はじめに

AWS Summit 2026に参加してきました。
エンジニアとしてこういったイベントへの参加は初めてでしたが、すごくいい勉強になりました!

 

視聴してきた講演の中に「ランサムウェア対策」を取り扱ったものがあり、とても参考になりましたので紹介しようと思います。

猛威を振るうランサムウェアの脅威

ある日突然すべてのデータを暗号化されて業務停止に追い込まれる──そんなニュースが後を絶ちません。ランサムウェアの被害は金銭的損失だけでなく、顧客からの信頼喪失、法的責任、そしてブランドイメージの毀損など、計り知れないダメージをもたらします。

AWS環境においてランサムウェアの脅威からワークロードを守るために「何ができるのか」を、防御・検知・対応・復旧の4つのフェーズに分けて解説します。特に「脅威にさらされた後にどう復旧するか」という観点から、AWSが提供するイミュータブル(書き換え不可能)なデータ保護サービスに焦点を当てています。

この記事を読む前に ─ 知っておきたいキーワード

 

キーワード 説明
ランサムウェア マルウェアの一種。データを暗号化し、復号の対価として身代金(ransom)を要求する攻撃手法
WORM(Write Once Read Many) 一度書き込んだら読み取りのみ可能になるデータ保護モデル。上書き・削除を防止する
イミュータブル 変更不可能な状態のこと。ここでは、バックアップを「改ざんできない」状態で保持することを指す
S3 Object Lock Amazon S3のオブジェクトを一定期間または無期限で削除・上書きから保護する機能
AWS Backup Vault Lock AWS Backupのバックアップボールトに対してWORM保護を適用する機能
AWS Backup 論理エアギャップボールト バックアップをAWSサービス所有アカウントに論理的に隔離して保存する特殊なボールト
Amazon GuardDuty AWSアカウントやワークロードに対する脅威を継続的にモニタリングする脅威検知サービス
エアギャップ ネットワーク的に隔離された状態。攻撃者がアクセスできない場所にデータを置く考え方

ランサムウェア対策の全体像 ─ 4つのフェーズ

ランサムウェア対策は「防御すれば大丈夫」という単純な話ではありません。どれだけ防御を固めても、100%の安全は存在しないからです。そのため、以下の4つのフェーズを意識した多層防御のアプローチを推奨しています。

  1. 防御 侵入を防ぐ
  2. 検知 異常を発見する
  3. 対応 被害を最小限に抑える
  4. 復旧 暗号化されたデータを復元する

本記事では特に「防御」と「復旧」に深く関わるAWSサービスを紹介します。攻撃を未然に防ぐことが理想ですが、万が一突破された場合でも「復旧できる状態を常に維持する」ことが、ランサムウェア対策の肝です。

データ保護の要 ─ WORMとイミュータブルバックアップ

なぜWORMが重要なのか

ランサムウェアの厄介な点は、本番データだけでなくバックアップデータまで暗号化・削除しようとすることです。せっかくバックアップを取っていても、攻撃者にバックアップごと消されてしまっては意味がありません。

そこで登場するのがWORM(Write Once Read Many) の考え方です。一度書き込んだデータを「誰であっても(rootユーザーであっても)削除・変更できない」状態にすることで、ランサムウェアによるバックアップ破壊を防ぎます。

AWSでWORMを実現するサービス

AWSでは、以下の3つのサービスでWORMによるデータ保護を実現できます。

1. S3 Object Lock

S3 Object Lockは、Amazon S3のオブジェクトに対してWORM保護を適用する機能です。

2つの保護モード:

モード 特徴
Complianceモード rootユーザーを含むすべてのユーザーがオブジェクトを削除・変更できない。保持期間の短縮も不可
Governanceモード 特定のIAM権限(s3:BypassGovernanceRetention)を持つユーザーのみが保護を解除可能

2つの保持方法:

  • リテンションピリオド(保持期間): 指定した期間中はオブジェクトが保護される。期間は日数または年数で指定
  • リーガルホールド(法的保持): 期限なしの保護。明示的に解除するまで有効。訴訟対応や監査対応に最適

使いどころ:

  • S3に保存しているバックアップファイルやログの改ざん防止
  • コンプライアンス要件への対応

情報ソース: Locking objects with Object Lock – Amazon S3 User Guide

2. AWS Backup Vault Lock

AWS Backup Vault Lockは、AWS Backupのバックアップボールト(バックアップが実際に保存されているコンテナ)にWORM保護を適用する機能です。

2つのモード:

モード 特徴
Complianceモード グレースタイム(最低3日間の猶予期間)経過後、ロックが完全にイミュータブルになる。誰も解除ができない。
Governanceモード 十分なIAM権限を持つユーザーがロックを解除・削除可能

ポイント:

  • Complianceモードでは、グレースタイム中であればロックの削除・変更が可能(設定ミスの救済期間)
  • グレースタイム経過後は、保持期間が満了するまでバックアップの削除は絶対に不可能
  • rootユーザーが削除を試みてもAWS Backupが操作を拒否する
  • 追加料金なし(標準のAWS Backupストレージ料金のみ)

注意点:

  • 保持期間を「常に保持(Always)」に設定したリカバリポイントがある状態でグレースタイムが経過すると、そのバックアップは永久に削除不可能になり、ストレージコストが永続的に発生します。

情報ソース: AWS Backup Vault Lock – AWS Backup Developer Guide

3. AWS Backup 論理エアギャップボールト

2024年8月に一般提供となった比較的新しい機能です。従来のVault Lockをさらに進化させ、バックアップデータをAWSサービス所有アカウントに論理的に隔離して保存します。

主な特徴:

  • バックアップはAWSサービス所有アカウントに保存されるため、お客様のアカウントが侵害されてもバックアップに直接アクセスできない
  • Vault Lock Complianceモードがデフォルトで有効
  • AWS RAM(Resource Access Manager: AWSリソースを他アカウントと共有するサービス)またはMPA(Multi-Party Approval: 複数人の承認がないと操作できない仕組み)を使い、別アカウントからバックアップを復元可能
  • AWS所有キーまたはカスタマー管理KMSキーによる暗号化

従来のVault Lockとの比較:

観点 通常のBackupボールト 論理エアギャップボールト
Vault Lock オプション(自分で有効化) Complianceモードがデフォルト
データ保存場所 お客様のアカウント AWSサービス所有アカウント
クロスアカウント復元 同一アカウントからのみ 共有先アカウントからも復元可能
暗号化 AWS管理キーまたはカスタマー管理キー AWS所有キー(デフォルト)またはカスタマー管理キー

使いどころ:

  • 最も重要なデータのバックアップ保護(「最後の砦」的な位置づけ)
  • アカウント侵害シナリオへの対策
  • マルチアカウント環境での復旧戦略

情報ソース: Logically air-gapped vault – AWS Backup Developer Guide

検知 ─ GuardDuty Malware Protection で脅威を見つける

バックアップを守るだけでなく、「そもそもマルウェアに感染していないか」を検知することも重要です。感染したデータをバックアップしても意味がありませんし、早期発見できれば被害を最小限に抑えられます。

GuardDuty Malware Protection for EC2

Amazon GuardDutyのMalware Protection for EC2は、EC2インスタンスやコンテナワークロードに接続されたEBSボリュームをスキャンし、マルウェアの存在を検出する機能です。

特徴:

  • エージェントレス: EC2インスタンスにソフトウェアをインストールする必要がない。EBSスナップショットを作成してスキャンするため、本番環境のパフォーマンスに影響しない
  • 2種類のスキャン方式:
    • GuardDuty起動型スキャン: GuardDutyが不審な活動を検知すると自動的にスキャンが実行される(24時間に1回)
    • オンデマンドスキャン: 任意のタイミングで手動スキャンを実行可能(前回のスキャンから1時間経過後)
  • 30日間の無料トライアル: GuardDuty起動型スキャンを初めて有効化した場合に適用
  • タグベースの除外設定: スキャン対象から特定のインスタンスを除外可能

情報ソース: GuardDuty Malware Protection for EC2 – Amazon GuardDuty User Guide

実際の導入構成と運用のポイント

設計のポイント

1. クロスアカウント・クロスリージョンでバックアップを分散する

攻撃者が本番アカウントの認証情報を窃取した場合、そのアカウント内のリソースはすべて危険にさらされます。バックアップを別アカウント・別リージョンにコピーし、WORMで保護することで、単一アカウントの侵害では復旧手段を失わない構成を実現できます。

2. すべてに画一的な対策をする必要はない

「自社の全環境に同じレベルの保護を適用すべきか?」──答えは No です。

すべてのデータに最高レベルの保護を適用すると、運用の複雑さとコストが膨大になります。重要度に応じてデータを分類し、ビジネスクリティカルなデータから優先的に保護しましょう。

データの重要度 保護レベルの例
最重要(顧客データ、決済情報) 論理エアギャップボールト + クロスリージョンコピー
重要(業務データ) Vault Lock (Compliance) + クロスアカウントコピー
一般(開発環境、テストデータ) 通常のバックアップ + S3 Object Lock (Governance)

3. 復元テストを定期的に実施する

バックアップは取って終わりではありません。「本当にそのバックアップから復元できるのか?」を定期的に検証する必要があります。AWS Backupには自動復元テストと検証の機能があり、復元プロセスのテストを自動化できます。

いざ復旧が必要になった場面で「バックアップが壊れていて復元できない」という最悪のシナリオを防ぐためにも、テストは必須です。

料金について

各サービスの主な料金体系は以下の通りです(詳細はAWS公式の料金ページを参照してください)。

サービス 料金体系
S3 Object Lock 追加料金なし(S3の通常ストレージ料金のみ)
AWS Backup Vault Lock 追加料金なし(AWS Backupの通常ストレージ料金のみ)
AWS Backup 論理エアギャップボールト AWS Backupストレージ料金(リソースタイプにより異なる)
GuardDuty Malware Protection スキャンしたEBSボリュームのデータ量に基づく従量課金。30日間無料トライアルあり

重要なのは、S3 Object LockとVault Lockそのものには追加料金がかからないという点です。つまり、既存のバックアップ運用にWORM保護を追加しても、ストレージ料金以外のコスト増はありません。

ただし、Complianceモードで保持期間を長く設定しすぎると「削除できないデータ」が積み上がってストレージコストが増加するため、保持期間の設計は慎重に行いましょう。

料金の詳細: AWS Backup pricing / Amazon GuardDuty pricing

まとめ

ランサムウェアは「防御しきれるもの」ではなく、「被害を前提に備えるもの」です。本記事の要点を振り返ります。

押さえておくべきポイント

  1. 4つのフェーズで考える: 防御→検知→対応→復旧。特に「復旧できる状態の維持」が最重要
  2. WORMでバックアップを守る: S3 Object Lock、Vault Lock、論理エアギャップボールトを使い、rootユーザーでも削除できない状態にする
  3. 隔離のレベルを上げる: クロスアカウント・クロスリージョンにバックアップをコピーし、論理エアギャップボールトで隔離する
  4. GuardDutyで検知する: マルウェアスキャンにより、感染の早期発見と「クリーンなバックアップ」の確保を両立する
  5. 全部に同じ対策は不要: データの重要度に応じて保護レベルを段階的に設定し、コストと運用負荷のバランスを取る
  6. 復元テストを忘れずに: バックアップは定期的に復元テストを実施し、いざという時に「本当に戻せる」ことを確認する

最後に

ランサムウェア対策は、一度構築して終わりではありません。攻撃手法は日々進化し、AWSのサービスも継続的にアップデートされています。定期的に自社の保護戦略を見直し、新しいサービスや機能を取り入れていくことが、長期的なセキュリティ確保の鍵です。

まずは自社の最も重要なデータを特定し、そのデータに対して「イミュータブルなバックアップが存在し、隔離された場所に保管されている」状態を作ることから始めてみてはいかがでしょうか。