サイバーレジリエンス:サイバーイベントリカバリの実装 (金融リファレンスアーキテクチャ日本版 2025)

概要

サイバーレジリエンスとは、サイバー攻撃を受けることを前提として、攻撃を予防し、検知し、対応し、復旧する能力を総合的に高めることです。従来の「攻撃を防ぐことに主眼を置く」という考え方に加えて、「攻撃を受けても事業を継続し、迅速に復旧する」という考え方も求められています。 特に可用性に影響を与えるランサムウェア攻撃や DDoS 攻撃といったサイバーイベントに対する防御や復旧策は、実装が急務とされています。

昨今のこのような状況を踏まえ、この度、金融リファレンスアーキテクチャの新たなユースケースを提供いたします。金融機関におけるサイバーイベントからの迅速な復旧について、具体的なアーキテクチャと実装サンプルをセットでご紹介します。

https://github.com/aws-samples/baseline-environment-on-aws-for-financial-services-institute/tree/main/doc/reference-arc-cyber-resilience

市場背景

サイバー脅威の高度化・複雑化

近年、金融機関を標的としたサイバー攻撃は急速に高度化・複雑化しており、従来のセキュリティ対策だけでは十分に対応できない状況となっています。特に以下のような脅威が顕在化しています：

• ランサムウェア攻撃の急増: 金融機関のシステムを暗号化し、身代金を要求する攻撃が急増。業務停止による甚大な影響
• DDoS 攻撃の大規模化: 分散型サービス拒否攻撃による可用性への脅威。顧客サービスの停止リスク

サイバーレジリエンス要件の明確化

このような脅威の高度化を受け、各種ガイドラインでサイバーレジリエンスの要件が明確化されています。

サイバーレジリエンスに関して、NIST が公開した SP 800-160 Vol.2 では、サイバーレジリエンスを理解し適用するのに役立つフレームワークや、システムライフサイクルで実装するためのエンジニアリング観点の考慮事項が提示されています。

また、金融庁は「金融分野におけるサイバーセキュリティに関するガイドライン」を策定し、セキュリティリスクの特定からインシデント対応、復旧に至るまでの包括的な枠組みを提示しています。 特に本リファレンスアーキテクチャに関連する要件として、同ガイドラインでは以下の項目を基本的な対応事項として定義しており、これらの要件を満たすアーキテクチャの実装が求められています。

• データ保護 (金融庁ガイドラインより抜粋)
  • バックアップに関する規程整備
    • システム及び情報の重要度に応じたバックアップ要件
    • バックアップデータの隔離と保護
    • 整合性の検証
    • 復旧テストの実施
  • ランサムウェア攻撃への対応
    • バックアップの期間や頻度を検討する
    • 改ざん耐性バックアップシステムの利用
    • 組織内ネットワークから切り離した複数の環境での保管や媒体等へのバックアップ
• サイバーインシデント対応 (金融庁ガイドラインより抜粋)
  • 初動対応
    • インシデントの検知
  • 封じ込め
    • 実施の判断を行う権限者を明確にし、証拠保全との優先度を考慮した上で、被害防止のための通信の遮断・システム停止を判断する
  • バックアップからの復旧
    • バックアップデータの改ざん検出
    • マルウェア感染への対応

従来の災害復旧とサイバーイベント復旧の違い

従来のバックアップ・リカバリーでは、以下の災害を想定した対策が中心でした。

• 自然災害: 洪水、地震、竜巻など
• 人為的災害: 火災、停電、テロ攻撃など

しかし、この戦略ではランサムウェア攻撃には十分ではありません。

主な課題

• 感染データの拡散リスク: 感染したデータがバックアップにコピーされるリスク
• 横展開攻撃のリスク: メインデータセンターの感染がセカンダリサイトに数秒で拡散するリスク

サイバー攻撃対応に必要な要件

サイバー攻撃を想定した環境では、以下の対応が必要です：

1. 感染データの隔離: 感染したデータを保管しない
2. データの不変性: バックアップデータを攻撃者によって改ざんされないよう保護する
3. クリーンな復旧: 感染したデータから復旧しない

実装アプローチ

これを実現するため、以下の対策を実装する必要があります：

• データボールト（隔離されたバックアップ環境）の構築: 本番環境・インターネットから物理的・論理的に分離されたバックアップ専用環境
• 限定的な接続性の実装: ネットワーク制御・アクセス制御による最小限の接続のみを許可
• 独立した復旧環境の準備: メインデータセンターが感染している可能性を考慮し、本番環境とは完全に別の環境でシステムを復旧

サイバーイベントリカバリーの実装例

こうした要件をもとに、本リファレンスアーキテクチャでの実装例について紹介します。

1. バックアップの取得

一つ目の機能はバックアップの取得です。ランサムウェア攻撃などのサイバー脅威からデータを確実に保護するため、AWS Backup Logically Air-gapped Vault を活用し、論理的に隔離されたデータバンカーアカウントへバックアップを自動コピーします。論理的な隔離とは、厳格なアクセス制御と不変性の仕組みによって、バックアップデータに対する操作（読み取り、変更、削除）を不可能にし、管理者権限を持つユーザーや攻撃者でさえも、指定した保持期間中は変更・削除できないよう制御することを意味します。

バックアップ作業は2段階で実施されます：①データバンカーアカウントでの AWS Backup Logically Air-gapped Vault 作成とアクセス許可設定、②ワークロードアカウントからの自動コピー設定。これにより本番環境とは完全に分離された環境でバックアップが保護されます。

2. リストア

二つ目の機能はリストアです。ランサムウェア感染を考慮し、バックアップデータを論理的に隔離した上で、本番とは完全に別の環境での復旧を想定しています。

復旧作業は3段階で実施されます：①Resource Access Manager (RAM) 共有設定、②データベース復旧、③ワークロード再接続。セキュリティと効率性のバランスを考慮し、重要な判断は手動、定型作業は自動化することで、ヒューマンエラーを最小限に抑えながら迅速な復旧を実現します。

3. 自動隔離

三つ目の機能は自動隔離です。環境内に脅威が発生した際、対象システムを隔離することで、影響範囲を最小限に留めることができます。本サイバーレジリエンス機能における自動隔離では以下の実装を提供しています。

Amazon GuardDuty で重大度が Critical の脅威が検出された際、そのイベントから隔離用 Lambda 関数を実行し、勘定系ワークロードが存在するサブネットの Network ACL との関連付けを隔離用の ACL に変更します。Network ACL の変更が完了すると、Amazon SNS でセキュリティ管理者にメールで通知します。

実装詳細は GitHub リポジトリをご確認ください。

まとめ

金融機関を取り巻くサイバー脅威の高度化・複雑化が進む中、特にランサムウェア攻撃やDDoS攻撃といった可用性への脅威には、「攻撃を受けても事業を継続し、迅速に復旧する」サイバーレジリエンスの考え方が不可欠です。

本リファレンスアーキテクチャでは、以下の3つの主要機能を実装しています：

1. 論理的に隔離されたバックアップ: AWS Backup Logically Air-gapped Vault を活用し、本番環境から完全に分離されたデータバンカーアカウントでバックアップを保護
2. クリーンな環境での復旧: 本番環境での感染リスクを考慮し、別環境でのリストア機能を提供
3. 自動隔離による被害拡大防止: Amazon GuardDuty と連携した自動隔離機能により、脅威検出時の迅速な封じ込めを実現

このリファレンスアーキテクチャを活用し、より堅牢なサイバーレジリエンス体制の構築に取り組まれることを願っています。また、より良い金融リファレンスアーキテクチャの発展に向けて、皆様からのフィードバックもお待ちしております。

本ブログ記事は、AWS のソリューションアーキテクト 河角 修、佐藤 航大、小宮山 裕樹 が執筆いたしました。