エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9.14

to English version

自律型ランサムウェア対策の有効化

ONTAP 9.10.1以降では、新規または既存のボリュームで自律型ランサムウェア対策(ARP)を有効にすることができます。最初に学習モードでARPを有効にします。学習モードでは、システムがワークロードを分析して正常な動作を特定します。ARPは既存のボリュームで有効にすることも、新しいボリュームの作成時に有効にすることもできます。

タスク概要

ARPは、最初は必ず学習(ドライ ラン)モードで有効にする必要があります。最初からアクティブ モードにすると、誤検出レポートが大量に生成される可能性があります。

ARPは、最低30日間は学習モードで実行することが推奨されます。ONTAP 9.13.1以降では、ARPによって最適な学習期間が自動的に決定され、30日が経過しなくても自動的に切り替えが行われる場合があります。

詳細については、「学習モードとアクティブ モード」を参照してください。

既存のボリュームの場合、どちらのモードでも対象となるのは新しく書き込まれたデータだけで、ボリューム内の既存のデータは対象外です。それまでの正常なデータ トラフィックの特性は、ボリュームのARPを有効にしたあとの新しいデータに基づいて推定されるため、既存のデータはスキャンも分析もされません。
開始する前に
  • Storage VMでNFSかSMB(またはその両方)を有効にしておく必要があります。

  • 使用しているONTAPバージョンに対応した正しいライセンスがインストールされている必要があります。

  • NASワークロードにクライアントを設定しておく必要があります。

  • ARPを設定するボリュームを保護するには、アクティブなジャンクション パスが必要です。

  • ボリュームの使用済み容量が100%未満である必要があります。

  • ARPアクティビティ通知を含む電子メール通知を送信するように、EMSシステムを設定することが推奨されます。詳細については、「EMSイベントの通知をEメールで送信するための設定」を参照してください。

  • ONTAP 9.13.1以降では、マルチ管理者認証(MAV)を有効にして、自律型ランサムウェア対策(ARP)の設定に複数の認証済みユーザー管理者を要求することが推奨されます。詳細については、マルチ管理者認証の有効化に関するセクションを参照してください。

ONTAP System Manager
  1. [Storage] > [Volumes]を選択し、保護するボリュームを選択します。

  2. [Volumes]の概要の[Security]タブで、[Status]を選択して、[Anti-ransomware]ボックスで学習モードを[Disabled]から[Enabled]に切り替えます。

  3. 学習期間が終了したら、ARPをアクティブ モードに切り替えます。

    ONTAP 9.13.1以降では、ARPによって最適な学習期間が自動的に決定され、自動的に切り替えが行われます。学習モードからアクティブ モードへの切り替えを手動で制御するには、関連付けられているStorage VMでこの設定を無効化してください。
    1. [Storage] > [Volumes]を選択し、アクティブ モードにするボリュームを選択します。

    2. [Volumes]の概要の[Security]タブで、[Switch]を選択して、[Anti-ransomware]ボックスでアクティブ モードに切り替えます。

  4. ボリュームのARPの状態は、[Anti-ransomware]ボックスで確認できます。

    すべてのボリュームのARPの状態を表示するには、[Volumes]ペインの[Show/Hide]を選択して、[Anti-ransomware]ステータスがオンになっていることを確認します。

CLI
既存のボリュームでARPを有効にする
  1. 既存のボリュームを変更して、学習モードでランサムウェアからの保護を有効にします。

    security anti-ransomware volume dry-run -volume vol_name -vserver svm_name

    volume modifyコマンドを使用してランサムウェアからの保護を有効にすることもできます。

    volume modify -volume vol_name -vserver svm_name -anti-ransomware-state dry-run

    ONTAP 9.13.1以降にアップグレードした場合、アダプティブ ラーニングが有効になっているので、アクティブ状態への切り替えは自動的に行われます。この自動化を希望しない場合は、関連付けられているすべてのボリュームの設定をSVMレベルで変更します。

    vserver modify svm_name -anti-ransomware-auto-switch-from-learning-to-enabled false

  2. 学習期間が終了したら、保護されているボリュームを変更してアクティブ モードに切り替えます(自動的に切り替えられていない場合)。

    security anti-ransomware volume enable -volume vol_name -vserver svm_name

    modify volumeコマンドを使用して、アクティブ モードに切り替えることもできます。

    volume modify -volume vol_name -vserver svm_name -anti-ransomware-state active

  3. ボリュームのARPの状態を確認します。

    security anti-ransomware volume show

新しいボリュームでARPを有効にする
  1. データをプロビジョニングする前に、ランサムウェア対策による保護を有効にして新しいボリュームを作成できます。

    volume create -volume vol_name -vserver svm_name -aggregate aggr_name -size nn -anti-ransomware-state dry-run -junction-path /path_name

    ONTAP 9.13.1以降にアップグレードした場合、アダプティブ ラーニングが有効になっているので、アクティブ状態への切り替えは自動的に行われます。この自動化を希望しない場合は、関連付けられているすべてのボリュームの設定をSVMレベルで変更します。

    vserver modify svm_name -anti-ransomware-auto-switch-from-learning-to-enabled false

  2. 学習期間が終了したら、保護されているボリュームを変更してアクティブ モードに切り替えます(自動的に切り替えられていない場合)。

    security anti-ransomware volume enable -volume vol_name -vserver svm_name

    modify volumeコマンドを使用して、アクティブ モードに切り替えることもできます。

    volume modify -volume vol_name -vserver svm_name -anti-ransomware-state active

  3. ボリュームのARPの状態を確認します。

    security anti-ransomware volume show

Top of Page