Amazon Web Services ブログ
Amazon FSx for NetApp ONTAP の Autonomous Ransomware Protection を使用してデータを保護する
このブログは 2025 年 4 月 18 日に Sean Phuphanich (Principal Technologist at AWS)、Ivo Janssen (Senior Solutions Architect at AWS in the Nonprofit team)、Sujata Abichandani (Technical Account manager for strategic customers at AWS) によって執筆された内容を日本語化したものです。原文はこちらを参照してください。
多層防御のような階層型セキュリティ戦略では、予防が失敗した場合、軽減が重要になります。ほとんどの AWS ストレージサービスでは、不変のストレージとバックアップからのリカバリを使用して、ランサムウェアの影響を軽減しています。Autonomous Ransomware Protection (ARP) は、NetApp の ONTAP ファイルシステム上に構築された、信頼性が高く、スケーラブルで、高性能な共有ストレージを提供するフルマネージドサービスであるAmazon FSx for NetApp ONTAP (FSx for ONTAP) の新しいセキュリティ機能です。ARP は、ランサムウェア攻撃からの検出機能と高速リカバリ機能の両方をさらに強化しています。AWS は複数のデータの保護方法と耐障害性のあるワークロードの実行方法をお客様に提供していますが、この記事では、NetApp Autonomous Ransomware Protection (ARP) とは何か、どのように機能するか、そしてそれを使用して FSx for ONTAP ファイルシステム上のデータ保護を強化する方法を説明します。
ARP がランサムウェアからどのように保護するか
図1 : ONTAP のセキュリティ機能
ARP は、ファイルシステムの異常なアクティビティをプロアクティブに監視し、潜在的な攻撃を検知すると ONTAP スナップショットを自動的に作成する NetApp ONTAP の機能です。これにより、ビジネスクリティカルなデータを、より広範なランサムウェア攻撃から保護することができます。ONTAP スナップショットは、ファイルシステムへのリダイレクトオンライト(ROW)を使用し、数テラバイト規模のデータのバックアップとリカバリを数秒で実行できます。これは、ファイルシステムへのネットワーク転送に依存するあらゆるバックアップおよび復元方法よりもはるかに高速です。
ARP はワークロードのアクセスパターンを分析し、疑わしいアクティビティをプロアクティブに検出します。ARP の分析機能は、エントロピーの変化(ファイル内のデータのランダム性)、ファイル拡張子の種類の変化(一般的な拡張子の種類に一致しない拡張子)、ファイル IOPS の変化(暗号化されたデータを含む異常なボリュームアクティビティの急増)を検出し、潜在的なランサムウェアイベントを特定します。これらのパターンの一部またはすべてが、潜在的なランサムウェアイベントの兆候となる可能性があります。疑わしいアクティビティが検出されると、ARP は影響を受けるボリュームのスナップショットを自動的に作成し、疑わしい攻撃の重大度に応じて、イベント管理システム(EMS)メッセージ、ONTAP CLI、または REST API で確認可能なアラートを生成します。 疑わしいイベントの詳細情報を表示するには、影響を受けたボリュームに関するレポートを生成し、攻撃の可能性と攻撃のタイムラインを確認できます。レポートを確認した後、アラートが誤検知または攻撃の疑いによって生成されたことを記録できます。攻撃が疑われる場合は、まず攻撃の範囲を把握して修復し、次に ARP によって作成されたスナップショットからデータを復旧します。アラートが誤検知によるものであると判断された場合、ARP によって作成されたスナップショットは自動的に削除されます。 ARP は、FSx for ONTAP で実行されている SMB または NFS ファイル共有への攻撃によるダウンタイムを軽減します。例えば、侵害されたコンピューティングインスタンスがファイル共有への承認済みアクセスを取得し、アクセス可能なすべてのデータを暗号化する可能性があります。ARP は攻撃を検知し、スナップショットを作成し、アラートを記録します(アラートは Syslog として他のシステムに転送できます)。管理者は攻撃アラートに対応し、影響を受けたファイルのレポートを確認し、復元プロセスを実行できます。 通常の使用パターンと疑わしいアクティビティを区別できないため、ARP による検出効果が低いワークロードがあります。例えば、テスト環境や開発環境のように、数十万ものファイルを頻繁に作成または削除する場合、そのような動作はランサムウェアの活動と効果的に区別できません。
技術的なウォークスルー
ARP を設定するには、次の手順を実行します。
- 機能のインストールと有効化
- 検出と報告
- ランサムウェア攻撃後の復旧
この手順は、fsxadmin の認証情報を持ち、テスト環境の管理エンドポイント経由で ONTAP CLI に接続していることを前提としています。特に明記されていない限り、このガイド内のコマンドは ONTAP CLI 用です。
ARP のインストールと有効化
ARP には、「学習モード」(別名「ドライランモード」)と「アクティブモード」の2つのモードがあります。ARP は、ONTAP CLI または ONTAP REST API を通じて管理されます。 まず、既存のボリュームで ARP を学習モードで有効化します。
または新しいボリュームで学習モードを有効化します:
既存のボリュームでは、学習モードとアクティブモードは新しく書き込まれたデータにのみ適用され、ボリューム内の既存のデータには適用されないことに注意してください。ボリュームで ARP が有効になった後、新しいデータに基づいて以前の通常のデータトラフィックの特性が想定されるため、既存のデータはスキャンおよび分析されません。 NetApp では、ボリュームをアクティブモードに変換する前に、最大 30 日間学習モード(上記参照)で動作させることを推奨しています。ARP は最適な学習期間間隔を自動的に決定し、学習モードからアクティブ モードへの切り替えを自動化します。切り替えは 30 日以内に完了する場合もあります。
アクティブ モードで ARP を直接有効にするには、既存のボリュームに対して次のコマンドを使用します。
SVM レベルで ARP をデフォルトで有効にすることができ、これは新しく作成されたすべてのボリュームに適用されます。
最後に、ARP のステータスを確認できます。
特定のボリュームのステータスを確認するには:
デフォルト値を含む ARP 設定オプションの詳細については、ONTAP コマンドリファレンスを参照してください。
検出とレポート
ARP は、ランダム化されたデータ、暗号化されたファイルの高い IOPS、または異常なファイル拡張子を検出するとアラートを生成します。アラートは EMS メッセージ、ONTAP CLI、または REST API で確認でき、誤検知またはランサムウェア攻撃の疑いの 2 種類があります。ランサムウェアの影響を受けた疑いのあるファイルのリストを含むレポートファイルは、ONTAP CLI を使用して生成できます。脅威を評価した後、管理者の対応に応じて、今後のファイルアクティビティが監視されます。
ARP が新しいファイル拡張子を検知した場合、および ARP がスナップショットを作成した場合にアラートを設定できます。詳細については、Configure ARP alerts をご覧ください。攻撃検出パラメータは、特定のワークロードに合わせて変更できます。攻撃発生時に何が起こるかを理解していただくために、以下のコマンドの出力例をいくつか示します。 ARP がスナップショットを生成したかどうかを確認するには:
[サンプル出力]
まず、攻撃の時間と深刻度を確認します。
[サンプル出力]
EMS ログでメッセージを確認することもできます。
[サンプル出力]
次に、攻撃レポートを生成します。
その後、ファイル システムからレポート ファイルを表示できます。
[サンプルファイル]
攻撃の評価に基づいて、イベントを誤検知または潜在的なランサムウェア攻撃としてマークします。
攻撃を誤検知としてマークするには(このアクションによりスナップショットが削除されます):
潜在的な攻撃に対処するには、まず攻撃への対応を行い、次に ARP によって作成されたスナップショットからデータを回復します。データが回復された後にのみ、実施した対応を記録し、監視を再開します。
回復
データを復旧する前に、ARP によって検出された異常なアクティビティに対応することが重要です。ランサムウェア攻撃が確認された場合、ARP によって生成された「Anti_ransomware_backup 」というスナップショットを使用してボリュームを復元できます。ランサムウェア攻撃が疑われる場合、ARP スナップショットはロックされます。ロックされたスナップショットは、攻撃が誤検知であると最初に特定されない限り削除できません。管理者は、ボリュームから特定のファイルを選択し、スナップショット全体を復元しないようにすることもできます。 攻撃が確認されたら、スナップショットからボリュームを復元できます。まず、Anti_ransomware_backup スナップショットのロックを解除する必要があります。システム攻撃が報告されていない場合は、まず Anti_ransomware_backup スナップショットを復元し、その後で他のスナップショットをその上に復元する必要があります。
すべてのスナップショットを一覧表示します:
スナップショットを復元します:
以前のスナップショットからデータを復元するには、まず ARP スナップショットのロックを解除する必要があります。攻撃を潜在的なランサムウェア攻撃としてマークし、疑わしいファイルを消去してください:
拡張子を識別するには、次のいずれかのパラメータを使用します。
- [-seq-no integer] 疑わしいリスト内のファイルのシーケンス番号。
- [-extension ext,… ] ファイル拡張子。
- [-start-time date_time -end-time date_time] クリアするファイルの範囲の開始時刻と終了時刻を「MM/DD/YYYY HH:MM:SS」の形式で指定します。
コスト
ARP は追加料金なしでご利用いただけますが、FSx for ONTAP の標準料金が適用されます。テストが完了したら、未使用のリソースをクリーンアップして追加料金が発生しないようにしてください。
追加オプション
この記事の範囲を超えて、FSx for ONTAP は既存のセキュリティ対策に統合できます。EMS イベントをセキュリティ情報イベント管理(SIEM)に取り込むことで、セキュリティイベントの可視化と一元管理が可能になります。また、サポートされているサードパーティ製ウイルス対策ソフトウェアを実行する ONTAP の機能である NetApp Vscan は、ファイルの書き込み時にマルウェア検出機能を統合できます。さらに広く、AWS 環境全体を保護するためのその他の方法については、こちらをご覧ください。
まとめ
ARP は、ファイルシステムをランサムウェア攻撃から保護することで、ビジネスの継続性を維持し、FSx for ONTAP に保存されているビジネスクリティカルなデータのデータ保護を強化します。このブログ記事では、クラウドワークロードの全体的なセキュリティ対策の重要な部分として、Amazon FSx for NetApp ONTAP の Autonomous Ransomware Protection (ARP) について説明しました。ARP は簡単にセットアップでき、従来のバックアップおよびリカバリソリューションよりも高速なリカバリ機能を提供します。CLI ベースの管理ツールを使用すると、ボリュームで ARP を有効にすることができます。その後、ARP は潜在的なイベントを検出し、自動的にスナップショットを作成します。管理者はレポートを表示し、イベントをランサムウェアまたは誤検知としてマークし、スナップショットからボリュームまたは個々のファイルを復元できます。ARP は、サービスが利用可能なすべての AWS リージョンのすべての FSx for ONTAP ファイルシステムで利用できます。
翻訳はネットアップ合同会社の Sr. Cloud Solutions Architect for AWS の藤原、監修は Technical Account Manager 岡田が担当しました。
Sean Phuphanich
Sean は AWS のプリンシパルテクノロジストであり、業界の複雑な課題解決に注力しています。AWS ストレージコミュニティのリーダーであり、Public Sector Zero Trust Lab チームをリードしており、ISV パートナーシップのテクニカルリーダーでもあります。
Ivo Janssen
Ivo は AWS の Nonprofit チームに所属するシニアソリューションアーキテクトで、クラウドテクノロジーを通じて非営利団体のミッションを解決することに情熱を注いでいます。週末には、ボランティアのトラックマーシャルとしてレーストラックで活躍しています。
Sujata Abichandani
Sujata は AWS の戦略的顧客担当シニアテクニカルアカウントマネージャーです。お客様の複雑な技術的問題のトラブルシューティングと解決を支援しています。ストレージシステム間のネットワーク接続ストレージ(NAS)の管理と移行に関する専門知識を有しています。