事業運営

Synologyのランサムウェア対策|スナップショット設定から復旧手順まで

経営リスクナビ編集部

Synology NASを導入する企業にとって、ランサムウェア対策は事業継続を左右する重要な課題です。万が一、設定に不備があれば、重要な業務データが暗号化され、復旧が困難になる可能性があります。しかし、Synology NASには標準で強力なデータ保護機能が備わっており、正しく設定することでそのリスクを大幅に低減できます。この記事では、基本的なセキュリティ設定からスナップショットの活用、多層的なバックアップ戦略まで、Synology NASで実践できる具体的なランサムウェア対策を手順に沿って解説します。

対策の第一歩:基本セキュリティ設定

Security Advisorによる脆弱性診断

Synology NASの安全性を確保する第一歩は、内蔵のSecurity Advisorを活用することです。この機能は、設定上の問題点やサイバー攻撃に繋がる脆弱性を自動で検出し、具体的な対処法を提示してくれます。企業利用を想定した「ビジネス」向けのセキュリティベースラインを選択し、定期的な自動スキャンをスケジュール設定することで、セキュリティ状態を常に良好に保つことができます。

Security Advisorの主な役割
  • NASの設定におけるセキュリティ上の弱点をスキャンし可視化する
  • パッケージのバージョンが古い場合に警告する
  • 不審なログイン試行やマルウェアの兆候を検知する
  • 推奨されるセキュリティ対策を提示し、設定を支援する

アカウント保護の必須設定(多要素認証)

管理者アカウントの保護には、多要素認証(MFA)の導入が不可欠です。万が一パスワードが漏洩しても、スマートフォンアプリなどで生成されるワンタイムパスワードがなければログインできないため、不正アクセスを強力に防ぎます。あわせて、パスワードの試行回数に上限を設け、それを超えたIPアドレスを自動的にブロックする機能も有効にしましょう。これらの設定により、攻撃者による管理者権限の乗っ取りリスクを大幅に低減できます。

不要なサービス停止とアクセス制御

不正アクセスの侵入経路を最小限に抑えるため、不要なサービスを停止し、アクセス制御を厳格化することが重要です。使用していないポートやサービスは、攻撃者にとって格好の標的となり得ます。コントロールパネルからファイアウォールを有効にし、「必要な通信のみを許可し、それ以外はすべて拒否する」という原則を適用してください。これにより、NASの防御力を根本的に高めることができます。

具体的なアクセス制御設定
  • ファイアウォールを有効化し、業務で利用するサービスやポートのみを許可する
  • 日本国外からのアクセスが不要な場合、アクセス元を国内IPアドレスに限定する
  • NASの管理画面などに使われるデフォルトのポート番号(例: 5000, 5001)を推測されにくい番号に変更する
  • 外部からのアクセスには、ルーターのポートを開放せず安全に接続できるQuickConnect機能を利用する

中核機能:スナップショットの活用

スナップショットの仕組みと有効性

ランサムウェア対策の最も強力な中核機能がスナップショットです。これは、特定の時点におけるファイルやフォルダの状態を丸ごと記録しておく機能です。「コピーオンライト」という技術により、データに変更があった部分(ブロック)だけを効率的に保存するため、ストレージ容量の消費を抑えながら多数の世代を保持できます。ファイルが暗号化されても、感染前の正常な状態へ瞬時に復元できるため、事業継続に不可欠な機能と言えます。

Snapshot Replicationの基本設定手順

スナップショットの取得と管理は、「Snapshot Replication」というアプリケーションで行います。以下の手順で、自動的かつ継続的なデータ保護を設定しましょう。

スナップショットの基本設定手順
  1. パッケージセンターから「Snapshot Replication」をインストールします。
  2. スナップショット機能が利用できるBtrfsファイルシステムでストレージプールがフォーマットされていることを確認します。
  3. アプリケーションを開き、保護したい共有フォルダを選択して「撮影」の設定に進みます。
  4. データの重要度に応じて、1時間ごとや毎日といった撮影スケジュールと、保持する世代数を指定します。

最適なスナップショットの取得計画

効率的なデータ保護とストレージ管理を両立させるには、データの特性に応じた取得計画が不可欠です。頻繁な取得は管理を複雑にし、間隔が空きすぎると復旧時のデータ損失が大きくなります。例えば、業務時間中は1時間ごとに取得し、古いスナップショットは1日1世代にまとめるといったローテーション設定が効果的です。データの重要度や更新頻度を見極め、最適な保持ポリシーを適用することで、復旧精度とストレージ効率のバランスを取ることができます。

スナップショット運用が業務パフォーマンスに与える影響と考慮点

スナップショットはシステムへの負荷が比較的軽い機能ですが、特定の条件下ではパフォーマンスに影響を与える可能性があります。特に、多数の小さなファイルが頻繁に更新される環境や、監視カメラ映像のようにデータが常に書き込まれる環境では、差分計算の負荷が高まることがあります。パフォーマンスへの影響を最小限に抑えるため、以下の点を考慮して運用計画を立てることが重要です。

パフォーマンスに関する考慮点
  • スナップショットの削除や保持ポリシーの適用といった処理は、業務時間外のオフピーク時にスケジュールする
  • 差分計算の負荷が高い場合は、システム全体を対象とする別のバックアップ手法との併用を検討する
  • データ重複排除や圧縮機能とスナップショットを併用すると、期待されるほどの容量削減効果が得られない場合がある

防御の強化:改ざん防止と多層化

イミュータブルスナップショットの設定方法

イミュータブルスナップショットは、ランサムウェア対策の最後の砦となる強力な機能です。「イミュータブル」とは「不変」を意味し、一度作成すると設定した保護期間内は、管理者権限を持つアカウントであってもスナップショットの変更や削除が一切できなくなります。これにより、NASに侵入した攻撃者によるバックアップデータの破壊を防ぎ、データの復元性を確実に担保します。

イミュータブルスナップショットの設定手順
  1. 「Snapshot Replication」で対象の共有フォルダを選択し、スナップショット作成のスケジュール設定画面を開きます。
  2. 設定項目の中から「イミュータブルスナップショットを有効化」のチェックボックスをオンにします。
  3. スナップショットを保護する期間を日数で入力し(例: 14日)、設定を保存します。

保護期間の設定と運用上の注意点

イミュータブルスナップショットの保護期間は慎重に設定する必要があります。一度設定した期間が終了するまで誰もデータを削除できないため、期間を長くしすぎるとストレージ容量が不足し、システム停止に繋がる危険性があるためです。ランサムウェアの潜伏期間を考慮しつつ、一般的には7日から14日程度の保護期間が推奨されます。自社の運用環境とストレージ容量のバランスを見極め、最適な日数を指定することが重要です。

3-2-1ルールに基づく多層バックアップ

NAS本体のスナップショットだけでは、機器の物理的な故障や火災、水害といった災害には対応できません。そこで重要となるのが、バックアップの3-2-1ルールに基づく多層的なデータ保護です。これは、あらゆる事態を想定したデータ保護の基本原則とされています。

バックアップの3-2-1ルール
  • 3: データのコピーを合計で3つ(原本含む)作成する
  • 2: 2種類の異なるメディア(例: NASの内蔵HDDと外付けHDD)にデータを保存する
  • 1: そのうち1つは、物理的に離れた場所(オフサイト)やクラウドに保管する

Active BackupとHyper Backupの使い分け

Synology NASでは、要件に応じて2つの主要なバックアップアプリケーションを使い分けることで、包括的なデータ保護を実現できます。それぞれのツールの特性を理解し、適材適所で活用することが効果的です。

項目 Active Backup for Business Hyper Backup
保護対象 PC、サーバー、仮想マシン Synology NAS上のデータやシステム設定
主な用途 クライアントPCやサーバー群のデータをNASに集約・一元管理する NAS自体のデータを別の場所(外付けHDD、他社クラウド等)に退避させる
特徴 重複排除技術によりストレージ効率が高い 多様なバックアップ先に対応し、災害対策(DR)に適している
Active BackupとHyper Backupの主な違い

設定して終わりではない|定期的なリストアテストの重要性

バックアップやスナップショットは、設定しただけで安心せず、定期的なリストアテストを実施することが極めて重要です。障害発生時に「バックアップが破損していて復元できない」「手順がわからず復旧に時間がかかる」といった事態を防ぐためです。隔離されたテスト環境で実際にデータを復元する訓練を行い、手順書を最新の状態に保ちましょう。平常時から復元可能であることを確認しておくことが、有事の際の事業継続を確実なものにします。

感染時の対応:データ復旧の手順

ランサムウェア感染の兆候と初動対応

ファイルが開けなくなったり、身代金を要求する画面が表示されたりした場合、ランサムウェア感染の可能性が高いです。被害の拡大を防ぐため、直ちに初動対応を開始する必要があります。最優先事項は、感染した端末をネットワークから隔離することです。

感染が疑われる場合の初動対応
  1. 感染が疑われるPCのLANケーブルを物理的に引き抜きます。
  2. 無線で接続している場合は、Wi-Fiを直ちに切断します。
  3. 電源を切ることは、メモリ上に残っている攻撃の痕跡(暗号化キーなど)を失う可能性があるため、慎重な判断が必要です。

被害拡大を防ぐネットワーク隔離の判断基準

初動対応後は、被害の拡大を防ぐためにネットワークの隔離範囲を的確に判断する必要があります。ランサムウェアはファイル共有などを通じて他の端末へ感染を広げるため、判断を誤ると被害が組織全体に及ぶ可能性があります。影響範囲が特定できない場合は、被害の最小化を優先し、社内ネットワーク全体を速やかに遮断する決断も必要です。同時に、管理者アカウントの不正利用がないかなどを調査し、影響範囲の特定を進めます。

スナップショットからのデータリストア

ネットワークの安全が確保できたら、スナップショットを利用してデータを復元します。この手順により、ファイルが暗号化される前のクリーンな状態にデータを戻し、迅速に業務を再開できます。

スナップショットからのデータ復元手順
  1. 「Snapshot Replication」を起動し、「復元」メニューから対象の共有フォルダを選択します。
  2. 保存されているスナップショットの一覧から、ランサムウェアに感染する前の日時のものを選択します。
  3. 復元アクションを実行し、データが正常な状態に戻ったことを確認します。

イミュータブルスナップショットが設定されていれば、たとえ管理者権限が攻撃者に奪われていたとしても、バックアップデータは安全に保護されており、確実な復元が可能です。

よくある質問

NAS本体がウイルスに感染するリスクは?

はい、リスクは存在します。NASもコンピューターの一種であり、OSの脆弱性を突かれたり、推測されやすいパスワードを破られたりして、攻撃者に侵入される可能性があります。OS(DSM)を常に最新の状態に保ち、強固なパスワードと多要素認証で管理者アカウントを保護するなど、継続的なセキュリティ対策を行うことで、NAS本体への感染リスクを大幅に低減できます。

家庭用モデルでも同様の対策は可能?

はい、可能です。最新のファイルシステムであるBtrfsに対応したモデルであれば、家庭向けの製品であっても、この記事で紹介したスナップショットやイミュータブルスナップショットといった高度なデータ保護機能を利用できます。ランサムウェア対策を検討する際は、利用したいモデルがBtrfsをサポートしているか、事前に仕様を確認することが重要です。

対策が正しく機能しているか確認する方法は?

設定した対策が有効に機能しているかを確認するには、日々の監視と定期的なテストが不可欠です。ログセンターで不審なログイン試行がないかを確認したり、Security Advisorの診断を定期的に実行したりすることで、新たな脅威や設定の不備を早期に発見できます。最も確実な方法は、定期的にリストアテストを実施し、実際にデータを問題なく復元できることを自分の目で確認することです。

まとめ:Synology NASで実現する多層防御とデータ復旧

Synology NASによるランサムウェア対策は、Security Advisorや多要素認証といった基本設定を固めた上で、スナップショット、特に管理者でも削除できないイミュータブルスナップショットを中核に据えることが極めて有効です。さらに、NAS単体だけでなく、3-2-1ルールに基づきクラウドや物理的に離れた場所へバックアップを多層化することで、機器の故障や災害といった複合的なリスクにも対応できます。まずは自社のNAS設定が、本記事で解説した防御策を網羅できているかを確認し、未対応の項目を洗い出すことから始めましょう。バックアップは設定して終わりではなく、定期的なリストアテストで復旧可能であることを確認する運用が不可欠です。本記事は一般的な対策を解説したものですが、実際の運用は各社の環境によって異なりますので、不明な点があれば専門家へ相談することも検討してください。

Baseconnect株式会社
サイト運営会社

本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。

当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。

加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。

記事URLをコピーしました