エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9.14

to English version

自律型ランサムウェア対策のユースケースと考慮事項

自律型ランサムウェア対策 (ARP) は、ONTAP 9.10.1以降のNASワークロードで使用できます。ARPを導入する前に、推奨される使用方法とサポートされる設定、およびパフォーマンスへの影響について確認する必要があります。

サポートおよび未サポートの構成

ARPの使用を決定する際には、ボリュームのワークロードがARPに適しており、必要なシステム構成を満たしていることを確認することが重要です。

適しているワークロード

ARPは、次の用途に適しています。

  • NFSストレージのデータベース

  • WindowsまたはLinuxのホーム ディレクトリー

    学習期間に検出されなかった拡張子のファイルをユーザーが作成する可能性があるため、このワークロードでは誤検出の可能性が高くなります。

  • 画像とビデオ

    たとえば、医療記録やEDA(Electronic Design Automation)データなどです。

適していないワークロード

ARPは、次の用途には適していません。

  • ファイルが頻繁に作成または削除されるワークロード(数秒間に数十万のファイルを削除するテスト / 開発ワークロードなど)

  • ARPによる脅威検出は、ファイルの作成 / 名前変更 / 削除アクティビティの異常な急増を検出する機能を使用します。アプリケーション自体がファイル アクティビティのソースである場合、ランサムウェアのアクティビティと効果的に区別することができません。

  • アプリケーションやホストがデータを暗号化するワークロード
    ARPでは、受信データが暗号化されているかどうかを区別する機能を使用します。アプリケーション自体がデータを暗号化している場合、機能の有効性が低下します。ただしその場合も、ARP自体は、ファイル アクティビティ(削除、上書き、作成、または新しいファイル拡張子を使用した作成や名前変更)とファイル タイプに基づいて引き続き機能します。

サポート構成

ARPは、ONTAP 9.10.1以降のオンプレミスONTAPシステムのNFSおよびSMBボリュームで使用できます。

その他の構成とボリューム タイプのサポート状況は、ONTAPのバージョン別に次の表に示します。

ONTAP 9.14.1 ONTAP 9.13.1 ONTAP 9.12.1 ONTAP 9.11.1 ONTAP 9.10.1

非同期SnapMirrorで保護されているボリューム

非同期SnapMirrorで保護されているSVM

データ移行が有効になっているSVM

FlexGroupボリューム

マルチ管理者認証

SnapMirrorとARPの互換性

ONTAP 9.12.1以降では、非同期SnapMirrorデスティネーション ボリュームでARPがサポートされます。ARPは、SnapMirror Synchronousではサポートされません

SnapMirrorのソース ボリュームがARP対応の場合、デスティネーション ボリュームにはソース ボリュームのARP設定(学習、有効 / 無効など)、ARP学習データ、ARPによって作成されたSnapshotが自動的に継承されます。あらためて有効にする必要はありません。

デスティネーション ボリュームが読み取り専用(RO)Snapshotコピーで構成されている間は、データに対してARP処理は実行されません。ただし、SnapMirrorデスティネーション ボリュームが読み書き可能(RW)に変換されると、そのボリュームでARPが自動的に有効になります。デスティネーション ボリュームでは、ソース ボリュームにすでに記録されている情報以外に追加で必要な学習はありません。

ONTAP 9.10.1および9.11.1では、ソース ボリュームからデスティネーション ボリュームへのARPの設定、トレーニング データ、Snapshotコピーの転送は行われません。そのため、SnapMirrorのデスティネーション ボリュームをRWに変換する場合は、変換後にデスティネーション ボリュームのARPを明示的に学習モードで有効にする必要があります。

NFS構成のVMDKでのARP

NFS構成のVMDKでARPを使用する場合、ARPの保護には制限があります。ARPはNFS構成のVDMKで保護を提供しますが、VM内に高エントロピーファイルがあるワークロードには推奨されません。

VMの外部での変更

ARPは、暗号化されたボリュームに新しい拡張子が入力された場合、またはファイル拡張子が変更された場合に、VMの外部にあるNFSボリューム上のファイル拡張子の変更を検出できます。検出可能なファイル拡張子の変更は次のとおりです。

  • .vmx

  • .vmxf

  • .vmdk

  • -flat.vmdk

  • .nvram

  • .vmem

  • .vmsd

  • .vmsn

  • .vswp

  • .vmss

  • .log

  • -\#.log

VM内の変更

ランサムウェア攻撃がVMをターゲットとし、VMの外部に変更を加えずにVM内のファイルが変更された場合、ARPはVMの既定のエントロピーが低い(txt、.docx、.mp4ファイルなど)場合に脅威を検出します。このシナリオでは、ARPによって保護スナップショットが作成されますが、VMの外部のファイル拡張子が改ざんされていないため、脅威アラートは生成されません。

デフォルトでファイルが高エントロピー(たとえば、.gzipやパスワードで保護されたファイル)の場合、ARPはベースラインエントロピーの変化を検出しないため、脅威を検出できません。

サポートされていない構成

ARPは、次のシステム構成ではサポートされません。

  • ONTAP S3環境

  • SAN環境

ARPでは、次のボリューム構成はサポートされません。

  • FlexGroupボリューム(ONTAP 9.10.1から9.12.1。ONTAP 9.13.1以降では、FlexGroupボリュームがサポートされています。)

  • FlexCacheボリューム (ARPはオリジンFlexVolボリュームでサポートされますが、キャッシュボリュームではサポートされません)

  • オフラインボリューム

  • SAN専用ボリューム

  • SnapLockボリューム

  • SnapMirror同期

  • 非同期SnapMirror (ONTAP 9.10.1および9.11.1でのみサポートされていません。非同期SnapMirrorは、ONTAP 9.12.1以降でサポートされています。詳細についてはSnapMirrorとARPの互換性を参照してください)

  • 制限ボリューム

  • ストレージVMのルートボリューム

  • 停止したストレージVMのボリューム

ARPのパフォーマンスと分析頻度に関する考慮事項

ARPは、スループットとピークIOPSで測定されるシステム パフォーマンスへの影響はほとんどありません。ARP機能の影響は、個々のボリュームのワークロードによって異なります。一般的なワークロードでは、以下の構成の制限が推奨されます。

ワークロードの特性 ノードあたりの最大ボリューム数(推奨値) ノードあたりの最大ボリューム数を超えた場合のパフォーマンスの低下 *

読み取り中心またはデータを圧縮できる

150

最大IOPSの4%

書き込み中心でデータを圧縮できない

60

最大IOPSの10%

* 推奨される最大数を超えて追加されたボリューム数に関係なく、この割合よりもシステム パフォーマンスが低下することはありません。

ARPは優先順位を付けて実行されるため、保護するボリュームの数が増えると、各ボリュームに対する分析頻度は低下します。

自律型ランサムウェア対策(ARP)で保護されたボリュームでのマルチ管理者認証

ONTAP 9.13.1以降では、マルチ管理者認証(MAV)を有効にして、ARPによるセキュリティを強化できます。MAVを使用すると、保護されているボリュームでARPを無効にしたり、ARPを一時停止したり、疑わしい攻撃をFalse Positiveとしてマークしたりするのに、2人以上の認証済み管理者が必要になります。ARPで保護されたボリュームでMAVを有効にする方法については、こちらを参照してください。

MAVグループの管理者を定義し、保護するARPコマンドsecurity anti-ransomware volume disablesecurity anti-ransomware volume pausesecurity anti-ransomware volume attack clear-suspectに対するMAVルールを作成する必要があります。MAVグループの各管理者は、新しいルール要求を承認し、MAVルール設定内に再度MAVルールを追加する必要があります。

ONTAP 9.14.1以降では、ARPに、ARP Snapshotの作成と新しいファイル拡張子の監視に関するアラート機能が搭載されています。これらのイベントに関するアラートは、デフォルトでは無効になっています。アラートは、ボリューム レベルまたはSVMレベルで設定できます。MAVルールをSVMレベルで作成する場合はsecurity anti-ransomware vserver event-log modify、ボリューム レベルで作成する場合はsecurity anti-ransomware volume event-log modifyを、それぞれ使用します。

Top of Page