エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9

to English version

自律型ランサムウェア対策 - 概要

ONTAP 9.10.1以降、NAS(NFSおよびSMB)環境では、ワークロード分析を使用した自律型ランサムウェア対策(ARP)機能により、ランサムウェア攻撃の可能性がある異常なアクティビティが未然に検出されて警告されます。

攻撃の疑いが検出された場合、定期的なSnapshotコピーによる既存の保護に加えて、新しいSnapshotコピーも作成されます。

ライセンスと有効化

ONTAPリリース ライセンス

ONTAP 9.11.1以降

Anti_ransomware

ONTAP 9.10.1

MT_EK_MGMT(マルチテナント キー管理)

  • ONTAP 9.11.1以降にアップグレードしていて、ARPがすでにシステムに設定されている場合、新しいランサムウェア対策ライセンスを購入する必要はありません。新しくARPを設定する場合は、ライセンスが必要です。

  • ランサムウェア対策ライセンスでARPを有効にしていたONTAP 9.11.1以降をONTAP 9.10.1にリバートすると、警告メッセージが表示されて、ARPの再設定が必要になることがあります。ARPのリバートについては、こちらを参照してください。

ONTAP System ManagerまたはONTAP CLIを使用して、ARPをボリューム単位で設定できます。

ONTAPのランサムウェア保護戦略

ランサムウェアを効果的に検出するには、複数の保護レイヤーが必要です。

これは、自動車の安全機能にたとえることができます。シートベルトなどの1つの機能だけでは、事故から完全に身を守ることはできません。エアバッグ、アンチロック ブレーキ、前方衝突警報装置などの安全機能を組み合わせることで、はじめて効果的な対策となります。ランサムウェア対策についても同じことが言えます。

ONTAPには、FPolicy、Snapshotコピー、SnapLockなど、ランサムウェアからの保護に役立つ多様な機能が用意されています。ここでは、標準搭載されている、機械学習機能を備えたARPについて説明します。

ARPの検出対象

ARPは、攻撃者によってデータが人質に取られて身代金を要求されるなどのサービス拒否攻撃から保護するように設計されています。ARPでは、以下に基づいてランサムウェア対策の検出が行われます。

  • 受信データが暗号化されているかプレーンテキストであるかを識別します。

  • 分析によって以下の情報を検出します。

    • エントロピー:ファイル内のデータのランダム性に関する評価

    • ファイルの拡張子タイプ:一般的な拡張子タイプに該当しない拡張子

    • ファイルのIOPS:データ暗号化による異常なボリューム アクティビティの急増(ONTAP 9.11.1以降)

ARPは、ほとんどのランサムウェア攻撃をごく少数のファイルが暗号化された時点で検出し、データを保護するための措置を自動で講じ、攻撃の疑いがあることをユーザーに警告することができます。

ランサムウェア攻撃からの保護を完全に保証できるランサムウェア検出 / 防御システムはありません。攻撃を見逃してしまう可能性もありますが、ウイルス対策ソフトウェアが侵入を検出できなかった場合、ARPは追加の防御レイヤーとして重要な役割を果たします。

学習モードとアクティブ モード

ARPには、2つのモードがあります。

  1. 学習(「ドライ ラン」)モード

  2. アクティブ(「有効」)モード

ARPを有効にすると、ARPは学習モードで実行されます。学習モードでは、ONTAPシステムにより、前述の分析対象(エントロピー、ファイルの拡張子タイプ、ファイルのIOPS)に基づくアラート プロファイルが作成されます。学習モードでワークロードの特性を評価するのに十分な期間ARPを実行したら、アクティブ モードに切り替えてデータの保護を開始します。ARPをアクティブ モードに切り替えると、ONTAPによって、脅威が検出された場合にデータを保護するためのARP Snapshotが作成されます。

最低30日間は、ARPを学習モードのままにすることが推奨されますが、アクティブ モードへの切り替えは、いつでも可能です。切り替えが早すぎると、誤検出が大量に発生するおそれがあります。ONTAP 9.13.1以降では、ARPによって最適な学習期間が自動的に決定され、30日が経過しなくても自動的に切り替えが行われる場合があります。

アクティブ モードでは、ファイル拡張子に異常のフラグが立てられている場合は、アラートを評価する必要があります。アラートに対応してデータを保護したり、アラートを誤検出としてマークしたりできます。誤検出としてマークすると、ONTAPによってARPアラート プロファイルが更新され、以降はそのファイル拡張子にフラグが立てられなくなります。security anti-ransomware volume workload-behavior showコマンドを使用すると、ボリュームで検出されているファイル拡張子を表示できます(このコマンドを学習モードの早い段階で実行した際にファイル タイプが正確に表現されていた場合は、まだONTAPによる他のメトリックの収集が続いているので、そのデータをアクティブ モードに移行するためのベースとして使用しないでください)。

ONTAP 9.11.1以降では、ARPの検出パラメーターをカスタマイズできます。詳細については、ARPの攻撃検出パラメーターの管理に関するセクションを参照してください。

脅威の評価とARP Snapshot

アクティブ モードのARPでは、学習した分析結果と測定された受信データの対比に基づいて、脅威の可能性が評価されます。ARPによって検出された脅威には、深刻度が割り当てられます。

  • Low:ごく初期段階で検出されたボリュームの異常です(たとえば、ボリュームで新しいファイル拡張子が見つかった場合)。

  • Moderate:これまで見られなかったファイル拡張子のファイルが複数見つかっています。

    • ONTAP 9.10.1では、Moderateに格上げされるしきい値は100以上です。ONTAP 9.11.1以降では、ファイル数を変更できます(デフォルト値は20)。

脅威がLowの状況では、ONTAPにより異常が検出され、最適なリカバリー ポイントを作成するためにボリュームのSnapshotが作成されます。ARP Snapshotにはanti-ransomware-backupタグが使用されていて、名前で識別できます(例:Anti_ransomware_backup.2022-12-20_1248)。

ONTAPによって、異常がランサムウェアのプロファイルと一致しているかを判断する分析レポートが実行されると、脅威は「Moderate」に格上げされます。Lowレベルの脅威はログに記録され、ONTAP System Managerの[Event]セクションに表示されます。攻撃の可能性がModerateの場合、ONTAPによって、脅威の評価を求めるEMS通知が生成されます。ONTAPでは、Lowレベルの脅威に関するアラートは送信されませんが、ONTAP 9.14.1以降では、アラート設定を変更できます。詳細については、「異常なアクティビティへの対処」を参照してください。

脅威に関する情報は、レベルに関係なくONTAP System Managerの[Event]セクションか、security anti-ransomware volume showコマンドで確認できます。

ARP Snapshotは、最低2日間保持されます。ONTAP 9.11.1以降では、保持設定を変更できます。詳細については、Snapshotコピーのオプションの変更に関するセクションを参照してください。

ランサムウェア攻撃後のONTAPでのデータ リカバリー方法

攻撃の疑いが検出されると、システムは即座にその時点のボリュームSnapshotコピーを作成し、そのコピーをロックします。その後、実際の攻撃であることが確定した場合、このSnapshotまでボリュームをリストアして、データ損失を最小限に抑えることができます。

ロックされたSnapshotコピーは通常の方法では削除できません。ただし、あとで攻撃を誤検出としてマークすると、ロックされたコピーは削除されます。

影響を受けたファイルと攻撃の時間がわかれば、単にボリューム全体を1つのSnapshotにリカバリーするのではなく、影響を受けたファイルをさまざまなSnapshotコピーから選択的にリカバリーできます。

このように、ARPは、実績のあるONTAPのデータ保護とディザスタ リカバリーのテクノロジを基盤としてランサムウェア攻撃に対応しています。データ リカバリーの詳細については、次のトピックを参照してください。

Top of Page