Arcserve Replication / High Availability を使ったランサムウェア対策を考えてみた
日本企業を狙ったサイバー攻撃は激しさを増しており、Arcserve Japan にもランサムウェア関連で多数ご相談をいただいています。
弊社では通常、ランサムウェアに備えてデータを守るバックアップ ソフトとして、Arcserve UDP や Arcserve Backup をお勧めしていますが、たまに「Arcserve Replication / High Availability をランサムウェア対策に使えないか?」というご相談をいただく事もあります。
そこで、今日は Arcserve Replication / High Availability(以下 Arcserve RHA と省略) を使ってランサムウェアの被害を軽減する方法を考えてみます。
-------------
目次
1. そもそもレプリケーション ソフトはランサムウェアとは相性が悪い?
2. それでも Arcserve RHA の機能で何かできないか考えてみる
2-1. マスタ/レプリカのセキュリティを強化する
2-3. スケジューリング モードを使う
2-4. シャドウ コピーを取得する
-------------
1. そもそもレプリケーション ソフトはランサムウェアとは相性が悪い?
はじめに残念なお知らせなのですが、Arcserve RHA のようなレプリケーション ソフトはランサムウェアからのデータ復旧には向いていません。ランサムウェアに備えたバックアップは以下の3つのポイントを押さえるあります。
ポイント 1:バックアップデータの世代管理
ポイント 2:バックアップ環境の保全
ポイント 3:バックアップデータのオフライン化
ランサムウェアには潜伏期間があり、また、ランサムウェア攻撃を受けてからサーバ管理者が対処するまでの猶予を確保するため、バックアップは複数世代保持しておくのが基本です。一方で Arcserve RHA はリアルタイム レプリケーションが基本となり、世代管理にはあまり向いていません。
2つ目の「バックアップ環境の保全」はともかくとして、3つ目の「バックアップ データのオフライン化」も厳しいです。 Arcserve RHA はレプリケーションするために常時ネットワークにつながっている必要があり、 データのオフライン保管はできません。
という言い訳を一通りしたうえで、以下、現状よりも少しでも被害を軽減するための対策を考えてみます。
2. それでも Arcserve RHA の機能で何かできないか考えてみる
レプリカ(複製先)サーバはマスタ(複製元)サーバと同様定期的にアップデートを行い、セキュリティ ホールを潰しておきましょう。Windows Update の際にはサーバの再起動が必要になる事もありますが、その場合はホスト メンテナンス機能を使うと同期を行わずスムーズに再起動できます。
<関連記事>
なお、ファイル サーバ シナリオでは平常時はレプリカ サーバのファイル共有を無効にしておく運用が一般的です。そのため、ファイル共有経由でデータを暗号化するタイプのランサムウェアは、(レプリカが感染しない限り)直接レプリカのファイルを暗号化する事はできません。
ただ、この場合でもマスタ サーバのファイルが暗号化されてしまうと、その変更がレプリカにも伝播してしまうという課題は残ります。
レプリケーションを一時停止しておけば、仮にマスタ サーバのファイルが暗号化されたとしても、それがレプリケーションされることはありません。
問題は「いつ一時停止すれば良いのか?」です。一時停止中はレプリカのデータは古いままになってしまうので、リアルタイムにデータを複製できる Arcserve RHA の利点を損ねてしまいます。そのため、一時停止を行うとしてもせいぜい夜間の数時間止めておく、という運用が妥当なところです。
一方で、ランサムウェアによる攻撃は時間を選ばず、レプリケーション中にランサムウェア攻撃が始まる場合ももちろんあります。一時停止はランサムウェアの被害を防ぐ方法としては気休め程度とお考えください。
また、似たようなアプローチで「レプリケーション遅延」という機能もあります。これは名前の通りレプリケーションのタイミングを遅らせ、ファイルの誤削除やランサムウェアによる暗号化がレプリカに反映されるまでの時間を稼ぐためのものです。
遅延時間は分単位で設定できますが、これも長く設定しすぎるとレプリケーションの利点であるリアルタイム性を損ねてしまうので悩ましいところです。
<関連記事>
先ほどの一時停止と同じく、リアルタイム性を犠牲にする事でランサムウェアによる暗号化の伝播を抑えられる方法が「スケジューリング モード」です。
スケジューリング モードでは、あらかじめスケジュールしたタイミングで同期を行う事でデータを複製します。同期が行われていない時間帯はデータが複製されないので、マスタのファイルが暗号化されてもレプリカには反映されません。
これも、日次スケジュールの場合、被害発生から対処までの猶予時間は最長でも24時間しかなく、ランサムウェア対策としては心許ないところです。また、同期ではマスタ/レプリカのデータの突合せに長い時間がかかるため、容量やファイル/フォルダ数が多い環境には向きません。
<関連記事>
Arcserve RHA は基本的にはリアルタイムにレプリケーションを行いますが、さらにレプリカで VSS スナップショット(シャドウ コピー)を保持する事も出来ます。または Windows の標準機能である「共有フォルダのシャドウ コピー」と併用する事も可能です。
過去のシャドウ コピーが残っていれば、そこから暗号化されたファイルを復元する事も可能です。
ただし、これらの機能で取得できる シャドウ コピーは現在のボリュームからの変更点を記録する仕組みなので、大量のファイルが暗号化されて変更量が増えると容量不足で破綻する恐れがあります。
また、2021年以降流行している LockBit、Conti、REvil 等のランサムウェアはシャドウ コピーを狙って削除すると言われており、過信は禁物です。
<関連記事>
3. やっぱりバックアップ ソフトとの組み合わせが大事
以上、色々考えてみましたが、残念ながら Arcserve RHA のみを使ったランサムウェア対策は不十分という結論になりました。世代管理やオフライン保管が可能なバックアップ ソフトの併用をご検討ください。
本番サーバであるマスタ サーバに Arcserve UDP や Arcserve Backup を導入して、システム全体のバックアップを取得するのがお勧めです。
また、大容量のデータを直接テープにバックアップしたいという場合、Arcserve Backup と連携してレプリカ サーバでバックアップする方法もあります。
最後に、ランサムウェア対策に不向きだからと言って、Arcserve RHA を使う意味がないという事ではありません。Arcserve RHA はリアルタイムにデータを複製する事で、災害やハードウェア障害などが起きてもレプリカにすぐに切り替えて業務を行えるのが強みです。想定する障害に応じて最適な方法を組み合わせてご利用ください。
<関連記事>
以上、ホテがお伝えしました。
« Arcserve UDPサブスクリプション製品を更新した際はライセンスキーを追加適用しライセンス期間を延長してください。 | トップページ | 「送受信されたすべてのメールを保管し」「改ざんできず」「すぐに検索・抽出できる」という3拍子揃ったArcserve Email Archivingのご紹介です。 »
「技術情報」カテゴリの記事
- 実はランサムウェア対策にも有用?! 仮想スタンバイって凄い!(2024.09.06)
- Arcserve RHA での 「圧縮転送」 と 「圧縮属性のレプリケート」(2024.07.26)
- Arcserve RHA : XML 形式で取り出したレポート ファイルを Microsoft Edge で見る方法(2024.04.26)
- 超人気コンテンツの動画公開!! 「Arcserve UDP」と「Arcserve Backup」の違い(2024.01.12)
- Arcserve Backup チューンナップ/設定 シリーズ: テープバックアップのパフォーマンス向上(2023.10.27)
「ランサムウェア対策」カテゴリの記事
- 災害対策/ランサムウェア対策を両立するには?! バックアップ構成を5段階評価で採点してみました!(2024.10.11)
- 実はランサムウェア対策にも有用?! 仮想スタンバイって凄い!(2024.09.06)
- Arcserve UDP 復旧ポイントのコピーを実測!Wasabi オブジェクトロックを使ったランサムウェア & 災害対策!(2024.08.16)
- Arcserve UDP Cloud Hybrid でランサムウェア対策を強化!!(2024.08.02)
- Arcserve UDPの重複排除を利用しない環境でのOneXafeの利用(2024.02.02)
「Arcserve Replication / High Availability」カテゴリの記事
- WSFC環境でのArcserve Replication and High Availability利用(2024.10.04)
- 「Arcserve Replication / High Availability」カテゴリーを作りました。(2024.09.27)
- Arcserve RHA での 「圧縮転送」 と 「圧縮属性のレプリケート」(2024.07.26)
- Arcserve RHA : XML 形式で取り出したレポート ファイルを Microsoft Edge で見る方法(2024.04.26)
- もしもの災害時に業務を止めない!大企業から中小企業まで様々な業種・業態での災害対策事例をご紹介します。(2024.03.15)
« Arcserve UDPサブスクリプション製品を更新した際はライセンスキーを追加適用しライセンス期間を延長してください。 | トップページ | 「送受信されたすべてのメールを保管し」「改ざんできず」「すぐに検索・抽出できる」という3拍子揃ったArcserve Email Archivingのご紹介です。 »
コメント