« Arcserve UDP Cloud Direct のトライアルでMSP/リセラーを選んだ場合の対処法 | トップページ | Arcserve UDP 8.0 新機能紹介(7):その他の新機能と機能改善 »

2021年7月16日 (金)

Arcserve UDP 8.0 新機能紹介(6):ランサムウェア対応の強化

皆様、こんにちは。
Arcserve UDP 8.0 新機能紹介の6回目となる今回は、ランサムウェア対応の強化についてご紹介します。当初は Nutanix Files のスナップショット連携についてご紹介する予定でしたが、そちらについては次回ご紹介いたしますのでご了承ください。※目次も変更しています。
--------------------------------------------
[目次]
1)バックアップ/リストア用ネットワーク指定の強化
2)エージェント(Windows)設定のエクスポート/インポート
3)スタンバイVM/インスタントVMの複数同時起動
4)異なるサイトからの逆向きのレプリケーション
5)Microsoft 365 のバックアップ/リストア強化
6)ランサムウェア対応の強化(←本日はここ)
7)その他の新機能と機能改善
--------------------------------------------

ランサムウェアの脅威にはバックアップで対策を

昨今、身代金要求型のウィルスであるランサムウェアがまだまだ猛威を振るっています。ランサムウェアは重要なデータを勝手に暗号化して、復号化することを条件に身代金を払うように要求してくるというタイプの悪質なウィルスです。脅迫に屈服して莫大な身代金を支払うことは経済的ダメージもさることながら、社会的な信用の失墜にも繋がって企業経営に大きなダメージになります。

ランサムウェアに対抗するためには、ファイア ウォールの整備や、OSやセキュリティを最新に更新して、そもそも企業ネットワーク環境への不正な侵入を防ぐことが重要ですが、それでもあの手この手で行われる攻撃により、感染を 100% 防ぐことは難しいと言えます。

実際に感染により重要データが使用不能となる事態に備えて、必ず感染「前」に バックアップを取っておくことが重要です。感染前の健全なデータのバックアップさえ残っていれば、感染時にはそこからファイルを復旧することが可能です。

 

Arcserve UDP 8.0 でバックアップ データを狙ってくる攻撃者にも対処

企業に対する攻撃の手口は近年さらに巧妙化しています。標的型攻撃とあわせて、時には攻撃者自身がさまざまな方法で企業ネットワークに不正アクセスを行い、ランサムウェアの被害を拡大させるための工作を行うこともあります。その一環として、復旧のために使用するバックアップ データを破壊、改ざんする場合もあります。そのため、バックアップ データを、攻撃者が容易にアクセスしづらい領域に保管することが必要となっています。

Arcserve UDP 8.0 では、復旧ポイント(バックアップ データ)をより安全な領域に保管するための2つの機能が加わっています。クラウドでのアプローチと、オンプレミスでのアプローチとなります。

 

新機能1 「復旧ポイントのコピー」で Amazon S3 のオブジェクト ロックを利用

Arcserve UDP では、バックアップ後に復旧ポイント(バックアップ データ)をローカルディスクや NAS、クラウド ストレージにコピーすることができますが、そのコピー先として Amazon S3(※1) を使用する際に「オブジェクト ロック」機能を有効化することが出来るようになりました。

オブジェクト ロックは Amazon S3 に用意されている WORM(Write Once Read Many)モデルの保護機能で、保管データを一定期間、削除や変更ができないよう制限します。これにより、悪意を持った攻撃者により Arcserve UDP の復旧ポイントを削除、改ざんされるリスクを軽減することができます。

以下は、Arcserve UDP 8.0 の復旧ポイントのコピー機能の画面です。オブジェクト ロックを使用するためには、[コピー設定] タブでコピー先として Amazon S3 を選択し、 [オブジェクト ロックを有効にする]にチェックを入れます。

1_20210709102301

また、[オブジェクトロック設定]ボタンをクリックすると、保存モードや保存期間を設定することができます。

2_20210709102401

保存モードとして、特定の AWS IAM 権限を持つ管理者ユーザだけは保護されているデータを上書き/削除できるようにするか、それとも管理者を含む全ユーザが保護データを上書き/削除できないようにするかを選択できます。また、その保護をどれくらいの期間に適用するかを指定できます。

<関連記事>

Arcserve UDP コンソールで復旧ポイントのコピーを使う

 

なお、Arcserve UDP 8.0 の新機能ではありませんが、Arcserve の独自クラウド サービスである、Arcserve UDP Cloud Hybrid では、クラウド内のバックアップ データに対して、セキュリティ ソリューション「Sophos Intercept X」によるウィルス/ランサムウェアの検知を行っています。ランサムウェア対策としてクラウド バックアップをご検討されている場合には、選択肢の1つとしてご検討ください。

参考:Arcserve UDP Cloud Hybridご紹介

 

新機能2 復旧ポイント サーバのセキュリティを向上

今度は、オンプレミスや IaaS クラウドにおいて、重複排除や復旧ポイントの遠隔転送などを行うために RPS(復旧ポイント サーバ)をご利用いただいている場合にセキュリティ向上に活用していただける新機能です。

RPS を利用するには、RPS のモジュールをサーバにインストールし、Arcserve UDP コンソールにその復旧ポイントサーバを追加した上で、復旧ポイントの格納先となる「データストア」を設定していただくことになります。

Arcserve UDP 8.0 では、このデータストアの作成先として、「D:」「E:」などといったドライブ文字が割り当てられていない「隠しボリューム」をご利用いただけるようになりました。データストアを構成するフォルダとして隠しボリューム内のフォルダを利用すれば、そのフォルダへは Windows のエクスプローラ上には表示されず、スクリプトなどから単純なパス指定でアクセスすることができなくなるため、攻撃者により復旧ポイントに不正アクセスされるリスクを軽減することができます。

設定の流れとしては、まずは Windows の「ディスクの管理」にてドライブ文字のないボリュームを用意します。(※2

3_20210709103201

ただ、このままでは Arcserve UDP 側でバックアップ先の選択画面に隠しボリュームが表示されてこないため、データストア作成先に指定できません。

4

そこで、Windows のレジストリ エディタを使用して、以下にアクセスします。

HKEY_LOCAL_MACHINE\SOFTWARE\Arcserve\Unified Data Protection\Engine\ShowVolGuidPath

5

こちらの値のデータはデフォルトで ”0” となっていますが、これを “1” に変更していただきます。

6

この際、サーバやサービスの再起動は不要です。この変更により、バックアップ先の選択画面に隠しボリュームが表示されるようになります。ボリュームの中身を確認し、バックアップ先として使用するボリュームをご確認ください。また、この画面の右上のアイコンから、データストアとして利用する新しいフォルダを作成できます。

7

重複排除をご利用いただく場合にはデータストアを構成するフォルダとして「データストア フォルダ」「データデスティネーション」「インデックス デスティネーション」「ハッシュ デスティネーション」の4つのフォルダを指定していただくことになりますが、これらを隠しボリューム上に作成していただくことも可能です。

これで、エクスプローラやスクリプトから容易にアクセスできないセキュアなデータストアができました。

バックアップやリストアについては通常の RPS データストアの扱いとなにも変わりません。バックアップ先の RPS データストアとして選択していただけますし、リストアも通常のデータストアと同様の操作で RPS データストア内の復旧ポイントを選択していただき、復旧をしていただけます。

なお、ここで紹介した方法はあくまで復旧ポイントの保存先ボリュームを隠すものです。アカウント ロック型のランサムウェアや標的型攻撃で RPS のシステムが破壊されてしまう事にも備え、RPS 自身のバックアップも外部に取得しておくことをお勧めいたします。

RPS のバックアップについては、以下の記事をご覧ください。Arcserve UDP コンソールのバックアップ方法についてまとめた記事ですが、後半2つの方法は RPS にも対応しています。

<関連記事>

Arcserve UDP コンソールをバックアップする 3 つの方法

 

以上、バックアップ先のセキュリティを高める方法2つをご紹介してまいりました。いずれも、Arcserve UDP 8.0 からご利用いただけますので、既存バージョンをお使いの方は是非アップグレードをご検討ください。

ご好評いただいている Arcserve UDP 8.0 新機能紹介シリーズ、次回はいよいよ最終回となります。その他の新機能と機能改善をご紹介いたします。どうぞお楽しみに!

 

<関連記事>

ランサムウェア対策で重要なバックアップの3つのポイント

Arcserve UDP 8.1新機能紹介(1):Arcserve UDP コンソールが多要素認証に対応!!

[2021年版] 年末年始までにできる、バックアップデータのランサムウェア対策


※1 Arcsere UDP 8.1 では Amazon S3 に加え、Wasabi ホット クラウド ストレージや Nutanix Objects のオブジェクトロック機能にも対応しています。

Arcserve UDP 8.1 新機能紹介(2):Wasabi オブジェクト ロックにバックアップ データをコピーしてみる。

※2 この操作はソフトウェア版 Arcserve UDP で構築した RPS 上で行ってください。Arcserve UDP Appliance ではボリュームの追加や変更はできません。

RPS が VMware 仮想マシンで、かつ、ホストベース エージェントレス バックアップ プロキシの場合にも以下の問題が起こります。

復旧ポイント サーバの再起動後に非表示ボリュームを使用したデータ ストアが停止状態となる

また、以下の通り、Arcserve Backup との連携機能にも一部制約がありますのでご注意ください。

Arcserve Unified Data Protection 8.x 注意/制限事項

Arcserve Unified Data Protection 8.x (Windows) - 一般的な機能に関連する注意/制限事項 - 番号 28

※ 隠しボリュームを使用したデータ ストアの構成フォルダを、Arcserve Backup のバックアップ ジョブ - [ソース] タブ - [Arcserve UDP 復旧ポイント サーバ] のツリー配下からソース指定するバックアップ運用は未サポートとなります。

« Arcserve UDP Cloud Direct のトライアルでMSP/リセラーを選んだ場合の対処法 | トップページ | Arcserve UDP 8.0 新機能紹介(7):その他の新機能と機能改善 »

技術情報」カテゴリの記事

Arcserve UDP (旧製品名 Arcserve D2D)」カテゴリの記事

メルマガコラム」カテゴリの記事

Arcserve UDP Cloud Hybrid」カテゴリの記事

コメント

コメントを書く

コメントは記事投稿者が公開するまで表示されません。

(ウェブ上には掲載しません)

« Arcserve UDP Cloud Direct のトライアルでMSP/リセラーを選んだ場合の対処法 | トップページ | Arcserve UDP 8.0 新機能紹介(7):その他の新機能と機能改善 »