こんにちは、セキュリティエンジニアの田所です。
現地参加している AWS Summit Japan 2026 からセッションの模様をお届けします。

セッションについて

STG205 ランサムウェアに対して最優先で取るべき AWS の復旧対策

近年、ランサムウェア攻撃による被害が深刻化し、社会的な注目が高まっています。AWS の環境においても攻撃への対策を行った上で、万が一の被害に備えた復旧対策を取ることができます。高度化する攻撃に対して、どこまで対策を講じるべきかの課題を感じている方も多いのではないでしょうか。本セッションではランサムウェアからの復旧対策が必須となるその背景と、保護するビジネスの価値に合わせた復旧戦略、AWS のストレージサービスを軸にしたすぐに始められる対策をご紹介します。

今ホットになっているランサムウェア対策に関するブレイクアウトセッションです。

1. すぐに始められる復旧対策

最初に整理されたのは、ランサムウェアの性質と「なぜ復旧対策が必須なのか」という背景でした。
ランサムウェアは金銭目的の攻撃が多く、ユーザーがデータにアクセスできない状態を作り出します。
さらに情報漏洩やデータの削除・公開にもつながり、攻撃のスピードは加速度的に増しているとのことでした。
IPA の 情報セキュリティ10大脅威 2026 でも首位に挙がっており、とても無視できない脅威と言えます。

セキュリティ全般では「防御・検知・対応・復旧」の各フェーズに対策が必要ですが、ランサムウェアでは「いざというときに復旧できるかどうか」が被害の大きさを直接左右します。
だからこそ、復旧をどこまで備えておくかがランサムウェア対策の肝になります。

一般的な復旧対策として、次の 3 段階が紹介されました。

  • スナップショットによるローカルでのリカバリ運用
  • 別リージョンで保管する DR(東京から大阪など)
  • サイバー脅威に対して専用に隔離するイミュータブルなコピー(WORM)

すぐに始められるランサムウェア復旧対策としては、イミュータブルコピーの取得が効果的です。

ここで鍵になるのが WORM(Write Once Read Many)によるデータ保護です。
一度書き込んだら変更・削除ができないため、攻撃者に権限を奪われても暗号化や削除を防げる、という考え方です。

AWS では複数のサービスで WORM 保護が実現できます。
代表的なのが Amazon S3 Object Lock で、バケット単位でオブジェクトを WORM 保護できます。

そして、おすすめとして紹介されていたのが AWS Backup Vault Lock です。
バックアップの格納庫である Vault そのものを WORM で保護する仕組みで、AWS Backup でバックアップを一元管理しつつ Vault Lock で守れる構成です。

他にも EBS Snapshot LockFSx for NetApp ONTAP SnapLock など選択肢は複数あり、それぞれの保護モードやクーリングオフ期間の違いが比較表で整理されていました。

2. 包括的な復旧対策

次は、より包括的に守るための考え方です。
ここで登場したのが 3-2-1-1-0 ルール でした。
昔ながらの 3-2-1 ルール(3 コピー・2 種類のメディア・1 つはオフサイト)に、イミュータブルな隔離コピーとリカバリテストが足された形です。

  • 3 つのコピーを持つ
  • 別アカウント・別リージョンに 2 つ保管する
  • 1 つは隔離されたイミュータブルなサイバーボールトに置く
  • 1 つはリモート DR とする
  • リストアの問題は 0 にする(テスト前提)

これを支える土台が AWS Backup です。
元々いくつものサービスを対象にバックアップを一元管理するサービスとしてリリースされた AWS Backup ですが、業務システムが稼働する AWS アカウントには関係者が多くアクセスしがち、という課題がありました。
そこでバックアップを保護用の別アカウント・別リージョンへコピーする機能が備わりました。

とはいえ、データ保護管理者の権限が漏洩したら守りきれません。
そこで 論理エアギャップボールト が活躍します。
RAM(Resource Access Manager)を用いてバックアップを共有することで、隔離しつつ復旧時間も短縮できるという設計でした。
さらに復旧の基本アプローチとして、旧環境はバックドアが仕込まれている可能性があるため、新しくクリーンな業務用 AWS アカウントを作成して復旧する、という考え方も示されました。

「守る」だけでなく「本当に戻せるか」を確かめる仕組みも拡充しています。
意図した手法で保護されているかは AWS Backup Audit Manager で監査でき、マルウェアの混入は GuardDuty Malware Protection for AWS Backup でスキャンできます。
そして定期的なリストアの確認には、事前定義した復元テストプランに沿って動く AWS Backup の 自動復元テスト が使えます。

最後に強調されていたのが復旧戦略の考え方です。
すべてを同じレベルで守るのではなく、要件・データの優先度・データサイズ・コストや労力のバランスを見て、優先度の高いところから守りましょうという話でした。
「全てに包括的な復旧対策を講じるのが正解か?その答えは No です」と断じていたのが印象的でした。

3. オンプレミス環境の復旧対策

AWS 上のワークロードだけでなく、オンプレミス環境の復旧についても触れられていました。
平常時はバックアップソフトウェアを活用し、オンプレミスから Amazon S3 へバックアップして、Object Lock で WORM 保護することができます。

復旧時はオンプレミス環境へリストアできるのはもちろん、そのまま AWS 環境(仮想サーバ)へリストアすることも可能とのことでした。
クラウドをリカバリ先として柔軟に使える点は、オンプレミス中心の環境にとっても心強い選択肢ですね。

まとめ

ランサムウェアからの復旧について、すぐに始められる WORM 保護から、3-2-1-1-0 ルールに沿った包括的な対策、オンプレミス環境の復旧対策までを見てきました。
復旧対策は深度の選択肢が非常に多く、だからこそ「何をどこまで守るか」という優先順位付けの設計そのものが大切になると感じました。
まずは Backup Vault Lock のような始めやすい一手から、自分たちのビジネス価値に合わせて段階的に積み上げていきたいですね。

おしまい