事業運営

NetAppのランサムウェア対策|ONTAPの保護・検知・復旧機能とライセンス体系を解説

catfish_admin

ランサムウェア攻撃の脅威が深刻化する現代において、データが集中するストレージ基盤での対策は事業継続の生命線です。既にNetApp製品を導入済み、または導入を検討しているIT担当者にとって、その高度な機能をいかに活用するかが重要な課題となります。この記事では、NetAppのストレージOSであるONTAPが提供するランサムウェア対策について、その全体像から「保護」「検知」「復旧」の各フェーズで機能する具体的な技術、そして関連するライセンス体系までを体系的に解説します。

目次

NetAppが提供するランサムウェア対策の全体像

「保護」「検知」「復旧」のサイクルで実現する多層防御

昨今の高度化するサイバー攻撃に対し、単一の防御策でデータを完全に守ることは困難です。そこでNetAppのストレージOSであるONTAPは、多層防御のアプローチを採用しています。これは、攻撃の侵入を防ぐ「保護」、侵入後の不審な活動を捉える「検知」、そして被害発生時にデータを即座に元に戻す「復旧」という三つのフェーズを連携させ、継続的にサイクルを回すことで実現されます。

このアプローチの強みは、各機能がストレージOSレベルで緊密に統合されている点にあります。外部のセキュリティ製品に依存することなく、データが保管されているストレージ自身が自律的にデータを守ります。これにより、事業継続計画(BCP)の観点からも実効性の高いデータ保護が可能です。

多層防御の3フェーズ
  • 保護: 認証強化やアクセス制御、データの改ざん防止機能により、攻撃者の侵入やデータの暗号化を未然に防ぎます。
  • 検知: ストレージ内部でのファイル操作の異常や不審な振る舞いをリアルタイムで監視し、攻撃を早期に発見して自律的な防御アクションを実行します。
  • 復旧: 万が一データが暗号化されても、攻撃による改ざんが不可能な状態で保護されたバックアップから、データを瞬時に正常な状態へ復元します。

【保護フェーズ】ランサムウェアの侵入と暗号化を防ぐ機能

FPolicyによる不正なファイル操作のブロック

FPolicyは、ONTAPに標準搭載されたファイルアクセス制御機能で、ランサムウェア対策における入口対策として機能します。クライアントからのファイル操作を監視し、ポリシーに基づいて不正なリクエストをブロックします。主な役割は、許可されていない拡張子のファイルが作成されるのを防ぐことです。

管理者は、業務に応じて2種類のフィルタリング方式を選択できます。

FPolicyのフィルタリング方式
  • ホワイトリスト方式: 業務で利用するWordやExcel、PDFなど、許可された拡張子のファイルのみ書き込みを許可します。
  • ブラックリスト方式: 既知のランサムウェアが使用する特定の拡張子を持つファイルの書き込みを拒否します。

ランサムウェアは、データを暗号化する際にファイル拡張子を特定のものに変更しようとします。FPolicyはこの挙動を捉えて書き込み操作自体を阻止するため、被害を未然に防ぐことができます。ONTAPのネイティブ機能であるため、追加の管理サーバーを必要とせず、パフォーマンスへの影響を最小限に抑えながら運用できる点もメリットです。

SnapLockによるデータの改ざん防止(WORM機能)

SnapLockは、WORM(Write Once, Read Many)技術を応用し、一度書き込まれたデータを指定期間、いかなるユーザーからも変更・削除できないように保護する機能です。ランサムウェアがバックアップデータまで暗号化・削除しようとする攻撃に対して、極めて強力な防御策となります。

SnapLockには、保護レベルの異なる2つのモードが用意されています。

モード 特徴 主な用途
SnapLock Compliance ストレージの管理者権限を持つユーザーでも削除・変更が不可能。保持期間満了までデータは完全に保護されます。 法的要件の遵守、証拠保全、最重要データの保護
SnapLock Enterprise 特権管理者のみが監査ログを残した上で削除可能。柔軟な運用が求められるケースに対応します。 組織内のコンプライアンス規定に基づくデータ保護
SnapLockの2つのモード

SnapLockで保護された領域は、OSレベルで書き込みがロックされているため、ランサムウェアによる暗号化プロセスを受け付けません。これにより、万が一プライマリデータが侵害された場合でも、SnapLock領域のデータは無傷で残り、確実な復旧ソースとして機能します。

Multi-Admin Verificationによる管理者権限の不正使用防止

Multi-Admin Verification(MAV)は、ボリュームの削除やSnapshotの消去といったシステムに重大な影響を及ぼす操作を実行する際に、複数の管理者による承認を必須化する機能です。管理者アカウントが攻撃者に乗っ取られたとしても、単独犯行によるデータ破壊を防ぐことができます。

この機能を有効にすると、保護対象として指定されたコマンドが実行された際、別の承認権限を持つ管理者が承認するまで、その処理は保留されます。攻撃者が管理者アカウントを悪用してバックアップを削除しようとしても、他の管理者が承認しない限り実行されないため、データ消失のリスクを大幅に低減します。

保護対象となる操作の例
  • ボリュームの削除
  • Snapshotポリシーの変更
  • SnapLock設定の解除
  • Snapshotの削除

MAVは、外部からの攻撃だけでなく、内部不正に対する抑止力としても有効です。システム的に相互監視の体制を構築することで、ITガバナンスの強化にも貢献します。

【検知フェーズ】不審なアクティビティを早期に発見する機能

ARP(Autonomous Ransomware Protection)の仕組みと効果

Autonomous Ransomware Protection(ARP)は、ONTAPに組み込まれた機械学習(AI)を活用し、ランサムウェア特有の挙動を自律的に検知・防御する機能です。外部のサーバーやエージェントを必要とせず、ストレージ自身がファイルアクセスのパターンをリアルタイムで分析します。

ARPは、主に以下の要素を監視して攻撃の兆候を捉えます。

ARPが監視する主要な要素
  • データのエントロピー(ランダム性): 暗号化によってデータの規則性が失われ、ランダム性が急上昇する現象を検知します。
  • ファイル拡張子の変化: 業務で通常使われない未知の拡張子への変更や、異常な数のファイル名変更を検知します。
  • ファイル操作のパターン: 短時間での大量のファイル書き換えや削除など、異常なIOPS(I/O Per Second)を検知します。

ARPが攻撃の疑いを検知すると、即座に管理者へアラートを送信すると同時に、被害発生直前の状態を保持する保護スナップショットを自動的に作成します。このSnapshotは意図的に削除されにくい属性を持つため、被害を最小限に抑え、確実な復旧を支援します。

Cloud Insightsによる高度なユーザー振る舞い検知

Cloud InsightsのStorage Workload Security機能は、クラウドベースの高度な監視サービスで、ユーザーの振る舞いを分析して脅威を検知します。ARPが「データそのものの変化」に着目するのに対し、この機能は「データにアクセスするユーザーの行動」に焦点を当てます。

各ユーザーの平常時のアクセスパターンを学習・ベースライン化した上で、以下のような通常とは異なる行動を異常として検知します。

Cloud Insightsが検知する異常行動の例
  • 普段アクセスしない大量のファイルへのアクセス
  • 深夜や休日など業務時間外での活動の急増
  • 短時間での大量のデータ読み出し、書き込み、削除

異常を検知した際は、管理者への通知に加え、Active Directoryと連携して不審なユーザーアカウントを自動的にロックし、攻撃の進行を強制的に停止させることが可能です。また、詳細なフォレンジック機能により、インシデント発生後の原因究明や影響範囲の特定も迅速に行えます。

ARP導入時の注意点:学習モードの存在と期間

ARPを効果的に利用するためには、導入初期の「学習モード」が重要です。この期間中、システムは環境固有の正常なファイル操作のパターン(使用される拡張子、書き込み頻度など)を学習し、検知の精度を高めるためのベースラインを構築します。

学習期間は一般的に30日程度が推奨されますが、業務サイクルを一通り網羅できる期間を設定することが理想です。学習が不十分なまま検知を有効化(アクティブモードへ移行)すると、通常の業務を攻撃と誤認する「誤検知」が発生する可能性があります。ただし、最新のONTAPでは事前学習済みのAIモデルが搭載され、学習期間が不要、または大幅に短縮されるケースも増えています。

【復旧フェーズ】万一の被害から迅速にデータをリストアする機能

不変性を備えたSnapshot機能の概要

Snapshotは、特定の時点のファイルシステムの状態を瞬時に記録するONTAPの中核的なデータ保護機能です。物理的なデータコピーを伴わず、データブロックへのポインタ(住所情報)を保存する仕組みのため、データ容量に関わらず数秒で作成可能で、ストレージ容量の消費も最小限に抑えられます。

ランサムウェア対策におけるSnapshotの最大の強みは、作成されたデータが読み取り専用(イミュータブル)である点です。アクティブなデータ領域がランサムウェアに暗号化されても、過去の時点を記録したSnapshot内のデータブロックは変更を受け付けないため、原理的に改ざんから保護されます。

さらに、Tamperproof Snapshotという機能を使えば、Snapshot自体に削除禁止期間を設定できます。これにより、管理者権限を奪った攻撃者がバックアップであるSnapshotを削除しようとしても失敗するため、どのような状況でも復旧ポイントを確実に保護します。

SnapRestoreとFlexCloneを活用した高速な復旧手順

ランサムウェア被害からの復旧では、事業停止時間をいかに短縮するかが重要です。NetAppは、高速復旧を実現するための2つの主要機能を提供しています。

  • SnapRestore: Snapshotで保護された過去の時点のデータを、アクティブなボリュームへ瞬時に書き戻す機能です。大容量データでも物理的なコピーを行わないため、数秒でリストアが完了し、業務を迅速に再開できます。
  • FlexClone: Snapshotを元に、書き込み可能な複製ボリュームを瞬時に作成する機能です。インシデント対応時の証拠保全や、復旧前データの事前検証に活用できます。

これらの機能を組み合わせることで、安全かつ迅速な復旧プロセスを実行できます。

SnapRestoreとFlexCloneを活用した復旧手順
  1. 証拠保全: FlexCloneを使い、被害を受けたボリュームの複製を作成して現状を保全します。
  2. 復旧データ検証: 被害発生直前のSnapshotからFlexCloneで検証用ボリュームを作成し、データの正常性やアプリケーションの動作を確認します。
  3. 本番環境復旧: 検証後、SnapRestoreを用いて本番ボリュームを正常な状態へ瞬時にリストアします。

インシデントに備えた復旧計画と事前テストの重要性

どれほど優れた機能があっても、有事に正しく使えなければ意味がありません。ランサムウェア攻撃を受けた際は現場が混乱に陥るため、平時から具体的な復旧手順を文書化し、定期的に訓練を行うことが不可欠です。

特に、机上の空論で終わらせず、実機を用いたテストを通じて手順に習熟しておくことが重要です。

事前テストで確認・習熟すべき項目
  • 安全なSnapshot(クリーンなデータ)の特定方法と判断基準
  • SnapRestore実行時のサービス影響範囲の確認
  • FlexCloneを用いた検証環境の立ち上げ手順
  • 経営層や関係部署への報告フローと連絡体制

NetAppランサムウェア対策機能とライセンス体系

ONTAP Oneライセンスで利用可能になる主要機能

NetAppは、主要ストレージ製品(FAS, AFF, ASAシリーズ)向けに、ソフトウェアライセンス体系をONTAP Oneに簡素化しました。これは、これまで個別の有償オプションだった高度なセキュリティ機能やデータ保護機能を標準でバンドルした、オールインワンのライセンスです。

ONTAP Oneを導入することで、追加コストを気にすることなく、最高レベルのランサムウェア対策を講じることができます。

ONTAP Oneに含まれる主要なランサムウェア対策機能
  • ARP (Autonomous Ransomware Protection): 自律的なランサムウェア検知・防御
  • SnapLock (WORM機能): データの改ざん・削除防止
  • Multi-Admin Verification (複数管理者承認): 管理者権限の不正利用防止
  • SnapRestore / FlexClone: 瞬時のデータ復旧・複製
  • SnapMirror: 遠隔地へのデータレプリケーションによる災害対策
  • FPolicy: ファイル拡張子による書き込み制御

Cloud Insightsなど追加ライセンスが必要な機能

ONTAP Oneはストレージ筐体上で動作する機能を包括的に提供しますが、一部の高度な機能やクラウドサービスは別途ライセンスや契約が必要です。

代表例が、Cloud Insightsおよびその機能であるStorage Workload Securityです。これらはSaaS(Software as a Service)として提供されるため、ストレージのライセンスとは別にサブスクリプション契約を結ぶ必要があります。このサービスを利用することで、ユーザー振る舞い検知やActive Directory連携によるアカウント自動遮断といった、より高度なセキュリティ運用が実現します。導入計画時には、オンプレミスで完結する機能と、追加契約が必要なクラウドサービスの範囲を整理しておくことが重要です。

NetAppのランサムウェア対策に関するよくある質問

NetApp ARPの有効化や基本的な設定方法について

ARPの有効化は、管理ツールであるSystem Manager(GUI)またはCLI(コマンドライン)から、ボリューム単位で簡単に行えます。設定を有効にすると、通常は「学習モード」で動作を開始し、環境固有の正常なアクティビティを学習します。誤検知が発生した場合は、その操作を「正常」としてシステムに学習させることで、検知精度を継続的に改善できます。最新バージョンでは、事前学習済みAIモデルにより学習不要で即時利用できる場合もあります。

Snapshotからのデータ復旧にかかる時間の目安は?

SnapRestoreを用いたSnapshotからの復旧は、データの容量やファイル数にほとんど影響されず、ほぼ瞬時に完了します。これは、データを物理的にコピーするのではなく、データブロックを指し示すポインタ情報を切り替えるだけで処理が完了するためです。数テラバイト規模のボリュームであっても、コマンド実行から数秒で指定した時点の状態に復元でき、ダウンタイムを最小限に抑えることが可能です。

SnapLockとTamperproof Snapshotの主な違いとは?

どちらもデータの不変性を高める機能ですが、保護対象と目的が異なります。「バックアップデータの破壊を防ぐ」というランサムウェア対策の観点では、既存の運用への影響が少なく導入しやすいTamperproof Snapshotが広く利用されています。

機能 保護対象 主な目的 特徴
SnapLock ボリューム内のファイル自体 法規制対応、データの長期保管 WORM化により、ファイル単位で書き込み・変更・削除を厳格に禁止します。
Tamperproof Snapshot Snapshot(バックアップ)自体 バックアップデータの破壊防止 Snapshotに削除禁止期間を設定し、管理者による意図しない削除や攻撃者による破壊を防ぎます。
SnapLockとTamperproof Snapshotの比較

ランサムウェア対策にはONTAP Oneライセンスが必須ですか?

ARP、SnapLock、Multi-Admin Verificationといった最新かつ高度なセキュリティ機能を網羅的に利用し、包括的な対策を講じるには、ONTAP Oneライセンスが最適であり、導入が強く推奨されます。旧ライセンス体系や下位バンドルでは、これらの機能が利用できないか、別途高額なオプションライセンスが必要になる場合があります。基本的なSnapshotなどは従来のライセンスでも利用可能ですが、既存環境の場合は現在の契約内容を確認することが重要です。

FPolicyでブロックするファイル拡張子はカスタマイズ可能ですか?

はい、柔軟にカスタマイズ可能です。FPolicyでは、ブロックしたい拡張子を定義する「ブラックリスト方式」と、許可する拡張子以外をすべてブロックする「ホワイトリスト方式」を選択できます。NetAppが提供する推奨リストをベースに、自社の業務で利用するアプリケーションのファイル形式に合わせて、許可・拒否リストを自由に調整・運用することが可能です。

オンプレミスとクラウド環境で対策機能に違いはありますか?

Amazon FSx for NetApp ONTAPやAzure NetApp Filesなどのクラウドサービス上でも、オンプレミス環境とほぼ同等のランサムウェア対策機能が利用可能です。ARP、SnapLock、Snapshot、FPolicyといったONTAPのコア機能は、クラウドでも同様に動作します。インフラ管理の一部はクラウド事業者が担うため、物理層に近い設定に一部制約はありますが、データ保護の機能面での本質的な差異はほとんどありません。

まとめ:NetApp ONTAPで実現する自律的なデータ防衛

本記事では、NetApp ONTAPが提供する多層的なランサムウェア対策機能を解説しました。その核心は、外部製品に依存せず、ストレージ自身が「保護」「検知」「復旧」のサイクルを自律的に実行する点にあります。FPolicyやSnapLockによる事前の防御、ARPのAI技術を用いたリアルタイム検知、そしてSnapshotとSnapRestoreによる瞬時の復旧は、事業継続性を高める上で極めて強力な武器となります。これらの高度な機能の多くはONTAP Oneライセンスに統合されており、包括的なセキュリティ基盤を効率的に構築できます。自社の環境とポリシーに合わせてこれらの機能を適切に設定し、有事に備えた復旧訓練を定期的に行うことが、堅牢なデータ保護体制を確立する鍵となるでしょう。

Baseconnect株式会社
サイト運営会社

本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。

当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。

加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。

運営会社情報ページへ
Recommend
こちらの記事もどうぞ
記事URLをコピーしました