フォト

関連情報

X(旧Twitter)やってます!!

2025年5月
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

外部リンク集

無料ブログはココログ

« データ レジリエンスって何?あなたの会社を守るための考え方 | トップページ | Arcserve UDP:ドライブ文字変更で、PC のバックアップができなかった話 »

2025年4月 4日 (金)

Arcserve UDP Agent for Windowsで実現するサイバーレジリエンスの強化!

毎日の寒暖差が激しく、花粉や黄砂が飛散する時期ですが、皆さまいかがお過ごしでしょうか。

 

警視庁(マルウェア「ランサムウェア」の脅威と対策)にもあるように、依然としてサイバー攻撃の被害が増加傾向にあります。特に、ランサムウェアを含むマルウェアの感染経路として、VPNの脆弱性を突いた攻撃や、リモート デスクトップ(RDP)などのリモート管理ツールを悪用する手口が多く報告されています。

リモート管理ツールを通じて管理者になりすました攻撃では、エクスプローラー経由で重要なデータだけでなく、バックアップ データまでもが特定され、リカバリ不能な状態に陥る被害が発生します

こうしたリスクを軽減する手段として、Arcserve UDP Agent for Windowsを単体で運用している環境でも活用できる「ドライブ レターを持たないボリューム」へのバックアップ保存方法をご紹介します。

ドライブ レターを持たないボリュームをバックアップの保存先とすることで、エクスプローラー上にボリュームが表示されなくなり、バックアップ データの存在を隠蔽し、攻撃の対象となるリスクを大幅に低減できます。

1_20250402094001

ここからは、Arcserve UDPのバックアップ データの保存先をドライブ レターを持たないボリュームへバックアップする手順について解説します。

 

  1.  バックアップ先ボリュームのドライブレター削除
    Windows の [ディスクの管理] より、バックアップ データの保存先ボリュームを選択します。以下では、「ボリューム(Z:)」として認識されているボリュームのドライブ レター(ドライブ文字)を削除しています。25mar2
    ※ USB HDD と OSの組み合わせによっては、OS再起動やデバイスの再接続を行うとドライブ レターの再割り当てが行われてしまうことがあるのでご注意ください。

  2. GUIDパスの取得
    ドライブ レターが削除されたボリュームへアクセスするためのGUIDパスを取得します。以下のPowerShellコマンドは、ドライブ レターが割り当てられていないボリュームの詳細情報をリスト形式で表示します。

    Get-Volume | Where-Object { $_.DriveLetter -eq $null } | Format-List *

    ボリューム名やボリューム サイズを手掛かりにGUIDパスを取得します。

    25mar3
    Pathの行にある \\?\Volume{… から始まるGUIDパスをコピーします。

  3. バックアップ先の指定
    Arcserve UDP Agent for Windows の設定画面のバックアップ先へ先程取得したGUIDパスをペーストし、設定を保存します。

    25mar4

    この時、指定したパスの配下にホスト名のフォルダとバックアップ データが存在すれば、既存のバックアップ先と認識され、前回のバックアップを起点とした増分(または検証)バックアップが動作します。存在しなければ新たにホスト名のフォルダを作成し、フル バックアップが動作します。

  • 運用上の注意点
    ドライブ レターを持たないボリュームは、エクスプローラーから参照できません。従って、リストア作業に簡便なArcserve UDP 復旧ポイントビューは、そのままでは使用できません。

    復旧ポイントビューを利用する場合は、一時的にドライブ レターを割り当て、エクスプローラーからバックアップ データを表示させる必要があります。

    ※ ドライブ レター割り当て中や、その後のドライブ レターを削除した場合であっても、バックアップは、GUIDパスを指定しているので継続して行われます。

    なお バックアップ時はドライブ レター無しボリュームへ復旧ポイントを保存していても、ベアメタル リカバリ(BMR)実行時には復旧用メディアが、自動的に保存先ボリュームへドライブ レターを割り当て、復旧ポイントを検出してくれます。

    25mar5

今回は、Arcserve UDP Agent for Windowsでバックアップ保存先をエクスプローラーから隠ぺいする方法を紹介しましたが、あらゆる攻撃に備えるため、デフォルトのAdministratorアカウントの無効化、バックアップ保存先フォルダへのアクセス権の設定、セキュリティや監視ソフトの導入、OS・アプリケーション・ファームウェアの脆弱性対応等、様々な観点からの対策が求められます。

 

本記事が、皆さまの環境におけるセキュリティ強化とデータ レジリエンスの実現に向けた一助となれば幸いです。今後も皆さまの環境に役立つ情報をお届けしてまいります。

<関連リンク>

ランサムウェア対策としては、RDX のようなリムーバブル ディスクを使ったバックアップ データのオフライン保管も有効です。Arcserve カタログセンターには、RDXを使ったバックアップ データの保護についてドキュメントも公開しております。
Arcserve UDP Windows Agent RDX 利用ガイド

復旧ポイントサーバを利用中の方は、データストアの保護方法として以下のブログ記事もご覧ください。
Arcserve UDP 8.0:ランサムウェア対策の新機能2 復旧ポイント サーバのセキュリティを向上

Arcserve UDP 10では復旧ポイント サーバの安全性がさらに強化されています。
Arcserve UDP 10.0 新機能紹介(8)その他:共有フォルダを使用しないRPSデータストア

2025年4月 4日 (金) 08時29分 技術情報, Arcserve UDP, ランサムウェア対策, チューンナップ・設定 | |

« データ レジリエンスって何?あなたの会社を守るための考え方 | トップページ | Arcserve UDP:ドライブ文字変更で、PC のバックアップができなかった話 »

技術情報」カテゴリの記事

Arcserve UDP」カテゴリの記事

ランサムウェア対策」カテゴリの記事

チューンナップ・設定」カテゴリの記事

コメント

お世話になっております。
GUIDパスはローカルドライブ限定でしょうか?
デスティネーションがNAS(WinOS非搭載)の場合はこちらの方法は適用できないのでしょうか?

投稿: 服部 | 2025年4月10日 (木) 09時20分

服部様

ご質問いただきありがとうございます!

はい、本記事で解説している方法はローカル ドライブをバックアップ先として利用する場合を想定しています。
バックアップ対象マシンに攻撃者が侵入した時に、ローカル ドライブにあるバックアップ データが破壊される確率を下げるのがこの方法の目的です。

NAS がバックアップ先の構成でランサムウェア レジリエンスを向上させる方法については以下の記事も参考にしてください。
---------------
[2021年版] 年末年始までにできる、バックアップデータのランサムウェア対策
■ ケース2:複数のサーバ/PC を NAS にバックアップしている場合
https://arcserve.txt-nifty.com/blog/2021/12/post-b821d9.html
---------------

投稿: ホテ | 2025年4月10日 (木) 12時48分

こちらの指定方法は以前のバージョンのArcserve UDP(8や9)でも大丈夫ですか?
また、ドライブ直下でなくフォルダも作ってそのフォルダにバックアップも可能ですか?

投稿: はっしー | 2025年4月11日 (金) 08時28分

はっしー様

コメントいただきましてありがとうございます!

はい、Arcserve UDP 8.x や 9.x でもこの記事で説明している方法でのバックアップが可能です。

また、ドライブ直下ではなくフォルダを指定してバックアップすることも可能です。
Arcserve UDP 設定画面で [バックアップ先] を以下のように指定してください。

[GUID パス]\[フォルダ名]

※ Arcserve UDPは指定フォルダ配下にホスト名のフォルダを作成し、そこへバックアップ データを格納します。

投稿: ホテ | 2025年4月11日 (金) 12時46分

コメントを書く

コメントは記事投稿者が公開するまで表示されません。

(ウェブ上には掲載しません)

« データ レジリエンスって何?あなたの会社を守るための考え方 | トップページ | Arcserve UDP:ドライブ文字変更で、PC のバックアップができなかった話 »