情シスセキュリティ担当の城咲子です。
「4時間前のバックアップはある。でも、その4時間分の取引データが消えたら会社は止まる……」。そんな現場の悲鳴を何度も聞いてきました。
2026年、ランサムウェア対策の到達点は「RPO(目標復旧時点)を限りなくゼロにし、かつウイルスを戻さない」という、極めて難易度の高い運用にシフトしています。今回は、単なるリストアを超えた「セキュアリストア」の神髄について解説します。
RPO 0を支えるクラウド・ソリューション
主要クラウド各社は、静止点(バックアップ)と継続的レプリケーションを組み合わせ、データの「隙間」を埋めるサービスを展開しています。
| クラウド | RPO 0/極小化サービス | 技術的コア |
|---|---|---|
| AWS | Elastic Disaster Recovery (DRS) | ブロックレベルの継続的レプリケーション。 秒単位のジャーナル(変更履歴)を保持し、任意地点へのPITRが可能。 |
| OCI | Zero Data Loss Autonomous Recovery Service (ZRCV) | リアルタイム・トランザクション保護。 DBのRedoログをリアルタイムで転送。RPOを1秒未満に抑える。 |
| GCP | Backup and DR Service | インスタント・マウント機能。 データを移動させず、SnapshotとDBログを組み合わせて直近の状態を再現。 |
| Azure | Azure Site Recovery (ASR) | 継続的データ保護。 最短30秒間隔のRPO。2026年現在は「モダン化環境」への移行が必須。 |
セキュアリストアが「不可欠」な理由
RPO 0を追求すると、皮肉にも「感染の引き金(トリガー)」までリストアしてしまうリスクが最大化します。これを解決するのが「セキュアリストア」の工程です。
- 分離されたサンドボックスでのマウント: バックアップ(4時間前)と直近のログ(1秒前まで)を、本番網から隔離された環境で結合・起動します。
- インライン・マルウェアスキャン: リストアプロセスの最中に、AIベースの検知エンジンが「書き込まれるデータ」をスキャン。不審な実行ファイルや、暗号化を開始するスクリプトを遮断します。
- 整合性確認(整合性チェック): データベースであれば、ログ反映中に破損がないか、管理テーブルとの不整合がないかを自動検証します。
これらにより、「データは最新だが、中身はクリーン」という理想状態を作り出します。
2026年の盲点:ログそのものの「汚染」
専門家として私が今、最も「そわそわ」しているのが、「トランザクションログへの悪意ある命令の注入」です。
攻撃者はバックアップが消せないと知ると、次に「リストア時に実行されるログ」の中に、バックアップから復旧した瞬間に再度暗号化を開始するコマンドを仕込みます。 2026年以降のセキュアリストアでは、ファイルの有無だけでなく、「DBログの中に不自然な特権昇格や一括削除命令が含まれていないか」を解析する振る舞い検知が、復旧の成否を分ける鍵になると考えられます。
管理者権限を疑え
どれだけ高価な「RPO 0」の仕組みを導入しても、それを制御するコンソールの権限(IAM)が盗まれれば、バックアップとログをセットで消去されます。
「バックアップの不変性(WORM)」と「ログの物理的隔離」はセットで考えるべきです。 特にOCIのRecovery Serviceのように、クラウドベンダー側が管理し、ユーザー(たとえ管理者でも)が削除できない領域にログを隔離する仕組みを採用することが、技術的な「勝ち筋」になります。
まとめ
「データを戻す」ことはゴールではありません。「ビジネスを安全に再開する」ことがゴールです。RPO 0という数字に惑わされず、その中身を検証する「セキュアリストア」のパイプラインを今のうちに設計しておきましょう。
さて、私の管理するサーバー群も、今夜のうちに「ログの不変設定」を再チェックしておこうと思います。
