Wasabi Covert Copy:気づかれないほどの最強なエアギャップ

投稿日: 2026年3月20日 作成者: climb

ランサムウェアがあふれかえる世界で最も賢明な対応は「備えること」です。たとえ最も執念深い侵入者であっても、データのコピーを見つけ出すことさえできず、ましてや手を触れることなどできないほど、安全にデータを保管できると想像してみてください。

これが、Wasabi Covert Copyのコンセプトです。これは、最も重要なデータの真のエアギャップ環境を構築するための、組み込み型で操作しやすい機能です。特別なネットワーク設定も、手動でのポリシー設定も、IAMルールに関する専門知識も不要です。わずか数回のクリックと簡単な確認だけで、Wasabiアカウント内に誰にも触れることのできない金庫を作り上げることができます。

なぜこれが重要なのか、そしてクラウド環境でこれを適切に実現することが想像以上に難しい理由を理解するには、エアギャップがどのように進化してきたかから始めるのが良いでしょう。

エアギャップの進化

エアギャップという概念は新しいものではありません。実際、これはデータ保護において最も古い考え方のひとつであり、バックアップを、それを危険にさらす可能性のあるシステムから物理的または論理的に分離しておくというものです。従来のIT環境では、これはバックアップテープをオフサイトに送付したり、本番ネットワークから切り離した状態でストレージアレイを隔離して保管したりすることを意味していました。

現代のクラウド環境では、状況はより複雑です。データと攻撃者の間の「エアギャップ」は、もはや物理的なものではありません。現在では、権限、アクセス制御、APIを通じて強制される論理的なものです。また、場合によっては、まったく異なるストレージプロバイダーを利用することもあります。

多くのベンダーが、クラウド時代に向けてこの概念を再現しようと試みてきました。多要素認証(MFA)の多重化、手動によるネットワーク設定、カスタムスクリプトを組み合わせて隔離状態をシミュレートする、DIY型の「エアギャップ・アズ・ア・サービス」を提供するベンダーもあれば、これらの手動作業を第三者に委託する必要がある高額なマネージドサービスとして提供するベンダーもあります。

問題は、この種のエアギャップが単にコストを増大させるだけではない点です。新たな依存関係、すなわち「人的要素」が加わってしまうのです。余分な手順が増えるたびに、多忙な週やプレッシャーの高いインシデント発生時に、何かが誤読されたり、手抜きされたりする可能性が生じます。設定ミスや人的ミスは、クラウドデータ侵害の相当な割合において根本的な原因となっていることがよくあります。

こうして、技術的には可能であっても運用上は脆弱なエアギャップが生まれてしまうのです。「最も安全なエアギャップが、同時に実装が最も容易で、かつ元に戻すのが最も困難なものだったらどうだろうか?」と自問しました。

はじめに「Covert Copy」

Covert Copyは、Wasabiアカウント内にデータのエアギャップ版を作成するための、組み込み機能です。これは新しい製品やアドオンではなく、プラットフォームの一部として設計されており、追加のインフラや継続的な手作業を必要とせずに、保護された復旧用コピーを提供します。

「Covert Copy」とは?

Covert Copyは、可視性を最小限に抑え、アクセスを厳格に制御したエアギャップ化されたデータのコピーを保管するために設計された、新しいバケットタイプです。

バケット内のビジネスに不可欠なデータセットなど、保護したい対象を指定すると、Wasabiがその内容のコピーを作成します。これが「コピー」の部分です。

このバケットは、標準的なS3のバケット一覧リクエストから自動的に非表示になります。また、マルチユーザー認証(MUA)リクエストを通じて一時的に読み取り/エクスポートする権限を明示的に付与されていない限り、オブジェクトも非表示となります。これが「Covert(非公開)」の部分です。

Covert Copyのバケットおよびオブジェクトにはルートユーザーのみがアクセス可能であり、MFA(多要素認証)およびMUAによって保護されています。何らかの二次認証と承認を完了せずに、バケットに対して実行できる操作は一切ありません。

さらに一歩進めて、S3 Object Lockやその他の統合されたS3制限機能を活用することで、バケット内のすべてのオブジェクトは恒久的に変更不可能な状態になります。

仕組み:セキュリティ機能としてのシンプルさ

作成するすべてのCovert Copyは、保護対象として選択したデータセットの特定時点でのスナップショットです。これにより、別のバケット内に、その時点の状態が固定されたデータのコピーが作成され、保持を継続する限り、その内容は決して変更されることはありません。

Covert Copyの作成は、意図的にシンプルに設計されています。まず、保護したいデータが含まれるバケットを選択します。そのバケットのアクションメニューに、「Covert Copy」オプションが表示されます。

その後、WasabiはMFAが有効になっているか、および必要な2つの特別なMUAアクティビティが設定されているかを確認します。設定されていない場合、コンソールは不足している項目を指摘し、設定を完了するための適切な場所を案内します。これらの追加チェックは単なる安全策ではなく、内部および外部の脅威に対してシステムを強靭にする要素の一部です。

確認が完了したら、保護するデータを選択し、MFAコードで認証して、「作成」をクリックします。バックグラウンドでは、Wasabiがレプリケーションプロセスを開始し、データを目に見えない「Covert Copy」バケットへ静かに、かつ安全にコピーします。

数分以内に、データは以下の状態になります:

  • 隠されたバケットへ安全に複製される
  • 削除するまで永続的に不変となる
  • rootユーザー以外には表示されない

Covert Copyの設定プロセスはセルフサービス形式であるため、保護するデータをユーザーが自ら管理できます。しかし、プロセスは自動化されているため、人為的なミスが発生する余地はありません。

さらに詳しく

Covert Copyは、連携して機能する以下の少数の制御機能によって実施されます:

S3 APIの分離: Covert Copyバケットは、明示的にアクセスが許可されていない限り、オブジェクトの書き込みおよび削除操作を防止し、List APIを制限します。

MFAの適用: 管理に関連するすべての変更にはMFAが必要です。

MUAフレームワーク: 組み込みの承認ワークフローにより、単一のユーザーがCovert Copyのデータを一方的に変更またはアクセスできないようにします。

オブジェクトロックの統合: 複製されたすべてのオブジェクトには不変の保存ポリシーが適用され、保護の継続性を維持するために自動的に更新されます。

可視性制御: Covert Copyバケットは、ルートユーザーとしてログインした際のアカウントコンソール内でのみ表示され、パブリックAPI経由では表示されないため、その隠蔽性が確保されます。

その結果、クラウドオブジェクトストレージそのものを定義するAPIを通じて、真の論理的隔離が実現されます。これはコンプライアンスにとって不可欠であり、監査人、パートナー、あるいは自社のCISOに対してランサムウェア復旧戦略を説明する際には、さらに重要な要素となります。

Covert Copyのバケット管理も透明性が高く、シンプルです。追跡する必要があるのは、バケットステータスと自動更新ステータスの2つだけです。

バケットステータス

バケットステータスにより、バケットの状態を確認できます:

  • 進行中:データのコピーはまだ進行中ですが、オブジェクトはすでに保護されています。
  • Covert Copy 完了: コピーが完了し、データは封印され、保持期間が有効になっています。
  • アクションが必要: 保持期間が満了し、自動更新はオフになっていますが、データは引き続き保護されています。
  • エラー/失敗:レプリケーションが完了しなかったことを示す稀なケースです。これらは簡単に再試行または再作成できます。

自動更新

自動更新は、本質的に永続的なオブジェクトロックのサイクルであり、バケットを削除できないようにするための追加の保護層となります。最新のバックアップソフトウェアが不変バックアップを扱う方法と同様に、更新が行われるたびに保護が自動的に延長されます。

Covert Copyは、この自動更新機能を使用して、バケットを削除する準備が整うまで、30日ごとにバケット内のすべてのオブジェクトに対してオブジェクトロックを更新します。自動更新を無効にすると、30日間のタイマーによる更新は停止し、バケットは「アクションが必要」状態に移行します。これは、保存期間が満了すれば、MUAの承認を得てバケットを削除できることを示しています。

しかし、その場合でも、オブジェクトが突然公開されることはありません。Object Lockが適用されていなくても、削除されるまでは不変のまま維持されます。また、バケット削除に対する保護期間を延長するために、いつでも自動更新を再有効化できます。

自動更新は、Covert Copy バケットのライフサイクルを表すものと捉えてください。データが不要になり、バケットを削除する準備が整った場合にのみ、これを無効にします。

復旧アクセスパス

ランサムウェア攻撃や誤削除などの災害が発生した場合、通常業務を再開するために、Covert Copy から本番環境へデータを復元する必要が生じる可能性があります。状況の深刻度に応じて、アクセスを得るには2つの方法があります:

  1. 対象を絞った復元のためのセルフサービスアクセス: Covert Copyバケットから少数のオブジェクトやフォルダのみが必要な場合は、セルフサービスを通じて期間限定のアクセスをリクエストできます。指定されたMUAセキュリティ担当者(エアギャップアクセス権限が割り当てられている者)にアラートが送信され、15分以内に承認を行う必要があります。承認されると、24時間の一時的なアクセス権が与えられます。この期間中、システムは特定のAPI制限を一時的に解除し、書き込みの不変性を維持しつつ、GETおよびList操作を許可します。これらはWasabiコンソール経由、またはお好みのS3クライアントを使用してプログラム的に実行できます。アクセス期間が終了すると、エアギャップは再び封鎖されます。権限が残留したり、クリーンアップスクリプトを実行したりする必要はありません。この信頼性の高いアクセス期間モデルにより、正当な復旧作業であってもデータの完全性が損なわれることはありません。
  2. 完全復元ワークフロー向けのリカバリーモード:バケット内の全データを抽出する必要がある場合や、バックアップアプリケーションに復元する必要がある場合は、Wasabiサポートに連絡してリカバリモードを有効にできます。これは「緊急時のみ使用」のツールであり、バケットを標準のバケット一覧レスポンスに表示することで、オブジェクトを可視化し、バックアップアプリケーションから完全にアクセス可能にします。リカバリモード中でも、データは不変性を維持します。復元が完了すると、バケットは以前の非表示状態に戻ります。

ベストプラクティス

Covert Copyは、特に以下のような、意図的に発見・変更・削除が困難なリカバリコピーが必要な保護シナリオに適しています:

  • ランサムウェア耐性のあるバックアップ
  • 規制対応のアーカイブストレージ
  • 内部脅威の軽減

データがミッションクリティカルな場合、Covert Copyの導入が適しています。最も機密性の高いデータセットについては、常に少なくとも1つのCovert Copyを保持することを推奨します。

各 Covert Copy は特定の時点でのスナップショットであるため、復旧時に保護されたコピーが有効であるよう、定期的に更新することをお勧めします。一般的なアプローチとして、最も重要なバケットについては 90~120 日ごとに新しい Covert Copy を作成し、古いコピーの自動更新を無効にして、不要になった時点で削除できるようにします。

新しいCovert Copyを作成する前に、古いものを削除したい場合は、必ず自動更新を無効にして、時期が来たら古いコピーを削除できるようにしてください。

Covert Copyは、日常的なデータ管理のための通常の保存先バケットではなく、封印されたリカバリ層として最も効果を発揮することに注意してください。金庫のように扱ってください。適切なものを保管し、復元できることを確認し、必要がない限り封印したままにしておきます。

準備完了

エアギャップは、安全性と持続性の両方が確保されて初めて機能します。Covert Copyは、そのバランスを実現します。ストレージ層によって強制される隔離、確固たる保護、そしてプレッシャーがかかった状況でも信頼できる復旧経路を提供します。

毎日気にする必要はありません。ただ、そこにあることを知っていればよいのです。時に、最も強力な保護とは、気づかないうちに機能しているものです。そして、それは今すぐWasabiコンソールで利用可能です。

関連トピックス

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

 

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください