これで安心！ONTAPのランサムウェア対策機能でセキュリティを強化しよう！パート①｜技術ブログ

NetApp

2022.03.25

みなさん、こんにちは。

SB C&S　技術担当の河村です。

突然ですが、みなさんはデータセキュリティについてどのようにお考えでしょうか？

IT業界の進化は非常に早く、幅広い分野に普及されたことによって企業が持つデータは年々増加しており、それに伴ってデータそのもが持つ価値がますます高まってきています。

一方で、そんなデータを狙うサイバー攻撃も多様化しており、データを安全に管理するためには、データ保護機能への投資が極めて重要になってきます。

そこで今回は、ONTAPの最新バージョンで新たに追加されたランサムウェア対策機能について全2回に渡って紹介していきたいと思います。

　ランサムウェアとは？　　　　　　　　　　　　　

まず、ランサムウェアについておさらいしておきましょう。

ランサムウェアはマルウェアの一種で、ファイルを暗号化をすることによって使用不能にし、暗号化を解除することを条件に身代金を要求する不正プログラムです。

図22.png

従来のランサムウェア攻撃は、明確な標的を定めず、メールのばらまきや悪意のあるWebサイトの閲覧者への攻撃などによって、不特定多数に対しての攻撃が終了でしたが、最近ではデータ暗号化による身代金要求に加え、暗号化前のデータを窃取しておくことで、対価を支払わなければデータを公開するといった二重の恐喝が行われるようになってきています。

図24.png

また、どこを守るか考えることも非常に重要で、一般的にランサムウェア攻撃と聞くとPC上のデータの保護を思い浮かべるかもしれませんが、PCからアクセスできるファイルサーバについても対象になってきます。

ファイルサーバには、組織の人間が大量にアクセスを行っているため、多種多様なデータが存在し、これらのデータが暗号化されてしまうと大規模な被害になってしまう可能性が高いです。さらに最近のランサムウェア攻撃では、標的型攻撃と同じように攻撃者が特定の組織に侵入し、密かに被害範囲を拡大していくため、ネットワークやエンドポイントでの対策はもちろん、ストレージ部分も含めたマルチレイヤでの対策が非常に重要になってきます。

　ONTAPのランサムウェア対策機能　　　　　　　　　　　　　

では、ONTAPではランサムウェア攻撃に対してどういった対策をとっているのか説明していきます。ONTAPとは、NetApp社が提供するストレージ専用に設計されたOSで、高パフォーマンスでありながら、ストレージにおいて必要となる様々なデータ管理機能が搭載された「データ管理ソフトウェア」です。

これまでは、定期的にSnapshotを取得しておくことにより、常に安全なデータを確保しておいたり、FPolicyでの不明な拡張子を持つファイル制限などによって、ランサムウェア対策を行ってきたONTAPですが、最新バージョンであるONTAP 9.10.1で、新たに「ランサムウェア対策」機能が追加されました。

ランサムウェア対策専用の機能を有しているストレージは非常に珍しく、NetApp社がデータセキュリティに関して注力していることが分かります。

ランサムウェア対策は、FlexVol単位で設定する機能となっており、ONTAPの管理ツールであるSystem Manager上で本機能を有効にするだけなので、非常に簡単にシステムに取り入れることができます。

1つ重要な点として、ONTAPのランサムウェア対策機能は、「攻撃の未然防止」ではなく「被害の最小化」が目的となっています。
ここからは、ランサムウェア対策機能の詳細について見ていきましょう。
　

　攻撃の検出方法　　　　　　　　　　　　　

　
ONTAPのランサムウェア対策機能では、ファイルのアクセスパターンとファイルのエントロピーを用い、機械学習によってランサムウェア攻撃を検出します。

エントロピーとは、ファイル自身の複雑性を表す値であり、プレーンテキストであれば値は低く、暗号化などの処理が施されたファイルでは値は高くなります。
ONTAPでは、そういったエントロピーの状態を検出条件に含めています。

図1.png

もちろん、それだけでランサムウェア攻撃と決めつけるわけではなく、日々の運用状況を機械学習で分析し、通常運用では考えられないようなアクセスパターンやエントロピーの状態から攻撃を検出します。
　

　攻撃検出後の動作　　　　　　　　　　　　　

ONTAPのランサムウェア対策機能では、攻撃検出後に該当のボリュームに対して自動でSnapshotを実行します。また、取得されたSnapshotにはロックがかかり、誤ってデータを削除してしまうことを防ぎます。

図2.png

もともとONTAPのSnapshotはRead-Onlyのため、Snapshot自体を書き換えられる心配はなく、Snapshotさえ取得できればそれ以上の被害を受ける可能性は極めて低くなります。

注意点として、ONTAPのランサムウェア対策機能では、攻撃を検出すると即座にSnapshotを取得しますが、攻撃後の取得となるため、少数のファイルは暗号化された状態になります。
そのため、ランサムウェア対策機能とは別に、定期的なSnapshotを取得しておき、それらを組み合わせて完全なデータを復旧することが推奨されます。

図26.png

また、攻撃検出の際にはアラートも出力され、System ManagerやCLIから確認できる他、EMS(Event Management System)で設定をしておけば管理者への通知も可能です。

従来までのONTAPでは、ランサムウェア攻撃によってデータが暗号化されることにより、スケジュールされたSnapshotの差分データが急激に増加したり、暗号化によって重複排除や圧縮の効果が薄れてしまうといったように通常の機能に影響が発生することでランサムウェア攻撃の疑いを持つことができましたが、間接的に気づくには限界があるため、アラートによる管理者への通知は、ランサムウェア攻撃の二次被害を防ぐ上でも非常に有用な機能です。

図3.png

　ライセンス　　　　　　　　　　　　　

ONTAPのランサムウェア対策機能を有効にするためには、以下のライセンスが必要になります。
購入をご検討される方は、弊社営業までお問い合わせください。

「Anti-Ransomware」の旧ライセンスである「Security and Compliance bundle」は2022年2月末をもって販売終了しています。
アンチランサムウェア対策機能の単体ライセンスの販売はありません。

※本ブログに記載のライセンス情報は2022年3月末時点のものになります。
　最新情報については、弊社までお問い合わせください。

　まとめ　　　　　　　　　　　　　

これまでの一般的なランサムウェア対策としては、ネットワークやエンドポイントに対して実施するケースがほとんどでしたが、セキュリティリスクというものは、どこからどのように発生するか分からなく、ランサムウェア攻撃に対して完全に守れる防御システムは存在しません。

だからこそ、記事の冒頭でお話したような多重防衛が非常に重要になってきます。ONTAPのランサムウェア対策機能は、ネットワークやエンドポイントのセキュリティソフトウェアが攻撃を検出できなかった場合の最終防衛ラインです。万が一攻撃を受けてしまった際の被害を最小限に抑えるためにも、実際にデータを管理しているストレージでのランサムウェア対策をおすすめします。

また、ONTAPのランサムウェア対策機能はNetApp社が提供するクラウドベースのセキュリティツールである「Cloud Secure」とも併用が可能です。Cloud Secureは、お客様のシステム内にあるADと連携するため、ランサムウェア攻撃の検出に加え、攻撃に関与したユーザーの特定も可能になります。攻撃の検出もONTAPのランサムウェア対策機能とは異なるため、併用することでより強固なセキュリティを構築することができます。