豪雨による浸水、人命に関わるデータ、100本越えのサーバー…超絶難度でもデータ復旧率 95.2%を誇る業界トップエンジニアに現場最前線の話を聞いてみた
ウェブ会議やテレワークの普及、クラウド導入によるペーパーレス化、産業用ロボットの増加など、デジタルトランスフォーメーションで利便性が向上している一方で、自然災害や人的ミスによるデータの喪失やサイバー攻撃、情報漏えいなどのリスクが増えています。そこで、HDDやSSDから失われたデータを復旧してくれるデータリカバリー事業で11年連続国内売上No.1で、復旧率95.2%を誇るデジタルデータリカバリーのラボが、トラブル対応をよりスピーディーに行うために六本木ヒルズへ移転して問題解決もよりスムーズになったとのことで、一体どんな感じにラボが進化したのか、そしてどんな案件を解決できたのかを、デジタルデータリカバリーのトップエンジニアである井瀧義也さんに話を聞いてみました。
データ復旧.com【デジタルデータリカバリー】|復旧率95.2%のデータ復旧・復元サービス
https://www.ino-inc.com/
◆六本木ヒルズ内に存在する「ラボ」?
デジタルデータリカバリーを提供するデジタルデータソリューションは、官公庁法人のシステムデータの復旧、デジタル機器の解析による殺人事件・特殊詐欺等警察への犯罪捜査協力、サイバー攻撃の感染経路調査や、個人の思い出のデータ復旧まで幅広いニーズのデータトラブルに対応しています。同社には同社には年間約5万件の相談が日本全国から寄せられており、法人・個人問わず国内で発生したデータに関するトラブルの駆け込み寺になっています。ますます増える相談にスピーディーに対応するため、デジタルデータソリューションは今まで銀座にあった本社ラボを、2021年8月に六本木ヒルズへ移転しました。
銀座にあったデジタルデータリカバリーのラボがどんな感じだったのかは、以下の記事を見るとよくわかります。
復旧率95.2%を誇るデータ復旧のプロに「RAID障害に関する疑問」を根掘り葉掘り聞きまくってきた - GIGAZINE
銀座のラボでは、フロアが2つに分かれており、データ復旧やフォレンジック(デジタル鑑識)、セキュリティの各サービスがバラバラに配置されている形だったのに対して、六本木の新しいラボではフロアを2倍に拡張し、各サービスの担当者達がワンフロアですぐコミュニケーションを取れる形に変わりました。銀座のラボと同じように、六本木のラボでもセールスとエンジニアが同じフロアにいるため、全国から寄せられる相談にすぐに連携を取って対応ができる体制をとっています。
今回リモートで話を聞くのは、デジタルデータソリューションのデジタルリカバリー事業部エンジニアグループのグループ長である井瀧義也さん。井瀧さんはデジタルデータリカバリーのエンジニアグループ37人を取りまとめており、これまで8000件以上のデータ復旧に対応し、サーバー機器だけでも400件以上の案件に携わってきたトップエンジニアです。
GIGAZINE(以下、G):
デジタルデータソリューションの本社が六本木ヒルズに移転したことのメリットはなんですか?
井瀧義也さん(以下、井瀧):
フロア面積が倍になり、エンジニアエリアも3倍の広さになったことで、単純に設備や人員を倍増できたことですね。銀座にいた時は正直スペースが足りず、限られた設備で復旧しなくてはならなかったのですが、ご依頼は年々増えているのでどうにか設備と人員を増やそうとしているところでした。六本木ヒルズに移転してラボが広くなったことで、その辺りの対応が非常にスムーズにできるようになりました。
G:
なるほど。
井瀧:
HDDの物理修復チームに関しては、作業を行う際にクリーンルームが必要となります。HDDのデータ復旧は、今のところ従来のクリーンルーム内で対応できているので、作業のスペースをちょっと増やしたくらいですね。
井瀧:
HDDは8000台近くが交換用の在庫として確保されており、社内に並んでいます。
日本国内にあるHDDについてはほぼ100%置いてあると思います。ご依頼の中にはどうしても世界中探し回らないと発見できないHDDもありまして、そういった場合はお客様に復旧までの期間を延長していただいてお待たせすることもたまにあります。フロアが拡大して在庫として確保できる部品数が増えることで、そういうこともなくなっていくのではないかなと思いますし、これまで以上に部品の調達もしやすくなったと思っています。
近年はUSBやSSDなどのメモリ系に関する依頼が増えているので、メモリ系エンジニアのスペースや設備、人材の確保、技術投資も行っています。メモリ自体はHDDよりも小さいのですが、はんだで作業をしたり顕微鏡を使ったりと、実はHDDの4~5倍は作業スペースが必要になるんです。HDDよりも部品の種類が多く、採算が合わないことを理由に他社の復旧業者だとメモリはなかなか対応していない領域でもあるのですが、お客様が必要としている以上、そこはこだわっていきたいですね。
G:
スペースや部品がHDD以上に必要とは、意外でした。
井瀧:
物流部門もスペースとしては3倍くらいに増えています。機器については毎日到着するのですが、お客様から預かった機器を傷付けることはあってはならないので、保管するスペースの都合上、お客様にお待ちいただくこともありました。しかし、六本木にラボが移転して広くなったことで、余裕を持ってより多くの機器を保管できるようになりました。
データ復旧に加えてフォレンジック(データ調査)の専門エンジニアも横にいますので、ランサムウェアやデータの持ち出しなどのインシデントについては、復旧だけではなくランサムウェアの感染経路や使用履歴の調査も連携して対応できるようになっております。
なお、金属ゲートを設置してセキュリティチェックも引き続き行っています。六本木ヒルズの中に、まるで工場のようなセキュリティチェックを行うオフィスが入るのは初めてだそうです。
ここからは、実際にデジタルデータソリューションが直近に対応した事例について、井瀧さんに詳細を聞いてみました。
◆事例1:豪雨災害で水没したサーバーをスピード復旧
2021年8月11日に発生した、西日本を中心とした豪雨被害で受けた事例では、床上34cmまで水が溜まったことで、中央監視システム用とデータ保管用サーバー機器の半分ほどが水没してしまったとのこと。2本組・RAID1構成のHDD自体も水に浸かっていて、HDDを乾燥した後にデータをチェックしてもアクセス不能という状態だったそうです。
井瀧:
もちろんHDDの中に水が入っていて、水の質によってはデータを読み出せないということもあるのですが、自然災害による泥や雨水だったので、ある程度洗浄することでデータを読み出すことが可能になりました。
G:
水の質というのは復旧難度を左右するものなのですか?
井瀧:
ものによっては復旧が難しくなります。例えば海水だったりとか……復旧不可にはならないんですが、100%取れるかどうかは水の質に関わってきます。塩などの結晶がディスクについてしまうと、復旧の難度は上がりますね。
通常、HDD内部に異物が入り込んでしまうと、プラッタというデータを記録している部分にひっかき傷(スクラッチ)ができてしまいます。弊社ではスクラッチ加工の独自技術を開発しているため、他社様では断られるような重度障害が発生したHDDの復旧にも対応しています。今回は、結果的に傷の加工に成功し、HDDから100%のデータを取り出すことができました。
HDDをコピーするだけではなく、実際に中身を分析すると、データ自体も壊れていました。データが入っているべき箇所に何もデータがないという状況が存在していたので難度は高かったのですが、論理的なデータや情報の修復について担当を分け、それぞれの強みを生かして復旧しました。復旧は2日で完了し、弊社の強みであるスピード復旧をすることで、お客様の損害も最低限に抑えることができました。
G:
先日あった熱海の時も案件はありましたか?
井瀧:
熱海の時も何件かご相談がきていましたね。大雨や洪水が発生すると何かしらインシデントが起きているような形になると思います。だいたい災害が発生してから数日あるいは数週間してからご相談がきます。
◆事例2:コロナの裏側で医療機関のサーバーから患者のカルテデータの復旧
井瀧:
これは関東の医療機関のデータを扱う保守業者からの依頼でした。患者の投薬情報や電子カルテなどを管理する医療機関のサーバーが予兆なく突然故障したというもので、データの抽出に加えてサーバーのRAID再構築も行いたいという依頼です。
通常、データ復旧の会社は中からデータを取り出して納品するというパターンがほとんどなんですが、弊社に関しては「もう一回機器を起動できるようにしてほしい」というご相談も多くあります。今回のご依頼は、「データだけ取り出しても意味がない。コロナの影響もあり現場はひっ迫している。すぐにシステムを使える状態でないと人命に関わる」というものでした。
G:
起動できるように、というと修理の側面もあるんですね。
井瀧:
基本的に修理のご相談をされるお客さまというのは、弊社にご依頼いただく前に修理できるかどうかを試している場合が多いんですね。保守業者やネットワーク機器に詳しい業者がなんとか試して直すのですが修理できなかった、というのが弊社に依頼としてやってくる。保守業者が全く対応できないものを弊社で環境復旧して納品するというケースも結構多く、その技術力がデータ復旧のプロとして強みが出せるポイントかなと思っています。
今回は、中身としてはHDD自体はほとんど壊れていなくて、中の論理的な破損を修復した形です。保守会社だとCHKDSKを走らせるなど、Windowsの標準機能を使って修復することが多いと思うんですけど、私たちはWindowsの機能よりももっと深くに入って修復しました。
G:
今回はほとんど論理的な部分のみということだったんですが、物理的な損傷が大きい場合はHDDの交換も含めて復旧を行っていくんでしょうか?
井瀧:
そうですね。機器の外側の部分とかも含めて行っていきますね。データ復旧を行う企業でHDDについて詳しいところは多いんですが、例えばサーバーについてもマザーボードやメモリなどのHDD以外の部分に関しても詳しいエンジニアが弊社にはいるので、そこが他社とは違うところだと思います。
G:
環境ごと復旧するのとデータだけ復旧するのだと、もちろん環境ごと復旧する方が難度は高いと思うのですが……
井瀧:
難度は上がります。
G:
実際にどれくらい難しいものなのでしょうか?
井瀧:
データ復旧は数ファイルが壊れていてもデータは取り出せますが、環境復旧となると起動に必要なファイルはすべて元に戻さないと起動できないので、環境復旧はデータ復旧よりも何倍も難しいと思います(笑) 実作業としては、何回も何回もHDDを書き換えてしまうので、クローンディスクを何個も作って、ある程度修復して元に戻します。それで起動しなければ、またHDDを修復して元に戻す……このような作業を幾度も繰り返します。今回のケースでは2~3日で終わったので、だいぶ早く完了した感じです。
G:
作業時間としては、やはりRAIDを再構築する通常の復旧よりも、環境ごと復旧する方が時間はかかるのでしょうか?
井瀧:
環境ごと復旧する方が時間はかかります。先ほどもお話しましたが、データ復旧の場合、数ファイル破損があったとしても、RAIDの再構築を行い全体のデータを取り出す上ではそこまで大きな問題になりません。
しかし、環境復旧の場合、OSの起動に必要なファイルも修復する必要があって、この修復作業に全体の時間の8割ほどを使う感じですね。データを管理するファイルシステムに加えて、OSを動作させるシステムファイルが破損している場合、これも修復します。また、データ復旧では必要無い、レジストリの修復作業が必須になります。起動した後のドライバの読み込みや、OSの起動に必要なデータがレジストリにも存在しているためです。もしこれらが1つでも破損していると、機器は正常に起動しません。なので1ファイルごとの修復作業にもとても労力を費やしています。
G:
データの抽出だけではなく、RAIDとデータの再構築もやってほしいという依頼は多いんですか?
井瀧:
そうですね、要望としては多いです。大体は、大手企業や古いシステムを昔から使ってる企業から依頼されることが多いですね。 なお、環境復旧を行っておけば、起動に必要なシステムも含めて丸ごとデータが復旧されることになりますので、依頼いただいた法人様は納品後スムーズに業務に移行できます。このような環境復旧に対応できる業者は、国内でもおそらく自社ぐらいではないかと思います。
◆事例3:うっかりミスで大企業のデータを飛ばしたHDD100本組み大型サーバーの復旧
この事例は日本国内にデータセンターを持つIT企業からの依頼でした。問題のデータサーバーには100本以上のHDDが積まれており、海外のエンジニアチームがリモートでデータサーバーの拡張作業を行っていたところ、チームの1人が間違えてボリューム1個を消してしまったので、復旧してほしいという依頼内容でした。
井瀧:
今回のサーバーのHDD本数としては100本ですが、その中の仮想的なボリュームは何十個もあり、そのすべてをRAIDとして構築していた状態でした。今回はデータの容量がいっぱいになったため、ボリュームを1個新しく追加しようとしたところ、拡張する時に使うコマンドで1文字だけ間違ってしまった。ボリュームの名称はA、B、C、Dとアルファベットをつけていくのですが、新しく作るボリュームの指定を、例えば「O」にしなければならないところを「F」にしてしまった。Fというボリュームは既に存在しているので、コマンドの誤入力によって既存のFが消えてしまったわけですね。
G:
なんと。
井瀧:
RAIDというのは複数のボリュームをつなげることになるんですが、1つのボリュームを消してしまったことで、RAIDが壊れて一切何も見えなくなってしまったという障害です。作業内容としては、消してしまったボリュームをHDDの中から1つずつ見つけていって復活させていき、RAIDを再構築してデータ復旧に成功しました。
今回の依頼は他社さんにも相談していたそうなのですが、そこでは「こんなの絶対無理ですよ」と断られたところで弊社にも相談がきたので、複数人のエンジニアで対応しました。何が大変だったかというと、Linux系のボリュームの削除はデータ復旧界隈ではかなり難しいものといわれていまして……削除した形跡が情報としてほぼ残っておらず、時間が経つと物理的に消えてしまうので、データの断片を何とか見つけ出して、そこから分析をしてRAIDを再構築しました。
G:
HDDが100本もあると、外部への持ち出しは不可能だと思われるのですが、どのように対処したのでしょうか?
井瀧:
今回は現地に出張して希望データの復旧を行うという形になりました。もちろん100本のHDDを同時に接続しなければならないので、そのための設備も持っていきました。ただし、今回はHDDのイメージコピーを取ることで、容量は大きくても見た目はコンパクトにしながら、限られたスペースを使って作業をしました。
当社では法人様限定ですが、専門のトップエンジニアが北海道から沖縄まで向かっており、その場で状態を確認します。診断費や出張費はかかりません。特にサーバーのデータ障害は、業務に支障が出ることが多いので、法人様からのお急ぎ依頼がとても多いですね。なので、いち早く出張に向かい、最短当日にデータ復旧を行っています。
G:
今回の事例で怖いなと思ったのは、大きな企業でも「人為的ミスでデータが一気に飛んで消えてしまう」ということが起こり得るということですね。
井瀧:
しかも、実際に作業している方がちゃんと報告していなかったことで、こっちに回ってくる情報が実際と違うということもよくありますね。最初は復旧が難しいなと思いながら作業していても、調べていくうちに本当はどこをどうやって削除していったかがわかることもあります。
G:
人間なので、ミスをしてしまった時に隠してしまいたいと思ったり混乱してしまったりする気持ちはよくわかります。やはり当事者から正しく報告がされないというケースはよくあるのでしょうか?
井瀧:
ありますね。エンジニアとしては初期診断という形で何を削除したのか、どうやったら壊れたのかという情報をまず聞くのですが、「いや、あの……勝手に消えたんですよ」など、情報をちゃんと話してくれないお客様はやっぱり多いです。実際はこういう作業をしたっていう情報を最初に言ってくれればもっと簡単に復旧できるのにと思うケースはあります。
弊社ではデータ復旧だけではなく、社内の不正調査や退職者がデータを持ち出した可能性についての調査の依頼をフォレンジックで受けるのですが、その場合でも最初に正直に話していただくということはなかなかないですね。関係者の人もなかなか喋ってくれなかったり、状況を把握していなかったりということも多いので、分かる範囲で情報を出していただくということがインシデントの時には重要なことだと思います。
また、そのリスクを低減させるためのサイバー保険に加入している企業の割合は、アメリカは47%と半分近くなのですが、日本だと約7.4%とかなり低い数字なんです。サイバー攻撃や情報流出など、セキュリティインシデントが発生した際に被害をできるだけ抑えて、事業をできるだけ長く続けられるようにBCP(事業継続計画)として備えておくように、企業が取り組んでいかないといけない状況になっているといえます。
G:
なるほど、本日はお話ありがとうございました。
データ復旧.com【デジタルデータリカバリー】|復旧率95.2%のデータ復旧・復元サービス
https://www.ino-inc.com/
・関連コンテンツ