« Arcserve UDPサブスクリプション製品を更新した際はライセンスキーを追加適用しライセンス期間を延長してください。 | トップページ | 「送受信されたすべてのメールを保管し」「改ざんできず」「すぐに検索・抽出できる」という3拍子揃ったArcserve Email Archivingのご紹介です。 »

2022年4月22日 (金)

Arcserve Replication / High Availability を使ったランサムウェア対策を考えてみた

日本企業を狙ったサイバー攻撃は激しさを増しており、Arcserve Japan にもランサムウェア関連で多数ご相談をいただいています。

弊社では通常、ランサムウェアに備えてデータを守るバックアップ ソフトとして、Arcserve UDP や Arcserve Backup をお勧めしていますが、たまに「Arcserve Replication / High Availability をランサムウェア対策に使えないか?」というご相談をいただく事もあります。

そこで、今日は Arcserve Replication / High Availability(以下 Arcserve RHA と省略) を使ってランサムウェアの被害を軽減する方法を考えてみます。

-------------

目次

1. そもそもレプリケーション ソフトはランサムウェアとは相性が悪い?

2. それでも Arcserve RHA の機能で何かできないか考えてみる

2-1. マスタ/レプリカのセキュリティを強化する

2-2. レプリケーションを一時停止する/遅延させる

2-3. スケジューリング モードを使う

2-4. シャドウ コピーを取得する

3. やっぱりバックアップ ソフトとの組み合わせが大事

-------------

 

1. そもそもレプリケーション ソフトはランサムウェアとは相性が悪い?

はじめに残念なお知らせなのですが、Arcserve RHA のようなレプリケーション ソフトはランサムウェアからのデータ復旧には向いていません。ランサムウェアに備えたバックアップは以下の3つのポイントを押さえるあります。

ポイント 1:バックアップデータの世代管理

ポイント 2:バックアップ環境の保全

ポイント 3:バックアップデータのオフライン化

ランサムウェア対策で重要なバックアップの3つのポイント より

 

ランサムウェアには潜伏期間があり、また、ランサムウェア攻撃を受けてからサーバ管理者が対処するまでの猶予を確保するため、バックアップは複数世代保持しておくのが基本です。一方で Arcserve RHA はリアルタイム レプリケーションが基本となり、世代管理にはあまり向いていません。

2つ目の「バックアップ環境の保全」はともかくとして、3つ目の「バックアップ データのオフライン化」も厳しいです。 Arcserve RHA はレプリケーションするために常時ネットワークにつながっている必要があり、 データのオフライン保管はできません。

という言い訳を一通りしたうえで、以下、現状よりも少しでも被害を軽減するための対策を考えてみます。

 

2. それでも Arcserve RHA の機能で何かできないか考えてみる

2-1. マスタ/レプリカのセキュリティを強化する

レプリカ(複製先)サーバはマスタ(複製元)サーバと同様定期的にアップデートを行い、セキュリティ ホールを潰しておきましょう。Windows Update の際にはサーバの再起動が必要になる事もありますが、その場合はホスト メンテナンス機能を使うと同期を行わずスムーズに再起動できます。

<関連記事>

Arcserve Replication/HA : 同期しないでサーバを再起動したい ~ ホスト メンテナンス機能

 

なお、ファイル サーバ シナリオでは平常時はレプリカ サーバのファイル共有を無効にしておく運用が一般的です。そのため、ファイル共有経由でデータを暗号化するタイプのランサムウェアは、(レプリカが感染しない限り)直接レプリカのファイルを暗号化する事はできません。

ただ、この場合でもマスタ サーバのファイルが暗号化されてしまうと、その変更がレプリカにも伝播してしまうという課題は残ります。

01_ransomware

 

2-2. レプリケーションを一時停止する/遅延させる

レプリケーションを一時停止しておけば、仮にマスタ サーバのファイルが暗号化されたとしても、それがレプリケーションされることはありません。

02_suspend_replication

 

問題は「いつ一時停止すれば良いのか?」です。一時停止中はレプリカのデータは古いままになってしまうので、リアルタイムにデータを複製できる Arcserve RHA の利点を損ねてしまいます。そのため、一時停止を行うとしてもせいぜい夜間の数時間止めておく、という運用が妥当なところです。

一方で、ランサムウェアによる攻撃は時間を選ばず、レプリケーション中にランサムウェア攻撃が始まる場合ももちろんあります。一時停止はランサムウェアの被害を防ぐ方法としては気休め程度とお考えください。

また、似たようなアプローチで「レプリケーション遅延」という機能もあります。これは名前の通りレプリケーションのタイミングを遅らせ、ファイルの誤削除やランサムウェアによる暗号化がレプリカに反映されるまでの時間を稼ぐためのものです。

遅延時間は分単位で設定できますが、これも長く設定しすぎるとレプリケーションの利点であるリアルタイム性を損ねてしまうので悩ましいところです。

<関連記事>

レプリケーションの一時停止 (1/2)

隠れた機能シリーズ: その変更、ちょっと待って!

 

2-3. スケジューリング モードを使う

先ほどの一時停止と同じく、リアルタイム性を犠牲にする事でランサムウェアによる暗号化の伝播を抑えられる方法が「スケジューリング モード」です。

スケジューリング モードでは、あらかじめスケジュールしたタイミングで同期を行う事でデータを複製します。同期が行われていない時間帯はデータが複製されないので、マスタのファイルが暗号化されてもレプリカには反映されません。

これも、日次スケジュールの場合、被害発生から対処までの猶予時間は最長でも24時間しかなく、ランサムウェア対策としては心許ないところです。また、同期ではマスタ/レプリカのデータの突合せに長い時間がかかるため、容量やファイル/フォルダ数が多い環境には向きません。

<関連記事>

スケジューリングモードを使った同期の自動実行

Arcserve Replication/HA : 2回目以降の同期時間に影響するもの

 

2-4. シャドウ コピーを取得する

Arcserve RHA は基本的にはリアルタイムにレプリケーションを行いますが、さらにレプリカで VSS スナップショット(シャドウ コピー)を保持する事も出来ます。または Windows の標準機能である「共有フォルダのシャドウ コピー」と併用する事も可能です。

過去のシャドウ コピーが残っていれば、そこから暗号化されたファイルを復元する事も可能です。

03_shadow_copy

 

ただし、これらの機能で取得できる シャドウ コピーは現在のボリュームからの変更点を記録する仕組みなので、大量のファイルが暗号化されて変更量が増えると容量不足で破綻する恐れがあります。

また、2021年以降流行している LockBit、Conti、REvil 等のランサムウェアはシャドウ コピーを狙って削除すると言われており、過信は禁物です。

<関連記事>

隠れた機能シリーズ: スナップショットマネージャ?

共有フォルダのシャドウ コピー機能と併用できますか?

 

3. やっぱりバックアップ ソフトとの組み合わせが大事

以上、色々考えてみましたが、残念ながら Arcserve RHA のみを使ったランサムウェア対策は不十分という結論になりました。世代管理やオフライン保管が可能なバックアップ ソフトの併用をご検討ください。

本番サーバであるマスタ サーバに Arcserve UDP や Arcserve Backup を導入して、システム全体のバックアップを取得するのがお勧めです。

また、大容量のデータを直接テープにバックアップしたいという場合、Arcserve Backup と連携してレプリカ サーバでバックアップする方法もあります。

05_backup_from_replica

 

最後に、ランサムウェア対策に不向きだからと言って、Arcserve RHA を使う意味がないという事ではありません。Arcserve RHA はリアルタイムにデータを複製する事で、災害やハードウェア障害などが起きてもレプリカにすぐに切り替えて業務を行えるのが強みです。想定する障害に応じて最適な方法を組み合わせてご利用ください。

<関連記事>

発想の転換~「バックアップが夜のうちに終わらない」対策として Arcserve Replication を活用

「レプリケーション」と「バックアップ」の違いとは

 

以上、ホテがお伝えしました。

« Arcserve UDPサブスクリプション製品を更新した際はライセンスキーを追加適用しライセンス期間を延長してください。 | トップページ | 「送受信されたすべてのメールを保管し」「改ざんできず」「すぐに検索・抽出できる」という3拍子揃ったArcserve Email Archivingのご紹介です。 »

技術情報」カテゴリの記事

コメント

コメントを書く

コメントは記事投稿者が公開するまで表示されません。

(ウェブ上には掲載しません)

« Arcserve UDPサブスクリプション製品を更新した際はライセンスキーを追加適用しライセンス期間を延長してください。 | トップページ | 「送受信されたすべてのメールを保管し」「改ざんできず」「すぐに検索・抽出できる」という3拍子揃ったArcserve Email Archivingのご紹介です。 »