ストレージにおける最強のランサムウェア対策！
Lenovo ThinkSystem DM/DGシリーズの真価

「バックアップを取っているから大丈夫」
ランサムウェア対策の話題で、よく聞かれる言葉です。しかし実際の被害現場では、バックアップが存在していても復旧に想定以上の時間と手間を要するケースも少なくありません。

バックアップがあっても、復旧に時間がかかれば、その間業務は止まり続けます。問題はバックアップの“有無”ではなく、どれだけ早く元の状態に戻せるかです。

例えば、リストアすべきデータが100TBある場合、24時間以内に復旧するには、単純計算で約10Gbpsのスループットが求められます。さらに、これがLTOテープによるリストアの場合は、同量のデータを戻すのに丸4日程度かかることになります。これはあくまで理論値であり、実際の運用ではネットワークやストレージのオーバーヘッドが加わるため、必要な時間や帯域はさらに大きくなる可能性もあります。

ランサムウェア被害では、影響範囲をすぐに特定できないことも多く、どこまでデータを巻き戻すべきか分からないまま、広範囲のデータ復旧を迫られるケースも少なくありません。

ディスクやテープといった外部保管先からのリストアは、単体システムの障害対応であれば有効ですが、大規模かつ迅速な復旧が求められるケースでは、現実的とは言いきれません。

だからこそ重要になるのが、ストレージ内部で完結し、即座に元の状態に戻せる仕組みです。

こうした背景から、Lenovo ThinkSystem DM/DGシリーズでは、ONTAPを中核に据え、その機能を最大限に活かすことで、「侵入を防ぐ」「即座に戻す」「被害を最小化する」という、ランサムウェア対策に必要な要素をストレージレイヤーで一貫して提供しています。

ThinkSystem DM/DGシリーズでは、CIFS/NFSによるファイル共有に対して、ONTAPのFPolicy機能を用いたファイルの拡張子に基づいたフィルタリングが可能です。

ONTAP単体で実装でき、ランサムウェアで多く使われる不審な拡張子をあらかじめ書き込み禁止に設定しておくことで、感染の入り口となるファイル操作をストレージレイヤーで抑止できます。

ONTAPには、4000近くの拡張子を定義した事前定義ポリシーも用意されており、これを有効化するだけでも、ランサムウェア対策として一定の効果が期待できます。

ThinkSystem DM/DGシリーズでは、ONTAPの基本機能であるSnapshot機能を活用し、データを効率的に保護できます。

Snapshotは、システムを停止することなくストレージ内のデータを瞬時に記録する仕組みです。データそのものをコピーせず、その時点で使用されているデータブロックの「配置情報」だけを保存するため、高速に作成でき、必要な容量も最小限に抑えられます。

また、一般的なバックアップのようにデータを別媒体へコピーする必要がないため、復旧時もスナップショット取得時点のデータに参照先を切り替えるだけで、高速な復元が可能です。ランサムウェア対策のように、迅速な復旧が求められる場面において、Snapshotは非常に有効な復旧手段となります。

さらにONTAPでは、Snapshotを別のストレージへ転送・保持できる「SnapMirror」機能も搭載されています。SnapMirrorを利用することで、Snapshotで保護したデータを、同一拠点内の別筐体や、遠隔地に設置した筐体へ複製することができます。これにより、万が一ランサムウェア被害がストレージ全体に及んだ場合でも、別筐体・別拠点に保持されたクリーンなデータから復旧できます。

ONTAPには、ARP（Autonomous Ransomware Protection）と呼ばれるランサムウェア自動検知機能が標準搭載されています。ARPは、NAS環境におけるファイル操作の挙動を監視し、通常とは異なる異常な振る舞いを検知した場合に、ランサムウェア攻撃の可能性があるとして自動的にSnapshotを作成します。

ARPは、ONTAP単体で実装でき、追加のセキュリティ製品は必要ありません。機械学習に基づき、ストレージ自身が振る舞いの変化を学習し、検知するランサムウェア対策として利用できます。

ARPを利用する場合、導入時に一定期間の学習フェーズを設け、保護対象ボリュームにおけるI/O特性や格納されるファイル拡張子の傾向を学習させることが推奨されています。学習完了後には、防御動作をするモードに切り替え、通常とは異なる振る舞いを検知した際に自動的に保護動作を行えるようになります。

このようにARPは、日常的なファイル操作の傾向が比較的安定している環境において、高い効果を発揮する仕組みです。一方で、開発環境のようにファイルの作成や削除、更新が頻繁に発生する環境では、通常業務の動作とランサムウェアの挙動の判別が難しくなり、本機能が適さないケースもあります。そのためARPを利用する際は、適用対象となるボリュームの特性や運用形態を事前に整理したうえで、有効・無効の判断や学習期間の設定を行うことが重要です。

なお、ARP Snapshotは通常のSnapshotとは別に世代管理されます。そのため、保持世代や容量については、通常のSnapshotとは分けてサイジング・設計する必要があるので注意しましょう。

いかがだったでしょうか。
Lenovo ThinkSystem DM/DGシリーズでは、ここで紹介したFPolicyやSnapshot、ARPを含むONTAPのセキュリティ機能を、オールフラッシュ構成から大容量構成まで共通して利用できます。ハードウェア構成やシステム規模が変わっても、ランサムウェア対策の考え方や運用を変える必要がなく、長期的に安定したセキュリティ基盤を構築できる点は大きな特長と言えるでしょう。

なお、Lenovo ThinkSystem DM/DGシリーズでARP機能やSnapMirror機能を利用するには、ライセンスエディションとして「Unified Complete」を選ぶ必要があります。一方、FPolicyによるファイル拡張子ベースの制御であれば、「Unified Essentials」での実装可能です。

求める対策レベルや運用要件に応じて、どこまでストレージレイヤーで担保したいかを整理したうえで、適切なエディションを選択することが重要です。

ストレージレベルでのランサムウェア対策をご検討されているお客さまは、ぜひS&Iまでご相談ください。セキュリティポリシーや運用要件に応じて、最適な構成をご提案いたします。