ONTAP機能
(ランサムウェア対策)

NetAppのランサムウェア対策機能

ランサムウェアの攻撃手法は年々巧妙化してきており、最近ではまずバックアップデータに対する攻撃があり、バックアップ履歴の削除やバックアップデータの破壊など、リストアできない状態にしてから、本番データが狙われるといったケースが増えてきております。

NetAppではランサムウェアの攻撃は防ぎきれないという考えのもと、データ「保護」「検知」「復旧」という観点で、仮にランサムウェア攻撃を受けたとしても確実にデータ復旧を行い、早期業務復旧を行うための機能がございます。

またシステムに対する保護も行い、管理者権限を奪取された場合でも重要なデータの破壊を防ぐ事も可能となっております。

  • データ保護

    Snapshot

    ONTAP OneONTAP Base

    • ファイルシステム全体の読み取り専用コピー
    FPolicy

    ONTAP OneONTAP Base

    • 既知のランサムウェア拡張子をブロック
    SnapLock

    ONTAP One

    • 初回書込み後の上書きや削除などの変更を禁止
    • Snapshotやレプリケーションボリュームを削除できない状態にする
    Tamperproof Snapshot

    ONTAP One

    • ボリュームのSnapshotをロックし、ランサムウェア攻撃などの脅威から保護

  • 検知

    ARP(自動ランサムウェア保護)

    ONTAP One

    • ボリュームレベルでのふるまい検知
    Cloud Insights SWS

    Cloud Insights Premium

    • ユーザふるまい検知

  • 復旧

    SnapRestore

    ONTAP OneONTAP Base

    • Snapshotが取得された時点まで瞬時にデータの状態を戻す
    FlexClone

    ONTAP OneONTAP Base

    • 高速かつ容量効率良くボリュームを複製

システム保護

ONTAPはNetApp社の独自OSであり、汎用OSと比較しサイバー攻撃の被害に遭いにくいといった点があります。
さらに、多要素認証やRBACによってシステムに対するアクセス制御も強化していますが、仮に管理者権限が奪取された場合でも、システムでの破壊を防ぐことが可能となっております。

Multi-Admin Verification

  • データ損失を引き起こす可能性のあるコマンドに対して複数の承認を必要とすることで、万が一管理者権限を奪取された場合でも、攻撃者によるデータ削除を防ぐことが可能
Multi-Admin Verificationの詳細はこちら

データ保護

バックアップとデータ保護は、ランサムウェアに対する最も基本的な対策となります。
ONTAPはSnapshotをはじめ様々なバックアップ・データ保護機能があり、ランサムウェアの被害を受けた場合でも確実に復旧可能なバックアップデータを保持する事が可能です。

  • Snapshot

    • 取得したバックアップイメージは読み取り専用のため、ランサムウェア等によりアクティブ領域が被害にあった場合でも、Snapshotイメージからリストア可能
    • ランサムウェア対策以外にも、間違ってファイルを上書きしてしまったり、アプリケーションがクラッシュしてデータファイルが壊れてしまった場合のリカバリにも利用可能
    Snapshotの詳細はこちら

  • FPolicy

    • 内部エンジンにて、ファイルの拡張子のチェックが可能。既知のランサムウェアの拡張子を持ったファイルの書き込みを防止
    FPolicyの詳細はこちら

  • SnapLock

    • 一度書き込まれたデータに対し、削除・変更を禁止する機能
    • ランサムウェアによる機密データの破壊/暗号化についても防止可能
    • ストレージの管理者権限を搾取されシステムレベルで破壊が行われた場合でも、データ保護は有効
    SnapLockの詳細はこちら

  • Tamperproof Snapshot

    • ボリュームのSnapshotをロックし、ランサムウェア攻撃などの脅威から保護
    • ストレージの管理者権限を搾取されシステムレベルで破壊が行われた場合でも、データ保護は有効
    Tamperproof Snapshotの詳細はこちら

検知

NetAppのSnapshot機能を利用しバックアップを取得していれば、仮にランサムウェアの被害にあったとしても、書き換え不可能なバックアップイメージから復旧可能になります。
ただしランサムウェアの攻撃の検知ができない環境では、いつから被害を受けていたのか把握できず、最悪のケースでは、Snapshotのバックアップ履歴すべてがランサムウェアの攻撃を受けた状態になってしまう可能性がございます。
またSnapshotがデータ無事でも、どの時点のSnapshotから戻せば良いかわかりにくく、復旧に大きな時間を要してしまう可能性もございます。

ONTAPではランサムウェア攻撃のリアルタイム検知を行う事で、Snapshot履歴全体の保護と早期業務復旧が可能となります。

  • 検知した瞬間のSnapshotを取得することで、被害の拡大を防ぐことが可能
  • 検知タイミングで、管理者への通報も行う
  • 攻撃元のユーザを特定し、一定時間アクセスをブロックさせることが可能(Cloud Insights SWSを利用した場合)

NetAppのランサムウェア検知機能は2パターンございます。
それぞれ独立した機能とライセンスのため、別々で利用する事も可能ですが、検知の対象と動作に違いがあるため、合わせて利用することでより強固な検知を行う事が可能となります。

  • VolumeへのIOパターン異常検出

    • ONTAP9.10.1から実装された新機能
    • ONTAP OS組み込みの機能で、オフライン環境でも使用可能
    • 攻撃を検知したら、即座にSnapshotを自動で取得しつつ、管理者へ通知を行う
    • 対象ボリュームのIOパターンに基づいて検知

  • 単一ユーザ動作の監視

    • ユーザの動作パターンを使用して、ハッキングされたアカウント、ランサムウェア、または不正な動作を示す可能性のある異常を検出
    • 疑わしいユーザアカウントをブロックすることで、ユーザの流出を防止
    • 不審な動作が発生した場合にアラートとSnapshotリカバリポイントを提供

ARP(Autonomous Ransomeware Protection)

  • ONTAP内蔵のランサムウェア検知機能

    • ONTAPにてワークロードを学習し、検知を行う
    • 異常なアクティビティが検出されると、通知を行うとともに、Snapshotを自動的に発行
    • 攻撃開始直後のリストアポイントが作成される(被害を最小限に抑える)

  • 以下の情報を分析し、攻撃を検知

    • エントロピー:ファイル内のデータのランダム性を評価
    • ファイル拡張子タイプ:通常の拡張子タイプと一致しない拡張子
    • ファイルIOPS:データ暗号化による異常なボリュームアクティビティの急増

  • 対応ワークロード(ONTAP 9.13.1時点)

    • NFS/CIFSのホームディレクトリのワークロードをサポート
    • VMware環境でのNFSデータストア内のVMDKに対する攻撃検知もサポート
    • SAN環境のワークロードは非対応
    • ハードウェアアプライアンス版のみサポート(CVOやFSxNなどは非サポート)

※要ONTAP Oneライセンス

Cloud Insights Storage Workload Security

  • NetAppのクラウドサービス(Cloud Insights)と連携した検知機能

    • ONTAPにてワークロードを学習し、検知を行う
    • 異常なアクティビティが検出されると、通知を行うとともに、Snapshotを自動的に発行
    • 攻撃開始直後のリストアポイントが作成される(被害を最小限に抑える)

  • ユーザ単位でアクセス監視を行い、ランサムウェアの感染源を特定し、ブロックする事が可能

  • 対応ワークロード

    • NFS/CIFSのホームディレクトリのワークロードをサポート
    • SAN環境、NFS VMDK等のワークロードは非対応
    • ハードウェアアプライアンスの他、他ONTAP製品(ONTAP Select、Cloud Volumes ONTAP、FSxN)についてもサポート

  • ランサムウェアの攻撃権威の他、内部犯行に対しても検知可能

    • 大量のファイル削除、機密情報の閲覧、データの持ち出しなど
    • フォレンジック機能により、ユーザのアクセスログを確認可能
      (いつ、だれが、どのファイルを、どのような操作をしたか)

※要Cloud Insights Premiumライセンス

検知機能の違い

項目 Autonomous Ransomware Protection Cloud Insights SWS
検出する動作 アクセスパターンやデータの複雑性の変化から異常を検出(ボリュームの状態変化を監視) ユーザの異常なふるまいを検出
(ユーザのふるまいを監視)
対象プラットフォーム AFF/FAS AFF/FAS、CVO、FSxN、ONTAP Select
対象ワークロード NAS(ファイルサーバ) NAS(ファイルサーバ)
機械学習を行う場所 ONTAP OS(アプライアンス内部) Cloud Insights (SaaS)
検出後の対処
  • アラート通知
  • ボリュームSnapshotを発行
  • アラート通知
  • ボリュームSnapshotを発行
  • 該当ユーザからのアクセスをブロック
ライセンス ONTAP One
  • パーペチュアルライセンス+保守
  • 通常の機器ライセンスに包括されており、別途ライセンス費用は不要
 Cloud Insights Premium
  • サブスクリプション型
  • 物理容量単位での課金

リカバリ

ランサムウェアの攻撃においては、大量のデータが被害に遭うケースが多く、バックアップデータが無事でも復旧に数日かかる場合も多くあります。
ONTAPでは、SnapshotとSnapRestoreの組合せにより、迅速な業務復旧が可能となります。

  • SnapRestore

    • Snapshot機能にてバックアップした時点まで、データの状態を戻す機能。
    • ファイルの容量や数に関係なく、ボリューム単位で瞬時にリストア可能。
    SnapRestoreの詳細はこちら

  • FlexClone

    • ランサムウェア被害からの復旧において、原因究明の目的で暗号化されたデータを残したい場合などに使用することが可能
    FlexCloneの詳細はこちら

お気軽にご相談ください

お問い合わせ