バックアップ専用隔離VLAN:ランサムウェアによるバックアップデータの暗号化を物理的に防ぐ

投稿日:

バックアップデータは「最後の砦」であり「最大の標的」

近年のランサムウェア攻撃は、まず「バックアップデータ」を探し出して破壊・暗号化することから始まる。バックアップサーバーが一般業務PCと同じネットワークにある場合、PCが感染した瞬間にサーバーの共有フォルダーが検知され、数秒で復旧手段を失うことになる。

バックアップ専用隔離VLANは、バックアップ通信が発生する時以外、バックアップ先をネットワークから「見えなく」することで、攻撃の手を物理・論理的に届かなくする手法である。

構築のコア・コンセプト:疎結合と不可視化

「いつでも繋がる」利便性を捨て、「必要な時だけ、決まった経路でしか繋がらない」設計を徹底する。

1. 独立したVLANの構築

  • 専用VLAN IDの割り当て: NASやバックアップ用サーバーを、業務用VLAN(例:VLAN10)から完全に独立したバックアップ専用VLAN(例:VLAN200)に配置する。
  • ルーティングの原則遮断: L3スイッチやルーターにおいて、VLAN10とVLAN200の間のルーティングをデフォルトで**無効(Disable)**にする。

2. 「プッシュ型」ではなく「プル型」通信の採用

一般PC(汚染源になりうる側)からバックアップ先へデータを送るのではなく、隔離されたバックアップサーバー側から「データを取りに行く(プル型)」通信を基本とする。

  • メリット: 一般PC側には「バックアップ先」の認証情報やパスワードを一切持たせないため、PCが乗っ取られてもバックアップ先へ侵入する手がかりを与えない。

3. スケジュールベースのACL(ゲート開放)

バックアップが実行される深夜帯などの特定の時間帯だけ、ルーターのACL(アクセス制御リスト)を自動で開放し、バックアップ完了後に即座に閉鎖する運用を行う。これにより、日中の感染活動からバックアップデータを物理的に守り抜く。

さらに強固な防御:不変(Immutable)ストレージの併用

VLANによる隔離に加え、バックアップサーバー側で「一度書き込んだら一定期間消去・変更できない(オブジェクトロック)」設定を有効にする。これにより、たとえ隔離壁を突破されても、物理的にデータの暗号化を不可能にする。

導入のメリット

  • ランサムウェア被害の最小化: PCが全滅しても、バックアップデータが「見つからなかった」ため、迅速なリストアが可能になる。
  • 不正アクセスの検知: 許可された時間外にバックアップVLANへアクセスしようとする試みを検知することで、攻撃の兆候を早期に掴める。

注意点:バックアップサーバー自体の堅牢化

バックアップVLAN内に配置したサーバー自体が脆弱では意味がない。

  • OSの最小インストール: 不要なサービスをすべて停止する。
  • 専用認証: メインネットワーク(Active Directory等)のドメインに参加させず、完全に独立した認証情報で管理する。
アバター画像
0xc793

本サイトは、SOHO・個人・ホームネットワーク等の事業基盤や生活の継続を目的とした環境設計や実施タスクのナレッジです。セキュリティ、バックアップ、運用の各軸に基づき、エントリを配置していきます。