ランサムウェア対策って具体的に何をすればいいの? 「Arcserve OneXafe(ワンセーフ) + Arcserve UDPなら出来ること」を解説。
本日は、おかげさまでお問い合わせが急増しているImmutable(不変の)ストレージ製品のArcserve OneXafeとArcserve UDPを組み合わせて何ができるかについて解説します。ご相談を頂くたびに説明する内容なので、多くの方が興味を持たれている部分ではないかと思います。
「ランサムウェア対策」を検討する上で重要な項目には
・ 防御(不正侵入防御/検知)
・ 復旧(侵入前状態/未感染状態への復帰)
の2種類があります。
ここ最近のランサムウェア攻撃は、セキュリティ脆弱性を突いて企業ネットワークに侵入し、フェイク画面などを仕掛けてパスワードを盗み出します。盗んだパスワードでユーザに成りすました後は、復旧を阻害する為にバックアップデータの削除/破壊を行った上で業務データの暗号化を行い、その解除を行うための身代金を要求するケースが増えています。
このような傾向が続く中で、多くの方が「ランサムウェア対策」としては、まず「防御」を検討されています。もちろん防御は非常に重要な対策ではあるのですが、必ず「復旧」対策も同時に検討しておかないとシステム復旧ができなくなってしまいます。
また防御と復旧の両方を1製品で検討している方も多いのですが、Arcserve OneXafeと比較しても、そのような製品は非常に高価で、防御の効果も未知数な点もあります。一方で、Arcserve OneXafeはランサムウェア防御向けの機能はなく、あくまで復旧に利用する為の製品です。防御対策には不正侵入検知や、不正アクセス監視などの機能を持つセキュリティ製品の導入を別途ご検討ください。
では、話を元に戻し、Arcserve OneXafeとArcserve UDPの、どの機能を、どのように使用すれば攻撃を受けた環境を迅速に「復旧」できるのか順を追って解説していきます。
身代金要求の画面が表示され、業務データの破壊が確認された直後は、侵入経路も影響範囲も不明なのでネットワークを遮断し、安全なバックアップデータを見つけ出しシステムの重要度の順にサーバを復旧していく必要があるでしょう。
ポイント1
バックアップデータの確認と復元
侵入者が業務データを暗号化する前にバックアップデータを発見した場合、まずこれを削除/破壊します。Arcserve UDPのバックアップデータはImmutableストレージのArcserve OneXafeに一次(直接)バックアップすることも、二次(レプリケート)バックアップすることもできます。
もしバックアップデータが攻撃者に発見されたとしても、Arcserve OneXafeなら攻撃者がアクセスできない領域にスナップショットとしてバックアップデータを保護しているので、バックアップデータが削除されたとしても、スナップショット領域から短時間でバックアップデータを復元することができます。
参考情報
Arcserve UDP & OneXafe 連携ガイド(プライベート OneSystem編)
※ バックアップデータのスナップショットからの復旧手順については上記URL資料のP. 56「6. ランサムウェア攻撃からの復旧」に記載しています。
ポイント2
バックアップサーバ(Arcserve UDPのインストール先)の復旧
業務サーバの復旧にはArcserve UDPを使用しますが、バックアップサーバ自身も被害を受けている可能性があります。上記URL資料ではバックアップサーバをOSからフレッシュインストールする手順で説明していますが、バックアップデータを除くArcserve UDP自身のバックアップを取得しておく方法も有効です。例えばArcserve UDP自身のバックアップだけはUDP側で重複排除を無効化して、Arcserve OneXafeの共有フォルダにバックアップしておけば、バックアップサーバ自身が被害を受けても、ベアメタル復旧による簡単操作でバックアップサーバを復旧できます。
参考情報
Agent 環境構築ガイド (インストールからベアメタル復旧の手順)
※ベアメタル復旧によるサーバの復旧操作は、上記URL資料の 38「5.2 ベアメタル復旧の実行」に記載しております
Arcserve UDP コンソールをバックアップする 3 つの方法 - 方法2 : Arcserve UDP Advanced Edition でバックアップする
ポイント3
バックアップデータのインポート
バックアップサーバを復旧した後は、Arcserve OneXafeで業務サーバのバックアップデータを含むスナップショットを共有フォルダとして復旧し、Arcserve UDPにインポートすることで、削除されたバックアップデータの復元が完了します。この後はArcserve UDPのリカバリ機能を使用し、暗号化されたサーバを復旧していきます。
ポイント4
ランサムウェア被害を受けた環境で、安全なバックアップデータを特定する
ランサムウェア被害を受けた環境では、業務データを暗号化する実行ファイルやマクロ、パスワードを盗むツールといった危険なツールが潜伏している可能性があります。これらはアンチマルウェアなどでシステムファイルに偽装したファイルを検知し駆除、もしくはこれらのファイルが存在しないバックアップ世代を特定する必要があります。
しかしバックアップデータのままでは、このような悪意のあるファイルを検知することができないので、ネットワークが隔離された安全な環境にバックアップデータをリストアし、これをアンチマルウェアなどで検査する必要があります。しかしデータ量が多い環境ではリストア時間も掛かるため、このような方法は現実的ではありません。そこで活用いただきたいのが仮想環境とArcserve UDPのインスタントVMです。
インスタントVMで作成された仮想マシンは、仮想ディスクとしてバックアップデータに透過的に直接アクセスできる仕組みを持ちます。つまりMicrosoft Hyper-VやVMware vSphereのような仮想環境さえあれば、バックアップデータにアクセス可能な仮想マシンをリストア不要で構築できます。その上、仮想スイッチで隔離されたネットワーク環境に仮想マシンを展開することもできるので、感染の可能性のあるバックアップデータも、安全に感染チェック用のVMとして起動させることができます。さらに同一サーバから取得した複数世代のバックアップデータを、異なるVMにそれぞれマウントして並列稼働させることもできます。この機能を使用すれば感染ファイル検知の大幅な時間短縮を行うことができます。
ポイント5
環境全体を被害前の状態に復旧する
チェックを終えたバックアップデータを使用してファイルリストアやシステム復旧を行います。一時な利用であればチェック済のインスタントVMを、社内ネットワークに繋がる仮想スイッチに接続して代替運用することも可能です。但し、インスタントVMは、バックアップデータを直接仮想ディスクとしてマウントする仕組みなので、そのまま長期運用するには不向きです。インスタントVMは縮退された代替VMの前提で利用し、本番環境としては「ベアメタル復旧」や「VMの復旧」などの方法で復旧することを推奨します。
以上のような各ポイントで説明した機能を使用して、ランサムウェア被害を受けた環境でも、Arcserve OneXafe + Arcserve UDP なら、安全で手間なく復旧できることをご説明しました。
Arcserve UDPに関しては、弊社セミナールームで実機操作で試せる無償ハンズオンセミナーの参加お申込みや、自席でいつでもセミナー動画を閲覧することも可能です。詳しくは以下のページをご参照ください。
Arcserve イベント/セミナー
Arcserve OneXafeやArcserve UDP に関する技術的な情報はカタログセンターにも多くの情報を掲載しています。カタログや紹介資料、事例についてはカタログセンターをご参照ください。
カタログセンター
« 販売終了バージョンのライセンスキーを入手する手続きについてご案内します。 | トップページ | Arcserve Backup で利用できるLTO-9テープ装置は? »
「技術情報」カテゴリの記事
- 実はランサムウェア対策にも有用?! 仮想スタンバイって凄い!(2024.09.06)
- Arcserve RHA での 「圧縮転送」 と 「圧縮属性のレプリケート」(2024.07.26)
- Arcserve RHA : XML 形式で取り出したレポート ファイルを Microsoft Edge で見る方法(2024.04.26)
- 超人気コンテンツの動画公開!! 「Arcserve UDP」と「Arcserve Backup」の違い(2024.01.12)
- Arcserve Backup チューンナップ/設定 シリーズ: テープバックアップのパフォーマンス向上(2023.10.27)
「Arcserve UDP」カテゴリの記事
- 実はランサムウェア対策にも有用?! 仮想スタンバイって凄い!(2024.09.06)
- 「仮想マシンの移行」案件でよくある質問と回答【Arcserve UDP 編】(2024.09.13)
- 復旧用メディアは使いまわせる?Arcserve UDP Agent for Windows 復旧用メディアに関するよくある質問と回答(2024.08.30)
- Arcserve UDP 復旧ポイントのコピーを実測!Wasabi オブジェクトロックを使ったランサムウェア & 災害対策!(2024.08.16)
「メルマガコラム」カテゴリの記事
- 実はランサムウェア対策にも有用?! 仮想スタンバイって凄い!(2024.09.06)
- Arcserve UDP Cloud Hybrid でランサムウェア対策を強化!!(2024.08.02)
- 「満員御礼! Nutanix x 日立システムズ x Arcserve 仮想化基盤移行 コラボセミナー開催報告」(2024.06.07)
- Arcserve UDP ならハイパーバイザの移行もお任せ(2024.05.10)
- Arcserve Backup チューンナップ/設定 シリーズ: テープバックアップのパフォーマンス向上(2023.10.27)
「Arcserve UDP Appliance」カテゴリの記事
- Arcserve UDP 復旧ポイントのコピーを実測!Wasabi オブジェクトロックを使ったランサムウェア & 災害対策!(2024.08.16)
- Arcserve UDP 9000 v2 アプライアンスで HW 管理機能が新しくなりました!(2024.08.23)
- Arcserve UDP Applianceの「9000」と「9000 v2」の製品型番(SKU)と価格の対照表です。(2024.06.21)
- Arcserve UDP Appliance 9000 v2 シリーズ発売!何が新しくなった?(2024.06.14)
- 「満員御礼! Nutanix x 日立システムズ x Arcserve 仮想化基盤移行 コラボセミナー開催報告」(2024.06.07)
「Arcserve OneXafe」カテゴリの記事
- 「満員御礼! Nutanix x 日立システムズ x Arcserve 仮想化基盤移行 コラボセミナー開催報告」(2024.06.07)
- 災害対策はこれで決まり!規模別バックアップ構成「松竹梅」(2024.03.01)
- Arcserve UDPの重複排除を利用しない環境でのOneXafeの利用(2024.02.02)
- 株式会社瑞穂様 導入事例:ランサムウェア対策として担保したかったバックアップデータの安全(2024.02.16)
- 那覇市様 導入事例:ランサムウェアから市民サービスを守る方法(2024.02.09)
「ランサムウェア対策」カテゴリの記事
- 実はランサムウェア対策にも有用?! 仮想スタンバイって凄い!(2024.09.06)
- Arcserve UDP 復旧ポイントのコピーを実測!Wasabi オブジェクトロックを使ったランサムウェア & 災害対策!(2024.08.16)
- Arcserve UDP Cloud Hybrid でランサムウェア対策を強化!!(2024.08.02)
- 「満員御礼! Nutanix x 日立システムズ x Arcserve 仮想化基盤移行 コラボセミナー開催報告」(2024.06.07)
- Arcserve UDPの重複排除を利用しない環境でのOneXafeの利用(2024.02.02)
« 販売終了バージョンのライセンスキーを入手する手続きについてご案内します。 | トップページ | Arcserve Backup で利用できるLTO-9テープ装置は? »
コメント