過去10年の大半において、コンプライアンスチームにとってストレージは最も後回しにされる存在でした。SIEMもあれば、エンドポイント検知システムもあり、ファイアウォールポリシーやアクセス管理フレームワークも整っていました。ストレージは単なるインフラであり、IT部門が管理し、バックグラウンドで動作するもので、コンプライアンス部門は監査の際に一度確認するだけで、次の監査まで忘れてしまうような存在でした。しかし、もはや話はそこで終わりません。
2024年10月、EU全域でNIS-2が施行された。2025年1月からは、金融セクターにDORAが適用された。重要インフラ事業者のレジリエンス指令(CIRDI)は、物理的および業務上の継続性に対する義務を拡大した。ドイツでは、KRITISが欧州で最も厳格な重要インフラ保護要件の一部を定めており、NIS-2に先立ち、ドイツ市場で事業を展開する組織に対してはNIS-2と並行して適用される。米国では、CIRCIA(重要インフラサイバーセキュリティ法)が、重大なサイバーインシデント発生時に重要インフラ事業者が何を証明すべきかを再定義しています。これらの枠組みには、見出しだけの要約を読んでいると見落としがちな共通点があります。それは、セキュリティツールを保有しているかどうかを問うていないということです。問われているのは、データが復元可能であることを証明できるか、そしてデータが改ざんされていないことを証明できるか、という点です。これはストレージに関する問題なのです。
目次
なぜストレージ層が常に軽視され続けられるのか
この認識のギャップは理解できる。コンプライアンス・プログラムは、ファイアウォール、ID管理プラットフォーム、エンドポイントエージェントなど、ログを生成するツールを中心に構築されてきた。歴史的に見て、ストレージシステムは主要なログ発生源ではなかった。ペネトレーションテストの対象外であり、机上演習のテーマにもなっていなかった。その前提は、「他の対策が機能していれば、ストレージは問題ない」というものだった。
ランサムウェアは、この前提を永久に変えてしまった。現在、規制当局が最も懸念している攻撃パターンは、データを流出させるものではなく、データを暗号化し、30日、60日、90日待ってから爆発させるものだ。暗号化のトリガーが作動する頃には、標準的なバックアップ期間内のすべてのバックアップに、感染したデータのコピーが含まれていることになる。そこで問われるのは、「バックアップはありますか?」ではなく、「改ざんされていないと証明できるリカバリポイントはありますか?」ということです。
これはより難しい問いです。そして、多くの組織は、監査人から問われるまで、この問いに明確に答えられないことに気づくのです。
規制当局が実際に検証していること
フレームワーク固有の用語や技術的な付属文書を排除すれば、NIS-2、DORA、CER、CIRCIAの各規制で繰り返し提起されるコンプライアンス上の課題は、以下の3点に集約されます。
復旧は可能か?「バックアップがあるか」ではなく、テスト環境下で、重要システムに対する定義済みの復旧時間目標(RTO)および復旧時点目標(RPO)を実証できるか、ということです。その能力は文書化され、テストされ、実証されているでしょうか?
復旧データはクリーンか? もし攻撃者が60日間、環境への特権アクセス権を持っていた場合、頼りにしている復旧時点が改ざんされていないと、どうやって確認できるのか?検証メカニズムは何か?誰がそれを管理しているのか――そして極めて重要な点として、侵害された管理者アカウントがそれに手を加える可能性はなかったのか?
誰が、何を、いつ行ったのか? インシデントが発生し調査が開始されると、規制当局は、すべての設定変更、すべてのアクセスイベント、すべてのポリシー変更を、特定の人物とタイムスタンプに紐づける監査証跡を求めます。一般的なログではなく、具体的かつ継続的で、改ざんが検知可能な記録が必要です。
これら3つの質問は、まさにストレージインフラストラクチャに直結しています。境界線でも、エンドポイントでもありません。データが実際に存在するレイヤーにこそ、問われているのです。
多くの組織が行っていない「真の正直な評価」
ストレージにおけるコンプライアンスのギャップは、通常、技術的なギャップではなく、証拠のギャップです。これらの課題に対処する技術はすでに存在しています。多くの組織に欠けているのは「体制」です。つまり、相互に連携し、一貫して適用され、口頭での保証ではなく、文書化可能な証拠を生み出す一連の統制措置のことです。
「バックアップは取っている」という言葉が、厳密に検証された場合に実際に何を意味するのか考えてみてください。それは、スケジュールされたバックアップジョブが存在することを意味します。しかし、それらのバックアップが攻撃対象領域から隔離されていることを意味するわけではありません。データが改ざんされていないことを意味するわけでもありません。最近復旧テストが行われたことを意味するわけでもありません。監査人に提示できるような、完全性を証明する暗号学的証拠が存在することを意味するわけでもありません。
「バックアップは取っている」という状態と、「改ざん防止が保証され、検証可能な復旧能力を実証できる」という状態との間のギャップこそが、現在ほとんどの組織が置かれている現実です。そして、NIS-2、DORA、またはCIRCIAの規制下で事業を行う組織にとって、このギャップは、監査に合格するか不合格になるかの分かれ目となりつつあります。
コンプライアンス対応のストレージ環境とは実際にどのようなものか
具体的に述べる価値があります。製品についてではなく、成果についてです。上記の要件を満たすストレージ環境には、いくつかの明確な特徴があります。
スナップショットのようなリカバリポイントは不変です。 慣習やポリシーによってロックされているのではなく、インフラストラクチャ層でロックされており、データが書き込まれた時点から変更されていないことが暗号技術によって検証されます。この整合性チェックには、管理者を信頼する必要はありません。ハッシュ値を信頼すればよいのです。
保護は定期的ではなく、継続的です。 バックアップウィンドウは保護の隙間を生み出します。深夜0時のバックアップスケジュールに対して午後11時50分にランサムウェア攻撃が発生した場合、約24時間にわたって書き込みが保護されない状態となります。継続的なデータ保護(すべての書き込みをリアルタイムで記録すること)は、その隙間を埋めます。復旧先は直近のバックアップ時点ではなく、攻撃直前の時点となります。
アクセスは管理され、監査可能です。 ストレージ層におけるすべての管理操作は、特定の実体に関連付けられ、タイムスタンプが記録されます。監査証跡は後付けのものではなく、ストレージシステムが自動的に生成する主要な出力であり、オンデマンドで照会可能です。
耐障害性は「想定」ではなく「測定」されるものです。「御社のストレージの耐障害性はどの程度ですか?」という質問に対し、アーキテクチャの説明で答えるべきではありません。数値、測定手法、そしてタイムスタンプを用いて答えるべきです。定量化された耐障害性体制へと移行した組織——つまり、自社のスコアを把握し、それを左右する要因を理解し、規制上の義務との関連性を認識している組織——は、依然としてアーキテクチャ図に依存している組織とは、コンプライアンスに関する議論の次元が根本的に異なります。
閉まりつつある窓
NIS-2の施行はすでに始まっています。DORAは2025年1月から適用が開始されました。規制当局は、組織がフレームワークに慣れるのを待ってから質問を始めるようなことはしません。
監査の精査に最もうまく対応できる組織は、評価の数週間前に慌ててコンプライアンスツールを導入した組織ではありません。真に備えが整っている組織とは、不変性、継続性、アクセスガバナンス、監査証跡といった要素を、土壇場で付け足したものではなく、インフラストラクチャの固有の特性として構築してきた組織です。
ストレージは常にデータの保管場所でした。今や、それはコンプライアンスの証拠が保管される場所でもあります。問題は、御社のストレージインフラストラクチャが、その証拠を提示できる準備ができているかどうかです。
RSSフィードを取得する
