相変わらず、ランサムウェアの脅威がひどい
そもそもの大前提として、ランサムウェア対策の必要性を少し。なんだかここ数年ランサムウェアの脅威はずっと語られているような気がしますが、IPAの「情報セキュリティ10大脅威 2023」(※1)でも組織向けの1位に挙がっており、なんと3年連続の1位だそう。
ちなみに警察庁の調査(※2)では、令和5年上半期に報告のあった被害は103件。このうち半数を超える60件が中小企業で、企業規模問わず狙われていることが分かります。サプライチェーンを狙った攻撃もニュースになっていましたし、医療機関が攻撃されて、病院全体で業務が止まってしまった、といった報道もありました。
当たり前ではありますが、ランサムウェア対策はもはや必須、ということでしょう。
Amazon FSx for NetApp ONTAPではどう対策するのか?
では、実際どうやって対策するのか、という本題に入りましょう。Amazon FSx for NetApp ONTAPでは「保護」「検知」「復旧」という3つの観点で機能を揃えています。これはランサムウェア対策の基本でもありますよね。そもそもデータを暗号化させないためにどうやって「保護」するか。とはいえ、すべての侵入を防ぐのは難しく、侵入されてしまうことを前提に、いかに素早く脅威を「検知」するかがポイントに。そして、被害に遭ってしまっても、いち早くデータを「復旧」することで、影響を最小限にとどめられる、というワケです。では、具体的な機能を見ていきます!
Amazon FSx for NetApp ONTAPのランサムウェア対策機能
<保護>注目の新機能「ONTAP SnapLock」で書き込み・削除をブロック
まずはデータ保護から。もともとONTAPでは「ONTAP FPolicy」という機能が提供されていました。これは拡張子で判断して、書き込み処理を制限する、というものです。ランサムウェアがよく利用する拡張子を指定しておくことで、暗号化をブロックしよう!という発想ですね。
それに加えて、今、新たな機能として注目されているのが「ONTAP SnapLock」です。これは、WORM(Write Once Read Many)と呼ばれる機能で、指定したボリュームについて、書き込みも削除もできないようにブロックします。つまり、ランサムウェアがデータを暗号化できなくなる、ということ。
この機能を使って、保存したスナップショットをロックしてしまえば、ランサムウェアから保護できる、というワケです。ほかにもたとえば、メインのスナップショットは1時間ごとに取得し、すぐに直近のデータに復旧できるようにしておく、それとは別に1日単位のスナップショットを別ボリュームに保持、SnapLockで保護して、万が一に備える、のような対策も可能になります。
そこまで対策するとなると、お金がかかるのでは……?と気になるところですが、そこはONTAPの「データ階層化」が効いてきます。普段使うデータなどはSSD、SnapLockをかけるボリュームはHDDとすることでコストを抑えられる、というわけですね。
SnapLockを用いて、段階的な対策も可能に
ちなみにファイル単位でも指定できるので、「完成版コンテンツだけはロック」のような使い方も可能。管理者でも一切ファイルを触れない「コンプライアンスモード」と、管理者は操作可能な「エンタープライズモード」の2種類が提供されているので、ランサムウェア対策に限らず、うまく組み合わせればいろいろな用途にも対応できそうです。
ちなみにSnapLockも従量課金で、通常のストレージ容量やスループットなどの課金のほか、「SnapLockライセンス」としてコストが発生します。
- SnapLockライセンス:毎月 0.0244USD/GB
※2023年12月8日現在、東京リージョン
Amazon FSx for NetApp ONTAPの料金についてはホワイトペーパーで詳しく解説していますので、気になる方はぜひダウンロードを!
<検知>機械学習による振る舞い検知で、攻撃を見つけた瞬間にデータを保護
検知の領域で活躍するのが、NetAppが提供するSaaS「Cloud Insights」です。これは有償サービスなのですが、NetAppのストレージを監視して、機械学習により脅威などの検知・対処をおこなうもの。振る舞い検知などで、その挙動を監視するので、「ランサムウェアがファイルを一斉に暗号化しはじめた!」と検知された瞬間にスナップショットを取得、同時に管理者に通知、のようなことが可能に。とにかく保護できるデータを少しでも多く残そう、といった対策をおこなえる、というわけですね。
ちなみにこの機能、ランサムウェア対策だけではなく、内部不正にも有効なんだとか。「退職前にデータを持ち出そうとしている(ファイルをまとめて移動している・削除している)」など普段と違う挙動を検知して、通知することが可能。社員による情報漏えいなどのニュースも聞かれますから、こういった対策も大事なのかもしれません。
Cloud InsightsはSaaSなので、インターネットを介して利用しますが、Amazon FSx for NetApp ONTAPで利用する場合は、EC2インスタンスにエージェントをインストールし、そこを経由してSaaSから監視するという構成になります。
<復旧>強力なバックアップ・リストア機能で、データをいち早く戻す
万が一、ランサムウェアに暗号化されてしまっても、データを復旧できれば業務を継続できる!ということで大事なのが復旧です。機能としてはバックアップとリストアが該当しますが、Amazon FSx for NetApp ONTAPはここも強い。
まず、永久差分で変更箇所だけをバックアップするので、容量効率がよいうえ、瞬時にバックアップを取得できる、さらにリストアも数分で戻せるのだとか。このあたりのバックアップ関連の機能はオンプレミスのNetAppストレージでも同様なのですが、AWSなどクラウドで使うことのメリットとしては、ランサムウェアに汚染されていない「きれいなバックアップデータ」さえ確保できれば、VPCごと切り捨てて、新しく環境を作り直せることがあります。確かに、オンプレミスで、インフラを用意しなおすことと比べたら、パッと環境を捨てて、新しいところに移してしまえ、という選択肢の威力たるや……。もちろんそれもバックアップ~リストアの仕組みを担保できるストレージがあってこそ。ここに強みを持つAmazon FSx for NetApp ONTAPは心強い存在と言えそうです。
まとめ
今回は、Amazon FSx for NetApp ONTAPのランサムウェア対策機能を紹介してきました。ランサムウェア対策において、データを保管しているストレージは“最後の砦”とも言われますが、ストレージでここまでやるんだ、ストレージベンダーで振る舞い検知までやるサービスを出すんだ、というのは、すごいなと思うと同時に、ここまでしないと守り切れないのかとちょっと不安にもなります。とはいえ、ランサムウェア対策を徹底する、と考えたときに、有効な選択肢であることに間違いなはいでしょう。以上、シイノキでした!
お役立ち資料をダウンロード
「Amazon FSx for NetApp ONTAP ランサムウェア対策編」のダウンロードをご希望のお客様は、
以下必要事項をご入力ください。
