イミュータブルバックアップ

イミュータブルバックアップとは、一度書き込まれたデータが、事前に定義された保持期間内において、いかなる権限を持つユーザー（ルート管理者やシステム管理者を含む）によっても、変更、上書き、削除、または暗号化が不可能である状態を指す^[1]。この技術は、従来から存在したWORM（Write Once, Read Many）技術を現代のバックアップインフラストラクチャに応用したものであり、データの完全性を技術的制約によって担保する点が特徴的である。

従来のバックアップシステムは、管理者権限があればデータの変更や削除が可能であったため、権限昇格攻撃で容易に無力化された^[2]。これに対し、イミュータブルバックアップは、ストレージレイヤーやファイルシステムレベルで変更操作を拒否するロック機構を備えており、ランサムウェアによる暗号化の試みや、内部犯による悪意ある削除からデータを物理的・論理的に保護する^[1]。一方、イミュータブルバックアップの導入は、セキュリティを向上させる一方で、ストレージコストの増大という副作用をもたらす可能性がある。

NIST（アメリカ国立標準技術研究所）のサイバーセキュリティフレームワーク（CSF）において、イミュータブルバックアップは「防御」と「復旧」機能の中核をなす要素として位置づけられている^[3]。NISTは、ランサムウェア対策として、データの完全性を保護するための技術的セーフガードの実装を推奨しており、イミュータビリティはこれに直接的に応えるものである。特に、データ完全性を維持し、インシデント発生時に復元ポイントを保証することは、BCP（事業継続計画）の前提条件となる^[1]。

長年にわたり、データバックアップのベストプラクティスとして「3-2-1ルール」が広く採用されてきた^[2]。

• 3つのデータコピー - 本番データと少なくとも2つのバックアップを保持する。
• 2種類の異なるメディア - ディスクとテープ、あるいはローカルストレージとクラウドなど、異なる媒体を使用することで、特定のハードウェア障害による同時損失を防ぐ。
• 1つのオフサイトコピー - 地理的に離れた場所にコピーを保管し、火災や洪水などの物理的災害から保護する。

しかし、このルールは災害やハードウェア障害を主眼に置いており、現代のサイバー攻撃の観点での対策が薄いものであった。例えば、NASのリモートレプリケーションなどでバックアップを採っている場合、ランサムウェアはネットワークを通じてそのコピーにも感染・暗号化を行う可能性がある^[4]。また、バックアップデータが正常に保存されていても、復元時に破損が発覚するケースや、バックアップ自体にマルウェアが潜んでいるケースでは対応できない^[4]。

主にランサムウェアの脅威に対抗するため、3-2-1ルールを拡張した「3-2-1-1-0ルール」の採用が推奨されている。この新たなフレームワークは、不変性と検証を必須要件として組み込んでいる^[5]。イミュータブルバックアップでは、追加された1つの不変・オフラインコピーの役割を担う^[6]。

• 3つのデータコピー - 本番データと少なくとも2つのバックアップを保持する。単一障害点（SPOF）の排除。攻撃者が1つのリポジトリを破壊しても、別のコピーで復旧可能にする^[7]。
• 2種類の異なるメディア - ディスクとテープ、あるいはローカルストレージとクラウドなど、異なる媒体を使用。プラットフォーム固有の脆弱性やバグによる全データ損失リスクの低減^[7]。
• 1つのオフサイトコピー - 地理的に離れた場所にコピーを保管し、火災や洪水などの物理的災害から保護する。広域災害対策に加え、ローカルネットワーク全体が侵害された際の最後の砦となる^[7]。
• 1つの不変・オフラインコピー - 少なくとも1つのコピーをイミュータブル、またはエアギャップ（オフライン）環境に置く。管理者権限を奪取されても削除・暗号化できないコピーを確保し、ランサムウェアによる攻撃を回避する決定的な手段^[7]。
• 0 エラー - 自動化された復旧テストにより、バックアップのエラーをゼロにする。復旧できないバックアップを排除し、RTO/RPO遵守を保証する^[7]。

イミュータブルバックアップの実装には、ストレージの種類やアーキテクチャに応じて複数のアプローチが存在する。ここでは、主要な技術的実装メカニズムについて詳細に分析する。

• S3 Object Lock - クラウドストレージおよびオンプレミスのオブジェクトストレージにおいて、事実上の業界標準となっているのがAmazon S3 APIにおけるObject Lock機能である^[8]。

• Hardened Linux Repository - オンプレミスの汎用サーバー（x86）を用いてイミュータブルストレージを構築する手法として、Veeamなどが採用している^[9]。汎用的なLinuxディストリビューション（Ubuntu, RHEL等）とハードウェアで実現できるため、コスト効率とベンダーロックイン回避の観点で優れている^[10]
• Cohesity SnapTree - CohesityはB+木構造を用いた「SnapTree」技術を開発。これにより、スナップショット数に関わらず一定のアクセス速度を維持し、かつ頻繁なイミュータブルスナップショットの取得を可能にした。「Distributed Redirect-on-Write (DROW)」方式により、変更ブロックは常に新しい場所に書き込まれ、元データは変更されない^[11]。

• Rubrik Atlas File System - データはイミュータブルなBlobとして保存され、追記型の書き込みが行わ、既存のデータブロックが上書きされることはない^[12]。バックアップデータは独自形式で保存され、標準的なプロトコル（SMB/NFS）では外部に公開されない。これにより、ネットワーク上のランサムウェアがバックアップファイルを「ファイルとして認識」して暗号化することを物理的に防ぐ^[13]。

イミュータブルバックアップと並んで語られるバックアップの概念として、エアギャップがある。その実装形態には物理的、論理的、クラウドベースの3種類が存在し、セキュリティ強度と運用負荷のトレードオフが異なる^[14]。

• 物理的エアギャップ - バックアップメディア（テープ、取り外し可能なHDDなど）をシステムやネットワークから物理的に切断し、別の場所に保管すること。NISTの定義における「厳格なエアギャップ」に該当する^[15]。管理コストがかかり、RTOが長くなるというデメリットがある^[16]。

• 論理的エアギャップ - 物理的にはネットワーク接続されているが、ネットワークセグメンテーション、ファイアウォール、認証基盤の分離などにより、論理的に隔離された状態^[17]。自動化が容易で、ディスクベースの高速な復旧が可能^[14]。

• クラウドエアギャップ - クラウド環境において、異なるアカウント、異なるクラウドプロバイダー、あるいはイミュータブルバケットを利用して隔離を行う手法^[17]物理インフラを持たずに地理的・論理的分離を実現できる。S3 Object Lockと組み合わせることで、「仮想的なエアギャップ」として機能する^[17]