェア、ソフトウェア、ネットワーク、運用体制を整える必要があるわけだ。

　警察庁のデータによると、近年のランサムウェアの傾向は「インターネットに露出した箇所から攻撃者が遠隔操作でネットワーク内部に侵入する手口が多くを占め」「より広い領域にアクセスするために管理者権限の奪取やセキュリティ無効化を試みながら、ネットワーク内部を探索して重要データやバックアップを物色する」と報告されている。

▼令和7年における サイバー空間をめぐる脅威の情勢等について
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7/R07_cyber_jousei.pdf

　要するに、「侵入を防ぐことも重要」だが、侵入されてしまうことを前提に、横展開（ラテラルムーブメント）やバックアップデータの保護など、困難や逆境に直面しながらも復旧を実現する「レジリエンス」の視点こそが本質であると警告されていることになる。これは、サイバーレジリエンスが、もはやIT部門だけの技術的な責任ではなく、経営層が考慮すべき「企業の統治基盤」そのものであることも意味している。

ランサムウェアの動作。バックアップがターゲットとなり、削除されるケースが報告されている

世界標準「NIST CSF 2.0」を参考に必要な機能をリストアップする

　しかしながら、こうした概念だけでは、「どうするべきか？」という具体性に乏しい。実際に予算を確保するには、その裏付けや具体的な提案に落とし込む必要がある。おそらく多くの現場担当者が頭を悩ませているのは、この点だろう。

　そこで活用したいのが世界標準のフレームワークとして有名な「NIST CSF 2.0」だ。NISTは、米国商務省傘下の政府機関「米国国立標準技術研究所」で、科学技術分野における標準・基準の策定を担っている組織だ。近年は、サイバーセキュリティ分野での役割が特に注目されている。

　「NIST CSF（CyberSecurity Framework）2.0」は、2024年に公開された最新版で「統治（ガバナンス）」の項目が追加され、組織全体での取り組みの重要性が強調されているのが特徴だ。具体的には、組織が独自のリスク許容度、優先順位、脅威、脆弱性、要件などを検討し記録するのに役立つ枠組みを示したもので、「統治・識別・防御・検知・対応・復旧」の6項目で、検討すべき行動などが示されている。

NISTのCSF 2.0

▼The NIST Cybersecurity Framework（CSF）2.0（IPA公開の翻訳版）
https://www.ipa.go.jp/security/reports/oversea/nist/about.html

　「NIST」や「フレームワーク」、と聞くと、大企業向けと思いがちだが、きちんと中小企業向けのガイド（SP 1300 スモールビジネス クイックスタートガイド（2024年2月））も提供されており、組織の規模、分野、成熟度に関係なく、サイバーセキュリティの取り組みを理解、評価、優先順位付け、伝達するのに役立つ無償のガイダンスとなっている。

スモールビジネス向けのクイックスタートガイドもあり、規模を問わず利用可能

　もちろん、汎用的なガイダンスなので、そのままでは個別案件に活用しにくい。このため、組織が取り組むテーマに合わせて内容を展開する必要がある。例えば、本稿のテーマである「サイバーリカバリー」の文脈で整理すると、CSF 2.0の6項目を以下のような具体的なチェック項目へと展開できる。自らの組織が、どこまで対応できているかチェックしてみるといいだろう。

　つまり、ここまでをまとめると、以下のようになる。

• 現在のバックアップ、リカバリーの状況をサイバーセキュリティの文脈でとらえ直す
• サイバーセキュリティと定義することで技術的な課題を経営課題へと転換する
• 経営層に課題として認識させるための材料としてNIST CSF 2.0を活用する

ここまでのまとめ

Synology ActiveProtect単体で多くの領域をカバー可能

　CSF 2.0で課題として認識できたら、これを具体的な対策へと、さらにもう一方進める必要がある。課題に対して、過剰な投資が必要だと見送られる可能性があるうえ、具体的な対策に手間と時間がかかれば、現場の担当者の負担が大きくなる。

　つまり、最小限の投資と労力でCSF 2.0の要件を満たす方法を、具体的に提案しなければならないことになる。

　そこで注目したいのが、Synologyが2024年に発表した「ActiveProtect」だ。当初から「あらゆる規模の組織がサイバーセキュリティの課題に正面から取り組めるようにすることを目標にしている（詳細はこちら）」とされているように、前述した「サイバーリカバリー」を強く意識した製品となっており、そのために必要な機能を1台にまとめて詰め込んだ製品となっている。

Synology ActiveProtectアプライアンス「DP340」

　具体的な製品概要や何ができるかについては、関連記事を参照して欲しいが、簡単に紹介すると、次のようになる。

リストアを検証できる

　アプライアンス内の仮想マシンでデータのリストア検証が可能。訓練に加え、P2V/V2V復元により継続性を確保

ActiveProtect DP340のダッシュボード

　つまり、この新世代バックアップアプライアンスがあれば、前述したNIST CSF 2.0の要件の多くを、これ1台だけでカバーできるわけだ。具体的に、どのような範囲をカバーできるのかを以下の表にまとめてみた。なお、表の【支援可能】は他のシステムとの連携で実現可能なものを、【実現可能】はActiveProtectの機能で対応できるものを指す。

NIST CSF 2.0の項目をActiveProtectでどこまでカバーできるかの対応表

NIST CSF 2.0 項目	チェック項目および内容	対応するActiveProtectの機能やSynologyの支援
1. 統治（Govern）	組織の現状を理解し、サイバーセキュリティをリスクマネジメント戦略に組み込んでいるか？	【支援可能】ホワイトペーパー、ブログ記事、サイバーリカバリーガイドなどの解説を参考に戦略への適用を検討可能
	役割、責任、権限、関係者の役割および責任を定め、計画に明文化し、運用しているか？	【支援可能】定義された役割や責任に応じてバックアップやデータへのアクセス権限を細かく制限・管理可能。IT管理者を介さずに特定のチームメンバーに復旧操作を委任する「セルフサービス復元」に対応し、計画と運用の一体化を図れる
	セキュリティリスクに対しての組織のポリシーを伝達し、遵守状況を定期的に見直し・監査しているか？	【支援可能】ダッシュボードによる一元的な監視や、アクティビティログ・システムログの追跡、定期的なデータ保護レポートにより、順守状況の監査に役立てることができる
	サプライヤーや関係者がもたらすリスクを評価し、インシデント対応計画に含めているか？	ｰｰ
2. 特定（Identify）	全ての環境でOSやアプリケーションのバージョン管理やセキュリティパッチ管理を実施しているか？	【実現可能】APMの自動アップデータ機能により、セキュリティパッチを自動的に適用可能
	全てのシステムやユーザーのアクセス状況を追跡可能か？	【支援可能】 APM上でのアクティビティログや接続ログ、詳細なシステムログを記録可能。バックアップへの疑わしいアクセスを追跡できる
	マルウェアの横方向への感染拡大を防ぐため、ネットワークを分離しているか？	【実現可能】エアギャップによる切断が可能。管理用とデータ用でネットワークポートが分離されていることでネットワークポートの役割も物理的に分離されている
	従業員に対して、サイバーセキュリティに関する継続的な教育を行っているか？	ｰｰ
3. 防御（Protect）	ユーザー、デバイス、アプリケーションの多要素認証（MFA）やロールベースのアクセス制御（RBAC）を要求しているか？	【実現可能】単体でロールベースのアクセス制御（RBAC）に対応。Active Directory、LDAP、SAML 2.0連携により、シングルサインオンや多要素認証に対応可能で、データへのアクセス権限を細かく制限・管理できる
	WORM技術によるイミュータブル（不変）ストレージを設定し、不正な削除や改ざんからデータを保護しているか？	【実現可能】一定期間データの変更や削除を完全に防ぐ「不変（イミュータブル）保護プラン」の設定が可能。エアギャップの併用でランサムウェアがアクセスできないオフライン状態も設定可能
	「3-2-1-1-0バックアップ戦略」を採用し、データの冗長化とオフサイト保存を確実に実施しているか？	【実現可能】セカンダリアプライアンスやクラウド（Synology C2、Amazon S3、Wasabiなど）、Synology NASへ不変コピーを保存することで冗長化を実現できる
	多彩なプラットフォームの防御に対応可能で、対応漏れがないか？	【実現可能】PC・Mac、物理サーバー、仮想マシン、エンドポイント、ファイルサーバー、データベース、IaaS、SaaSのバックアップに対応可能
	マルウェア感染を未然に防ぐため、定期的なアンチウイルススキャンを実行しているか？	今後のバージョンアップAPM2.0にて、AI/MLによる異常検知および復旧前のマルウェアスキャンに対応予定
4. 検知（Detect）	IDS/IPSに加え、アプリケーションやストレージでも、ユーザーやシステムの異常な行動を監視・検知できるか？	【支援可能】バックアップの異常発生時にはリアルタイムで通知を送信。さらに、アクティビティログ、システムログ、接続ログなどを詳細に記録可能なため、SIEMなどの外部の分析ツールの併用で、異常な振る舞いの調査に役立てることができる
	アンチウイルスやEDR（Endpoint Detection and Response）を活用してエンドポイントの脅威や疑わしい活動を特定できるか？	ｰｰ
	高度な分析ツールを活用して過去のセキュリティイベントの学習、新たな脅威の傾向を予測が可能か？	【支援可能】集中管理ダッシュボードを通じて、バックアップデータの増加量やストレージ使用量の推移を可視化でき、想定外のデータ変動の監視・分析に活用可能。また、ログをSIEMに取り込むことで高度な予測に役立てることができる
5. 対応（Respond）	定期的な予行演習を実施し、実際のサイバー攻撃発生時における対応手順を確認しているか？	【実現可能】組み込みハイパーバイザー機能を活用して、安全にリカバリーの予行演習を実施できる
	不審なリンクやメール、普段と異なる異変、疑わしい挙動などを発見した際に直ちに報告するよう従業員を訓練しているか？	ｰｰ
	自動化機能などで、不審な活動に対してネットワークやエンドポイントの対応が迅速にできる体制が整っているか？	【支援可能】リアルタイム通知やログ、日次・時次のデータレポートにより、バックアップ失敗や異常をプロアクティブに把握し、速やかな対処が可能
6. 復旧（Recover）	災害、ランサムウェア、内部の脅威による攻撃を想定した復旧対応が明文化されているか？	ｰｰ
	バックアップデータ自体の整合性が確保され、確実に復元できるか？	【実現可能】Btrfsによるチェックサムと自己修復機能でデータの破損を自動検知・修復可能。さらに、組み込みハイパーバイザー内でバックアップイメージの動画をキャプチャし、正常に復旧できる状態かを視覚的に確認する「バックアップ自動検証機能」を備えている
	システムのダウンタイムを最小限に抑える計画が整備されているか？	【実現可能】物理サーバーや仮想マシンを数分で復元（P2V/V2V）し仮運用が可能。また、特定のファイル/フォルダ単位での復元や、特定のメンバーが自分自身で復旧操作を行える「セルフサービス復元」にも対応し、復元効率向上とダウンタイム削減を実現できる
	インシデント発生時にスムーズに対応したり、計画を見直したりするための訓練を定期的に実行しているか？	【実現可能】「組み込みハイパーバイザー」を利用し、本番環境に影響を与えないサンドボックス環境でディザスタリカバリー戦略の調査が可能

　もちろん、CSF 2.0の項目の中には、組織そのものの意識改革や体制強化が必要な項目も含まれるため、全てをハードウェアだけでカバーすることは、本製品に限らず不可能だが、技術的な項目をSynology ActiveProtectでカバーできれば、導入と併せて運用体制を整えることでカバーできる。

　また、今後リリース予定となっている最新版のActiveProtect用OS「APM 2.0」では、対応プラットフォームが広がるほか、サイバーリカバリーに関連する新機能が搭載予定となっており、バージョンアップによって、さらにCSF 2.0の要件をカバーできる範囲が広がる可能性がある。

豊富なプラットフォームのバックアップに対応。今後、さらに増える予定となっている

　場合によっては、上記の表をそのまま稟議書に添付してもかまわないが、信頼性の高いフレームワークを借用し、それを具体的な提案に落とし込めば、冒頭で紹介したような「壊れていないものに金は出せない」という前時代的な拒否反応に対して、論理的かつ納得感のある説得を試みることができるはずだ。

現場レベルで納得できるソリューションを

　「予算がつかない」と、あきらめる、引き下がることは、企業の生命線であるデータを危険に晒し続けることと同じだが、何よりも悩ましいのは、結果的に対応を迫られる自分たちの不利益につながってしまうことだ。

　これを避けるために重要なのは、何より、技術的な不安とその解消手段を「経営リスクと投資対効果」という言語に翻訳して社内に広めることだ。

　サイバーリカバリーの考え方は企業の継続性に重要なデータやバックアップを守り抜き、万が一の際にも迅速に組織を再生させるのに重要だ。特にActiveProtectは、「統治・識別・防御・検知・対応・復旧」の多くの項目について1台でカバーできる画期的な製品になっている。

　最後に、考えてみよう。「もし明日、出社して全てのサーバーがロックされていたら、あなたは決裁者の目を見て自信を持って『大丈夫です、すぐに戻せます』と言えるだろうか？　もし一瞬でも躊躇するなら、すぐにでも、サイバーリカバリーへの投資を組織に提案すべきだろう。