« 販売終了バージョンのライセンスキーを入手する手続きについてご案内します。 | トップページ | Arcserve Backup で利用できるLTO-9テープ装置は? »

2022年12月 2日 (金)

ランサムウェア対策って具体的に何をすればいいの? 「Arcserve OneXafe(ワンセーフ) + Arcserve UDPなら出来ること」を解説。

本日は、おかげさまでお問い合わせが急増しているImmutable(不変の)ストレージ製品のArcserve OneXafeArcserve UDPを組み合わせて何ができるかについて解説します。ご相談を頂くたびに説明する内容なので、多くの方が興味を持たれている部分ではないかと思います。

「ランサムウェア対策」を検討する上で重要な項目には
・ 防御(不正侵入防御/検知)
・ 復旧(侵入前状態/未感染状態への復帰)
の2種類があります。

ここ最近のランサムウェア攻撃は、セキュリティ脆弱性を突いて企業ネットワークに侵入し、フェイク画面などを仕掛けてパスワードを盗み出します。盗んだパスワードでユーザに成りすました後は、復旧を阻害する為にバックアップデータの削除/破壊を行った上で業務データの暗号化を行い、その解除を行うための身代金を要求するケースが増えています。

このような傾向が続く中で、多くの方が「ランサムウェア対策」としては、まず「防御」を検討されています。もちろん防御は非常に重要な対策ではあるのですが、必ず「復旧」対策も同時に検討しておかないとシステム復旧ができなくなってしまいます。

また防御と復旧の両方を1製品で検討している方も多いのですが、Arcserve OneXafeと比較しても、そのような製品は非常に高価で、防御の効果も未知数な点もあります。一方で、Arcserve OneXafeはランサムウェア防御向けの機能はなく、あくまで復旧に利用する為の製品です。防御対策には不正侵入検知や、不正アクセス監視などの機能を持つセキュリティ製品の導入を別途ご検討ください。

では、話を元に戻し、Arcserve OneXafeArcserve UDPの、どの機能を、どのように使用すれば攻撃を受けた環境を迅速に「復旧」できるのか順を追って解説していきます。

身代金要求の画面が表示され、業務データの破壊が確認された直後は、侵入経路も影響範囲も不明なのでネットワークを遮断し、安全なバックアップデータを見つけ出しシステムの重要度の順にサーバを復旧していく必要があるでしょう。

ポイント1
バックアップデータの確認と復元

侵入者が業務データを暗号化する前にバックアップデータを発見した場合、まずこれを削除/破壊します。Arcserve UDPのバックアップデータはImmutableストレージのArcserve OneXafeに一次(直接)バックアップすることも、二次(レプリケート)バックアップすることもできます。

Onexafe2

もしバックアップデータが攻撃者に発見されたとしても、Arcserve OneXafeなら攻撃者がアクセスできない領域にスナップショットとしてバックアップデータを保護しているので、バックアップデータが削除されたとしても、スナップショット領域から短時間でバックアップデータを復元することができます。

参考情報
Arcserve UDP & OneXafe 連携ガイド(プライベート OneSystem編)
※ バックアップデータのスナップショットからの復旧手順については上記URL資料のP. 566. ランサムウェア攻撃からの復旧」に記載しています。

ポイント2
バックアップサーバ(Arcserve UDPのインストール先)の復旧

業務サーバの復旧にはArcserve UDPを使用しますが、バックアップサーバ自身も被害を受けている可能性があります。上記URL資料ではバックアップサーバをOSからフレッシュインストールする手順で説明していますが、バックアップデータを除くArcserve UDP自身のバックアップを取得しておく方法も有効です。例えばArcserve UDP自身のバックアップだけはUDP側で重複排除を無効化して、Arcserve OneXafeの共有フォルダにバックアップしておけば、バックアップサーバ自身が被害を受けても、ベアメタル復旧による簡単操作でバックアップサーバを復旧できます。

参考情報
Agent 環境構築ガイド (インストールからベアメタル復旧の手順)
※ベアメタル復旧によるサーバの復旧操作は、上記URL資料の 385.2 ベアメタル復旧の実行」に記載しております

Arcserve UDP コンソールをバックアップする 3 つの方法 - 方法2 : Arcserve UDP Advanced Edition でバックアップする

ポイント3
バックアップデータのインポート

バックアップサーバを復旧した後は、Arcserve OneXafeで業務サーバのバックアップデータを含むスナップショットを共有フォルダとして復旧し、Arcserve UDPにインポートすることで、削除されたバックアップデータの復元が完了します。この後はArcserve UDPのリカバリ機能を使用し、暗号化されたサーバを復旧していきます。

 Console1

ポイント4
ランサムウェア被害を受けた環境で、安全なバックアップデータを特定する

ランサムウェア被害を受けた環境では、業務データを暗号化する実行ファイルやマクロ、パスワードを盗むツールといった危険なツールが潜伏している可能性があります。これらはアンチマルウェアなどでシステムファイルに偽装したファイルを検知し駆除、もしくはこれらのファイルが存在しないバックアップ世代を特定する必要があります。

しかしバックアップデータのままでは、このような悪意のあるファイルを検知することができないので、ネットワークが隔離された安全な環境にバックアップデータをリストアし、これをアンチマルウェアなどで検査する必要があります。しかしデータ量が多い環境ではリストア時間も掛かるため、このような方法は現実的ではありません。そこで活用いただきたいのが仮想環境とArcserve UDPのインスタントVMです。

インスタントVMで作成された仮想マシンは、仮想ディスクとしてバックアップデータに透過的に直接アクセスできる仕組みを持ちます。つまりMicrosoft Hyper-VVMware vSphereのような仮想環境さえあれば、バックアップデータにアクセス可能な仮想マシンをリストア不要で構築できます。その上、仮想スイッチで隔離されたネットワーク環境に仮想マシンを展開することもできるので、感染の可能性のあるバックアップデータも、安全に感染チェック用のVMとして起動させることができます。さらに同一サーバから取得した複数世代のバックアップデータを、異なるVMにそれぞれマウントして並列稼働させることもできます。この機能を使用すれば感染ファイル検知の大幅な時間短縮を行うことができます。

Vm

ポイント5
環境全体を被害前の状態に復旧する

チェックを終えたバックアップデータを使用してファイルリストアやシステム復旧を行います。一時な利用であればチェック済のインスタントVMを、社内ネットワークに繋がる仮想スイッチに接続して代替運用することも可能です。但し、インスタントVMは、バックアップデータを直接仮想ディスクとしてマウントする仕組みなので、そのまま長期運用するには不向きです。インスタントVMは縮退された代替VMの前提で利用し、本番環境としては「ベアメタル復旧」や「VMの復旧」などの方法で復旧することを推奨します。

以上のような各ポイントで説明した機能を使用して、ランサムウェア被害を受けた環境でも、Arcserve OneXafe + Arcserve UDP なら、安全で手間なく復旧できることをご説明しました。

 

Arcserve UDPに関しては、弊社セミナールームで実機操作で試せる無償ハンズオンセミナーの参加お申込みや、自席でいつでもセミナー動画を閲覧することも可能です。詳しくは以下のページをご参照ください。
Arcserve イベント/セミナー

Arcserve OneXafeやArcserve UDP に関する技術的な情報はカタログセンターにも多くの情報を掲載しています。カタログや紹介資料、事例についてはカタログセンターをご参照ください。
カタログセンター

« 販売終了バージョンのライセンスキーを入手する手続きについてご案内します。 | トップページ | Arcserve Backup で利用できるLTO-9テープ装置は? »

技術情報」カテゴリの記事

Arcserve UDP」カテゴリの記事

メルマガコラム」カテゴリの記事

Arcserve UDP Appliance」カテゴリの記事

Arcserve OneXafe」カテゴリの記事

ランサムウェア対策」カテゴリの記事

コメント

コメントを書く

コメントは記事投稿者が公開するまで表示されません。

(ウェブ上には掲載しません)

« 販売終了バージョンのライセンスキーを入手する手続きについてご案内します。 | トップページ | Arcserve Backup で利用できるLTO-9テープ装置は? »