AWS Summit Japan 2026 に参加してのセッションメモ

AWS Summit Japan 2026 が 2026年6月25日~26日 に 幕張メッセ で開催されました。残念ながら現地には行けずにオンラインで参加しました。

AWS Summit 2026 参加メモ

ちなみに登録済みの場合は以下よりセッションを閲覧できます。

https://summitjapan.awslivestream.com

ランサムウェアに対して最優先で取るべき AWS の復旧対策

こちらのセッションに参加しました。

以前よりランサムウェア対策が必要と実感しており、こちらのセッションに参加しました。

簡単ですが、メモ書きを以下に記載します。

AWS Summit 2026 にて、「ランサムウェアに対して最優先で取るべき AWS の復旧対策」というセッションに参加しました。

以前から、ランサムウェア対策は単なるセキュリティ対策だけでなく、万が一被害を受けた場合にどれだけ早く・確実に業務を復旧できるかが重要だと感じていました。そのため、今回のセッションでは特に「バックアップ」「復旧」「イミュータブル化」「復旧テスト」の考え方を中心に学びました。

ランサムウェアとは、企業や組織のシステムに侵入し、重要なデータを暗号化したり、業務に必要なファイルやシステムを利用できない状態にしたうえで、復旧と引き換えに金銭を要求する攻撃手法です。被害を受けると、単に一部のデータが使えなくなるだけではなく、業務システム全体が停止し、顧客対応、受発注、社内業務、外部サービス連携などに大きな影響が出る可能性があります。

IPA の「情報セキュリティ10大脅威 2026」でも、組織向け脅威として「ランサム攻撃による被害」が 1 位に挙げられており、2016年以降 11年連続11回目の選出となっています。つまり、ランサムウェアは一時的な流行ではなく、企業にとって継続的に対策が必要な代表的なサイバーリスクだといえます。

https://www.ipa.go.jp/security/10threats/10threats2026.html

ランサムウェア対策では、一般的に「防御」「検知」「対応」「復旧」のすべてが重要です。もちろん、侵入を防ぐための脆弱性管理、認証強化、ネットワーク分離、EDR なども必要ですが、今回のセッションでは特に「復旧」に焦点が当てられていました。ランサムウェアはデータを暗号化・破壊・削除する可能性があるため、最終的には「安全なバックアップから確実に戻せるか」が重要になります。

復旧対策には大きく分けて、ローカルリカバリ、ディザスタリカバリ、サイバーリカバリの考え方があります。

ローカルリカバリは、同一リージョンや同一環境内での復旧を想定したものです。誤操作や一部障害に対して、スナップショットやバックアップから元の環境へ戻すようなケースが該当します。

ディザスタリカバリは、リージョン障害や大規模障害を想定した復旧です。クロスリージョンバックアップや別リージョンへのレプリケーションを利用し、特定リージョンが利用できなくなった場合でも復旧できるようにします。AWS Backup では、バックアップを別リージョンへオンデマンドまたはスケジュールでコピーできます。

サイバーリカバリは、ランサムウェアやアカウント侵害のように、攻撃者が本番環境やバックアップ環境まで操作しようとするケースを想定した復旧です。この場合、単にバックアップが存在するだけでは不十分です。攻撃者や管理者権限を奪われたユーザーであっても、バックアップを削除・改ざんできないようにする必要があります。

この考え方で重要になるのが、サイバーボールトとイミュータブルコピーです。サイバーボールトとは、復旧用の重要なバックアップを通常の本番環境から分離して保管する場所です。イミュータブルコピーとは、一定期間、削除や変更ができない状態で保護されたバックアップコピーです。

ここで出てくる代表的な考え方が WORM です。WORM は “Write Once, Read Many” の略で、一度書き込んだデータは読み取り可能だが、変更や削除はできないという考え方です。昔からテープメディアなどで使われてきた考え方ですが、AWS では S3 Object Lock、AWS Backup Vault Lock、EBS Snapshot Lock、FSx for NetApp ONTAP SnapLock などで同様の保護を実現できます。

Amazon S3 では、S3 Object Lock を利用することで、オブジェクトを一定期間または無期限に削除・上書きできないようにできます。S3 Object Lock を利用するには、バケットでバージョニングと Object Lock を有効にする必要があります。

S3 Object Lock には、ガバナンスモードとコンプライアンスモードがあります。ガバナンスモードでは、特別な権限を持つユーザーであればロック設定の変更や削除が可能です。一方、コンプライアンスモードでは、保護されたオブジェクトバージョンは root ユーザーを含むどのユーザーでも上書き・削除できず、保持期間を短縮することもできません。

AWS Backup では、AWS Backup Vault Lock を使うことで、バックアップボールト内の復旧ポイントを削除・改ざんされにくい状態にできます。Vault Lock もガバナンスモードとコンプライアンスモードの考え方があり、コンプライアンスモードでは指定期間経過後にボールトロック設定が変更・削除できない状態になります。

EBS の場合は、EBS Snapshot Lock によりスナップショットをロックできます。こちらもガバナンスモードとコンプライアンスモードがあり、コンプライアンスモードでは WORM 設定によりスナップショットを誤削除や悪意ある削除から保護できます。

また、Amazon FSx for NetApp ONTAP では SnapLock により、ファイルを WORM 状態へ移行し、指定された保持期間中の変更や削除を防止できます。これはファイル共有領域や業務ファイルをランサムウェアから守るうえで有効な選択肢になります。

バックアップ戦略としては、従来の 3-2-1 ルールに加えて、最近では 3-2-1-1-0 ルールが重要とされています。これは、3つのデータコピー、2種類の保存媒体、1つのオフサイトコピー、1つのイミュータブルまたはエアギャップされたコピー、そして 0 個の復旧エラー、つまり復旧テストで問題がない状態を目指す考え方です。

今回のセッションで特に重要だと感じたのは、「バックアップを取得していること」と「復旧できること」は別物だという点です。バックアップが存在していても、バックアップ自体がランサムウェアに感染していたり、復旧手順が整備されていなかったり、権限や KMS キーの問題で実際にはリストアできなかったりする可能性があります。

そのため、クロスアカウント、クロスリージョンでバックアップを保護し、さらに定期的に復旧テストを実施することが重要です。AWS Backup では、別 AWS アカウントへのバックアップコピーが可能であり、バックアップを別アカウントに保管することで、本番アカウント側で誤削除や侵害が発生した場合でも復旧手段を残しやすくなります。

さらに、AWS Backup の論理エアギャップボールトも重要な機能です。論理エアギャップボールトは、通常のバックアップボールトよりも追加のセキュリティ機能を持つ特殊なボールトで、AWS RAM を使って他アカウントへ共有し、共有先アカウントから復元できます。これにより、インシデント時にクリーンな別アカウントへ復旧する設計が取りやすくなります。

ランサムウェア攻撃を受けた場合の復旧シナリオとしては、新しい AWS アカウント、または事前に用意した復旧専用アカウントを利用し、そこにバックアップを共有・コピーしてリストアする流れが考えられます。既存の本番アカウントが侵害されている可能性がある場合、同じアカウント内で単純に復旧するのではなく、クリーンな環境に復旧することが重要です。

また、復旧前にはバックアップ自体がマルウェアに感染していないかを確認することも重要です。Amazon GuardDuty の Malware Protection for Backup では、EBS スナップショット、EC2 AMI、AWS Backup のリカバリポイントなどに対してマルウェアスキャンを実行できます。

監査の観点では、AWS Backup Audit Manager を使うことで、バックアップポリシーが定義したコントロールに準拠しているかを確認できます。たとえば、「すべてのリソースがバックアップされているか」「バックアップは暗号化されているか」「日次でバックアップされているか」といった観点を確認できます。

さらに、AWS Backup Restore Testing を利用すると、復旧テスト計画を作成し、対象リソースや復旧ポイントを選択して、定期的にリストアテストを実行できます。AWS Backup の復旧テストでは、テスト頻度や開始時刻、対象リソースを指定でき、復旧ジョブの状態や復旧時間を確認できます。

今回のセッションを通じて、ランサムウェア対策では「防ぐ」だけでなく、「攻撃を受けても戻せる状態を作る」ことが非常に重要だと感じました。特に、バックアップを取得するだけでは不十分であり、以下の観点を継続的に確認する必要があります。

・重要なリソースがバックアップ対象になっているか
・バックアップ保持期間は業務要件に合っているか
・バックアップが別アカウント、別リージョンにコピーされているか
・バックアップボールトや S3 オブジェクトがイミュータブルに保護されているか
・管理者権限や root 権限を奪われても削除されない設計になっているか
・KMS キーや IAM ロールの権限により、復旧時にリストアできるか
・復旧手順書があり、実際に復旧テストを行っているか
・復旧後のデータにマルウェアが含まれていないか確認できるか
・Audit Manager 等でバックアップ状況を継続的に監査できているか

結論として、ランサムウェア対策における AWS の復旧対策は、単なるバックアップ取得ではなく、イミュータブルなバックアップ、クロスアカウント・クロスリージョン保護、論理エアギャップボールト、マルウェアスキャン、監査、復旧テストを組み合わせた包括的な対策として考える必要があります。

特に重要なのは、「バックアップがあるから安心」ではなく、「攻撃者に削除されないバックアップがあり、クリーンな環境へ復旧でき、定期的にその復旧が検証されている状態」を作ることだと感じました。