みなさん、こんにちは。
SB C&S 技術担当の小林です。

前回は、ARP/AI for Blockの検出アーキテクチャについて整理しました。
「SANはファイルが見えないのに、どうやって検出するのか？」

その疑問に対し、ボリューム単位での書き込みデータのエントロピー変化を監視する仕組みをご説明しました。

今回は、シリーズ第3弾として、ARP/AI for Blockの検証結果を報告していきます。

検出の有無だけでなく、ボリューム容量や評価期間の有無によって、検出挙動がどのように変化するのかを検証しました。

今回の検証について

今回の検証では、FCおよびiSCSIの両プロトコルで構成したSANボリュームに対し、疑似ランサムウェアによる暗号化スクリプトを実行し、ARP/AI for Blockの検出有無および検出特性を確認しました。

また、ARP/AI for Blockの検出特性を深く知るために、プロトコル、ボリューム容量、ボリューム内のデータ量、評価期間の有無、ホストOS、物理/仮想構成といった環境差異など、さまざまな要素を組み合わせて複数のパターンで検証を実行しました。

続いて、検証環境について整理します。
全体構成のイメージ図は以下になります。

次に、検証環境の詳細について説明します。

■　FC環境（仮想環境）

・利用形態：仮想基盤共有データストア
・仮想基盤：VMware vSphere 7.0.3
・ゲストOS：CentOS Linux 8

■　iSCSI環境（物理環境）

・利用形態：サーバー専用ボリューム
・OS：Windows Server 2022（ベアメタル構成）

■　ストレージ環境

・機種：NetApp AFF C250
・ONTAPバージョン：9.17.1
・FC用／iSCSI用にそれぞれSVMを構成
・ボリューム容量：50GBおよび1TB

■　暗号化対象ファイル

・対象ファイル：.json / .xml / .csv 等
・対象ファイルのデータ量：50GB/1TBのそれぞれのボリュームに対して、約60％、約10％の4パターン

■　疑似ランサムウェアスクリプト

・指定ディスク配下のファイルを暗号化し、拡張子を変更
・暗号化方式：AES

ここまで、詳細情報やイメージ図とともに、検証概要や環境について説明してきました。
ここからは、以下①～③に記載した検証手順を説明します。

■　検証手順

①　学習期間を設定していない状態で、
　　Linux+FCデータストア（仮想環境）およびWindows+iSCSI（物理環境）の
　　50GB／1TBボリュームに60％のデータを格納し、暗号化を実行。

②　①と同条件の4パターンに対して、10％のファイルを格納して、暗号化を実行。

③　最後に学習期間を30分間設定して、Linux+FCデータストア（仮想環境）と
　　Windows+iSCSI（物理環境）の2パターンに対して、暗号化を実行。

以上が、本検証で実施した各パターンの手順となります。

冒頭でも記載した通り、プロトコル、ボリュームサイズ、評価期間の有無といった、
さまざまな環境を想定して、①～③の全10パターンの検証を行いました。

続いて、それぞれの条件下で確認された検出結果を整理していきます。

検証結果

①60％のデータ量のファイルを暗号化した場合

50GBおよび1TBのボリュームに対し、それぞれ約60％のデータ量のファイルを暗号化しました。
その結果、10分前後ですべてのパターンにおいて検出を確認しました。

約60％のデータ量のファイルを暗号化した本検証パターンは、実運用に比較的近い条件を想定したものです。
そのような条件下においても、ボリューム容量の大小、プロトコル、OSの違いに左右されることなく、検出されることが確認できました。

②10％のデータ量のファイルを暗号化した場合

50GBおよび1TBのボリュームに対して、それぞれ約10％のデータ量のファイルを暗号化しました。
その結果、10〜20分程度ですべてのパターンにおいて検出を確認しました。

60％のファイルを暗号化した場合と比較すると、検出までに時間を要する傾向が見られましたが、
暗号化規模が比較的小さい場合でも、確実に異常を捉えていることを確認しました。

③学習期間を30分設けた場合

30分間の学習期間を設定した1TBボリュームに対し、約10％のデータ量のファイルを暗号化しました。
その結果、最速で約30秒で検出を確認しました。
また、iSCSI環境においても検出時間は6分となりました。

今回の検証結果から、学習期間の有無により、検出時間が早まる傾向が見られました。

一方で、FC環境とiSCSI環境では構成条件や実行基盤、ワークロード特性が異なります。

そのため、検出時間の差異がそのままプロトコル間の優劣や性能差を示すものではなく、
本結果は、あくまで本検証環境および実行条件下で確認された挙動の一例とご認識ください。

最終結論

今回の検証結果から、ARP/AI for Blockは環境差に左右されず、ランサムウェア対策として有効に機能するといえます。

実際に、評価期間を設けない場合であっても、実施したすべてのパターンで検出が確認されました。
また、評価期間を設定したケース（30分）では、0分の場合と比較して検出までの時間が短縮する傾向が見られ、最速約30秒での検出が確認されました。

ただし、検出時間や精度はワークロード特性や暗号化の進行状況に依存するものであり、特定の時間や精度を保証するものではありません。

最後に、検証結果の一覧を示します。

Linux+FCデータストア（仮想環境）

使用データの割合	ボリューム容量	検出有無	検出速度	学習期間
60％	50GB	〇	12分	0分
60％	1TB	〇	9分	0分
10％	50GB	〇	12分	0分
10％	1TB	〇	9分	0分
10％	1TB	〇	30秒	30分

Windows+iSCSI（物理環境）

使用データの割合	ボリューム容量	検出有無	検出速度	学習期間
60％	50GB	〇	9分	0分
60％	1TB	〇	7分	0分
10％	50GB	〇	9分	0分
10％	1TB	〇	17分	0分
10％	1TB	〇	6分	30分

※数値はおおよその値となります。

まとめ

繰り返しのご説明となりますが、本検証においては、環境の違いに左右されることなく、ARP/AI for Blockがランサムウェアを検出できることを確認しました。

本シリーズ全3回を通して、ARP、ARP/AI、そしてブロックワークロードへの対応状況や検出精度についてご紹介してきました。

ランサムウェア被害は増加の一途をたどっており、その手法も今後さらに複雑化していくことが予想されます。

各対策機能は非常に強力ですが、それだけにとどまらず、ランサムウェアに対抗するため継続的な機能強化とアップデートを推進していくことがNetAppの取り組みです。

ここまでご拝読いただき、誠にありがとうございました。

今後もNetAppの最新技術についてお伝えしてまいりますので、引き続きご覧いただけますと幸いです。