こんにちは。SBC&S　稲葉です。

本記事ではVeeam Backup＆Replication（以降Veeam）とPowerProtect Data Domain(以降DataDomain)を使用したランサムウェアに備えたバックアップソリューションをシリーズにてご紹介いたします。

第1話では、求められるバックアップと背景、実現するためのソリューションとしてVeeam x DataDomainについてご紹介いたしました。第2話ではDataDomainにおけるRetntionLockに関するデータ保護機能を抜粋してご紹介していきます。

DataDomainにおけるデータの保護

１）Retention Lock

DataDomainで使用されるデータ保護の仕組みである「Retention Lock」とはデータをImmutable（変更不可）の状態とし、配置したデータを指定期間、改変せずに保持するための機能となります。

Retention Lockされたデータは指定期間読み取り専用となり、データに対する変更及び削除が行えなくなります。

DataDomainにて使用できる「Retention Lock」には「Governance Mode」と「Compliance Mode」の2種類があり、Veeamと連携する場合はよりセキュリティの高い「Compliance Mode」が使用されます。

各モードの違いは以下の通りとなります。

①    Governance Mode

• 格納するデータの改変および削除からの保護
• システム管理者による有効/無効が可能
• データ保持のための標準的なITガバナンスに準拠

②    Compliance Mode

• 格納するデータの改変および削除からの保護
• US及び国際規制エージェントのコンプライアンス要件に対応
• Security Officerの管理者権限によるDual Sign On Mechanismを使用
• Veeamとの連携をサポート

詳細に関しましては以下リンク先よりご確認いただけます。
Data Domain：Retention Lockに関するよくある質問/FAQ

２）Dual Sign On Mechanism

システム管理におけるセキュリティインシデントの一つとして特権アカウントの不正利用が挙げられます。DataDomainのCompliance Modeでは「Dual Sign On Mechanism」機能を併用し、システム管理者とSecurity Officerの2段階の認証システムを構成することができます。

仮にシステム管理者アカウントが不正利用された場合でも、重要な設定の変更にはSecurity Officerによる認証を必要とし、データを保護するためのシステム設定を容易に変更できなくする仕組みが取れられています。

例えば、Compliance Modeにて管理者アカウント（syadmin）を使用して保持期限の最大値を変更する場合は、実行後に「Security Role」が設定されたユーザー(Security Officer)の認証が求められ容易に変更ができません。

そのほかにSecurity Officerの承認が必要な項目としてDataDomainでは以下の項目が挙げられます。

• MTree（*1）に対するCompliance Modeの有効化
• 保持期限の変更
• システム時刻に関連する操作
• ライセンスの更新およびリセット
• アラート通知の変更 etc...
  *1) MTree：DataDomainのFilesystem上に作成するデータ格納領域。

またCompliance Modeを有効にした場合、「Dual Sign On」を用いても以下の操作に関しては実行ができないよう制限が設けられます。

• DataDomainのファイルシステム破壊
• Retention Lockファイルが格納されているMTreeの名称変更および削除
• MTreeに設定されたCompliance Mode無効化

詳細は以下をご覧ください。

Security Officer Sign-On requirements
https://infohub.delltechnologies.com/es-es/l/dell-powerprotect-data-domain-retention-lock/security-officer-sign-on-requirements/

３）システム時刻の変更制限

Retention Lockは事前に指定した日時までデータへの変更や削除を阻止する機能となりますが、その基準となる日時の情報を未来時間に進めてしまうとどうなるでしょうか。

単純に考えるとOSが認識する日時が設定された日付を超えた場合はデータのロックは解除され、データの変更や削除が行えるようになることが予想されます。

DataDomainではシステム管理者アカウントが不正利用され、OS時間の改ざんが試みられた際に抑止する機能が備わっております。

実際にシステム管理者IDを使用してOSの日時を変更しようとした結果が以下の通りです。

システム管理者にて日時の変更を試みるとSecurity Officerによる認証が求められ、変更の可否を問うプロンプトが表示されます。

2段階目の認証を突破したとしても、変更の意思を確認するプロンプトが表示された上、事前に設定した時間以上の変更ができないメッセージが表示され、時間の大きな変更を阻止する機能が働きます。
（※下図は「date-change-limit」を60分に設定した際の結果となります。）

また60分以内の変更を繰り返そうとしても、事前に設定した変更頻度日数の設定により指定期間が経過しない限り日時の変更が行えないようにすることが可能となっています。
（※下図は「date-change-frequency」を3日に設定した際の結果となります。）

なおDataDomainに対してNTPが設定されている場合は、日時変更を試みても処理が中断されることが確認されております。

実際の本番環境ではNTPの設定が想定されるため、意図的に日時を変更されるケースは少ないことが考えられますが、万が一NTPを無効化されたとしても、日時変更が容易に行えない防御機能が備えられていることを確認いただけたと思います。

以上を踏まえまして、DataDomainではRetention Lockの基準となる時刻に関しても容易に変更ができないようになっており、システムの完全性およびデータの保護が保たれるような仕組みが実装されていると言えるのではないでしょうか。

本ブログでご紹介しましたシステム時刻に関する内容は、ほんの一部となります。
詳細を確認されたい場合は以下URLを参照ください。

Secure System Clock
https://infohub.delltechnologies.com/en-us/l/dell-powerprotect-data-domain-retention-lock/secure-system-clock/

４）Indefinite Retention Hold（IRH）

Indefinite Retention Holdは現在格納されているMTree配下のファイルをすべてロックするための機能となります。

通常Retention Lockの機能はデータがロックされる期限を事前に定義しますが、法的事案などにより期間未定でデータを残す必要がある場合にIRHは役立ちます。

IRHは、System Manager画面にて指定したMTreeの画面配下に設定画面が表示され、有効化することによりロックの開始日が表示されるようになります。

Compliance ModeにおけるIRHの有効化および無効化を実施する場合はコマンドにて実行が必要となり、実行時にSecurity Officerの認証が必要となります。
（※Governance Modeの場合は、System Manager画面より変更が可能）

５）格納領域の柔軟性

DataDomainではRetention Lockの領域を検討する際、一つのDataDomainの物理筐体内にRetention Lock領域と非Retention Lock領域を共存させることができます。

Retention Lock領域と非Retention Lock領域はMTree単位にて設定することができ、格納するデータをロックさせたくない領域やロックの最大期間に差異を持たせたい場合に、物理的な筐体を増やすことなく、柔軟な構成を可能とします。

次回予告

第2話ではVeeamバックアップデータの格納先となるDataDomainのデータ保護機能である「Retention Lock」にフォーカスし、お伝えいたしました。

第3話では、「バックアップの新たなカタチ"Veeam x Data Domainの連携（DataDomain）"」と題して、VeeamとDataDomain間の構築時のポイントをご紹介いたします。

第1話：「バックアップの新たなカタチ"Veeam x Data Domainのソリューション"」
第2話：「バックアップの新たなカタチ"Veeam x Data Domainの機能（Retention Lock編）"」
第3話：「バックアップの新たなカタチ"Veeam x Data Domainの連携（DataDomain編）"」
第4話：「バックアップの新たなカタチ"Veeam x Data Domainの連携（Veeam編）"」