ONTAP自律型ランサムウェア保護について学ぶ
変更を提案
PDF
ONTAP 9.10.1以降、ONTAP管理者はAutonomous Ransomware Protection(ARP)を有効にしてNAS(NFSおよびSMB)環境でワークロード分析を実行し、ランサムウェア攻撃の兆候となる可能性のある異常なアクティビティをプロアクティブに検出し、警告を発することができます。ONTAP 9.17.1以降、ARPはブロックデバイスボリューム(LUNまたはNVMeネームスペースを含むSANボリューム、VMwareなどのハイパーバイザーの仮想ディスクを含むNASボリュームなど)もサポートします。
ARPはONTAPに直接組み込まれており、ONTAPの他の機能との統合的な制御と連携を実現します。ARPはリアルタイムで動作し、ファイルシステムへのデータの書き込みやファイルシステムからのデータの読み取り時に処理を行い、潜在的なランサムウェア攻撃を迅速に検出して対応します。
ARPは、保護を強化するために、スケジュールされたスナップショットに加え、定期的にロックされたスナップショットを作成します。スナップショットの保存期間をスマートに管理します。異常なアクティビティが検出されない場合、スナップショットはすぐにリサイクルされます。ただし、攻撃が検出された場合は、攻撃開始前に作成されたスナップショットが長期間保存されます。ONTAPバージョンによって追加された変更点を含む詳細については、ARPスナップショットを参照してください。
ライセンスと有効化
ARPを使用するにはライセンスが必要です。新しいボリュームでARPをデフォルトで有効にするか、ボリュームごとに手動で有効にするかを決定します。
ARPのライセンスオプション
ARPサポートは"ONTAP Oneライセンス"に含まれています。ONTAP Oneライセンスをお持ちでない場合は、ONTAPのバージョンによって異なるARPで使用できる他のライセンスがあります。
| ONTAPリリース | ライセンス |
|---|---|
ONTAP 9.11.1以降 |
|
ONTAP 9.10.1 |
|
-
ONTAP 9.10.1からONTAP 9.11.1以降にアップグレードする場合、システムでARPがすでに設定されている場合は、新しい `Anti-ransomware`ライセンスをインストールする必要はありません。新しいARP設定には、新しいライセンスが必要です。
-
ONTAP 9.11.1以降からONTAP 9.10.1に戻す場合、Anti_ransomwareライセンスでARPを有効にしていると、警告メッセージが表示され、ARPの再設定が必要になることがあります。"ARPの復元について学ぶ"。
ARPの有効化オプション
ARPは、クラスタ、SVM、ボリュームレベルで柔軟な有効化オプションを提供するため、新しいボリュームに対して自動のデフォルト有効化を設定したり、必要に応じて既存のボリュームでARPを手動で有効化したりできます。
ONTAP 9.18.1以降、AFF AシリーズおよびAFF Cシリーズ、ASA、およびASA r2システムのすべての新規ボリュームでは、ARPがデフォルトで自動的に有効化されます。この自動デフォルトARP有効化は"サポートされていないボリュームまたは構成"には適用されません。
新規ボリュームにおけるARPのデフォルト有効化は、アップグレード後12時間の猶予期間後、または新規ONTAP 9.18.1インストールの場合は即時に有効になります(いずれの場合もARPライセンスがインストールされている必要があります)。ARPを手動で有効にする既存のボリュームでは有効にする必要があります。
猶予期間中は、"System Manager またはONTAP CLIを使用して、クラスタ レベルで新しいボリュームのデフォルトの有効化をオプトアウトします。"できます。オプトアウトしない場合、猶予期間終了後に作成されるすべての新規ボリュームに対してARPが自動的に有効化されます。猶予期間後にニーズが変化した場合は、いつでもデフォルトの有効化をオンまたはオフにすることができます。
クラスタレベルでARPの自動デフォルト有効化を無効にした場合は、"すべての新しいボリュームでデフォルトで ARP を手動で有効にする"SVMレベルでも有効化を選択できます。ONTAP 9.17.1以前では、新規ボリュームでARPをデフォルトで有効化するには、これが唯一の方法です。
9.18.1 以降では、クラスター レベルから既存のすべてのボリュームで ARP を手動で有効にすることができます(クラスター > セキュリティ を選択し、
ランサムウェア対策 セクションで 既存のすべてのボリュームで有効にする を選択します)。
ARP の有効化を特定のボリュームに制限したい場合は、"ボリュームごとにARPを有効にする"できます。
ONTAPのランサムウェア保護戦略
効果的なランサムウェア保護には、連携して機能する複数の保護層が必要です。
ONTAP には、ランサムウェアからの保護に役立つ FPolicy、スナップショット、SnapLock、Active IQ Digital Advisor(Digital Advisor とも呼ばれる)などの機能が含まれていますが、ARP は追加の防御層を提供します。
ランサムウェアから保護するNetAppポートフォリオ内のその他の機能の詳細については、"NetAppのランサムウェア対策ポートフォリオ"を参照してください。
ARPの検出対象
ONTAP ARPは、身代金が支払われるまで攻撃者がデータを保持し続けるサービス拒否攻撃から保護するように設計されています。ARPは、以下に基づいてリアルタイムのランサムウェア検出を提供します:
-
受信データが暗号化されているかプレーンテキストであるかを識別します。
-
分析によって以下の情報を検出します。
-
エントロピー:(NASおよびSANで使用)ファイル内のデータのランダム性の評価
-
ファイル拡張子の種類:(NASのみで使用)想定される拡張子の種類に準拠していないファイル拡張子
-
ファイルIOPS:(ONTAP 9.11.1以降のNASでのみ使用)データ暗号化による異常なボリュームアクティビティの急増
-
ARPは、少数のファイルが暗号化されただけでほとんどのランサムウェア攻撃の拡散を検出し、自動的に応答してデータを保護し、疑わしい攻撃が発生していることを警告します。
|
ランサムウェア検出システムは完全な安全性を保証することはできません。ARPは、ウイルス対策ソフトウェアが侵入を検出できなかった場合に、追加の防御層を提供します。 |
ARPモードについて
ボリュームに対してARPを有効にすると、ベースラインを確立するための学習期間に入ります。ARPはシステムメトリックを分析し、アラートプロファイルを作成してから、アクティブ検出モードに移行します。アクティブモードでは、ARPは異常なアクティビティを監視し、異常な動作を検知した場合は保護アクションを実行し、アラートを生成します。
ARPの場合、学習モードとアクティブモードの動作はONTAPバージョン、ボリュームタイプ、およびプロトコル(NASまたはSAN)によって異なります。
NAS環境とモードタイプ
次の表は、NAS環境におけるONTAP 9.10.1以降のバージョンの違いをまとめたものです。
以前のARPモデルのバージョンでは、アクティブ監視を開始する前に学習期間を設けることが推奨されます。ARP/AIをサポートするNAS環境では、学習期間はなく、アクティブ監視が直ちに開始されます。
| モード | 概要 | ボリュームのタイプとバージョン | ||
|---|---|---|---|---|
学習 |
特定のバージョンのONTAPおよび特定のボリュームタイプでは、ARPを有効にすると、ARPは自動的に学習モードに設定されます。学習モードでは、ONTAPシステムは、エントロピー、ファイル拡張子の種類、ファイルIOPSといった分析領域に基づいてアラートプロファイルを作成します。 ARPを学習モードのまま30日間維持することをお勧めします。ONTAP 9.13.1以降では、ARPは最適な学習間隔を自動的に決定し、切り替えを自動化します。切り替えは30日経過前に実行される可能性があります。ONTAP 9.13.1より前のバージョンでは、手動で切り替えを行うことができます。 ONTAP 9.16.1以降のFlexVolボリュームでは、アクティブモードのみが存在し、このバージョン以降にアップグレードされたFlexVolボリュームでは、学習モードが自動的にアクティブモードに移行します。 ONTAP 9.16.1~9.17.1では、FlexGroupボリュームはまだARP/AIでサポートされておらず、引き続き古いARPモデルが実行されます。そのため、これらのバージョンでFlexGroupボリュームを使用する場合は、引き続き学習期間を設けることをお勧めします。 ONTAP 9.18.1以降、FlexVolボリュームとFlexGroupボリュームの両方にアクティブモードのみが適用されます。アップグレードされたボリュームは自動的にアクティブモードに移行します。
|
|
||
アクティブ |
アクティブモードでは、ファイル拡張子が異常と判断された場合、アラートを評価する必要があります。アラートに基づいてデータを保護するか、アラートを誤検知としてマークすることができます。アラートを誤検知としてマークすると、アラートプロファイルが更新されます。例えば、新しいファイル拡張子によってアラートがトリガーされ、そのアラートを誤検知としてマークした場合、次にそのファイル拡張子が検出されたときにはアラートは表示されなくなります。 |
サポートされているすべてのONTAPバージョンとFlexVolおよびFlexGroupボリューム |
SAN環境とモードタイプ
SAN環境では、自動的にアクティブ検出に移行する前に、_評価_期間(NAS環境の学習モードに類似)が設けられます。次の表は、評価モードとアクティブモードの概要を示しています。
| モード | 概要 | ボリュームのタイプとバージョン |
|---|---|---|
評価 |
2~4週間の評価期間を設け、ベースラインの暗号化動作を決定します。その間、ARP/AIはSANボリュームに対して即時のアクティブ保護を提供します。ベースラインしきい値の設定中は、検出とアラートが発生する可能性があります。評価期間が完了したかどうかを確認するには、 `security anti-ransomware volume show`コマンドを実行して `Block device detection status`を確認します。 |
|
アクティブ |
評価期間終了後、 `security anti-ransomware volume show`コマンドを実行して `Block device detection status`を確認することで、ARP SAN保護がアクティブかどうかを確認できます。 `Active_suitable_workload`のステータスは、評価されたエントロピー量が正常に監視されていることを示します。ARPは、評価中に確認されたデータに応じて、適応しきい値を自動的に調整します。 |
|
脅威の評価とARP Snapshot
ARPは、学習済みの分析結果に基づいて測定された受信データに基づいて脅威の確率を評価します。ARPが異常を検出すると、測定値が割り当てられます。ARPは、検出時または一定の間隔でスナップショットを割り当てる場合があります。
ARPのしきい値
-
低:ボリューム内の異常(例:ボリューム内で新しいファイル拡張子が検出された)を最も早く検出します。このレベルの検出は、ARP/AI機能を備えていないONTAP 9.16.1より前のバージョンでのみ利用可能です。
-
ONTAP 9.11.1 以降では、"ARPの検出パラメータをカスタマイズする"できます。
-
ONTAP 9.10.1では、Moderateに格上げされるしきい値は100以上です。
-
-
中: 高いエントロピーが検出されるか、または同じ未知のファイル拡張子を持つ複数のファイルが検出された場合。これは、ARP/AI機能を備えたONTAP 9.16.1以降のベースライン検出レベルです。
ONTAPが分析レポートを実行し、異常がランサムウェアプロファイルに一致するかどうかを判断した後、脅威は中程度にエスカレートされます。攻撃確率が中程度の場合、ONTAPは脅威を評価するよう促すEMS通知を生成します。ONTAPは低レベルの脅威についてはアラートを送信しませんが、ONTAP 9.14.1以降では"デフォルトのアラート設定を変更する"できます。詳細については、"異常なアクティビティへの対処"を参照してください。
中程度の脅威に関する情報は、System Managerの*イベント*セクションまたは `security anti-ransomware volume show`コマンドで確認できます。低レベルの脅威イベントは、ARP/AI機能のないONTAP 9.16.1より前のバージョンでも `security anti-ransomware volume show`コマンドを使用して表示できます。"ONTAPコマンド リファレンス"の `security anti-ransomware volume show`の詳細をご覧ください。
ARPスナップショット
ARPは、攻撃の初期兆候が検出されるとスナップショットを作成します。その後、詳細な分析が行われ、潜在的な攻撃の有無が判断されます。ARPスナップショットは、攻撃が完全に確認される前でもプロアクティブに作成されるため、一部の正当なアプリケーションでは定期的に生成される場合もあります。これらのスナップショットの存在は異常とはみなされません。攻撃が確認された場合、攻撃確率は `Moderate`にエスカレーションされ、攻撃通知が生成されます。
ONTAP 9.17.1以降、NASボリュームとSANボリュームの両方で、ARPスナップショットが定期的に生成されるほか、検出された異常に応じて生成されるようになりました。ONTAPは、ARPスナップショットに識別しやすい名前を付けます。
ONTAP 9.11.1以降では、保持設定を変更できます。詳細については、"スナップショットのオプションを変更する"を参照してください。
次の表は、バージョン別の ARP Snapshot の違いをまとめたものです。
| 機能 | ONTAP 9.17.1以降 | ONTAP 9.16.1以前 |
|---|---|---|
作成トリガー |
トリガータイプに基づいて、「定期的」または「攻撃」スナップショットが作成されます。 |
スナップショットの作成間隔はトリガータイプに基づきます。 |
先頭に付ける名前の規則 |
「Anti_ransomware_periodic_backup」「Anti_ransomware_attack_backup」 |
「Anti_ransomware_backup」 |
削除動作 |
ARPスナップショットはロックされており、管理者は削除できません |
ARPスナップショットはロックされており、管理者は削除できません |
最大スナップショット数 |
||
保持期間 |
スナップショットは通常12時間保持されます。
|
|
Clear-suspect アクション |
管理者は、確認に基づいて保持を設定するclear-suspectアクションを実行できます:
|
管理者は、確認に基づいて保持を設定するclear-suspectアクションを実行できます:
この予防的保持動作は、ONTAP 9.16.1より前には存在しません。 |
有効期限 |
すべてのスナップショットに有効期限が設定されます |
なし |
ランサムウェア攻撃後のONTAPでのデータ リカバリ方法
ARPは、実績のあるONTAPデータ保護およびディザスタリカバリテクノロジーを基盤として、ランサムウェア攻撃に対応します。ARPは、攻撃の初期兆候が検出されると、ロックされたスナップショットを作成します。まず、攻撃が実際のものか誤検知なのかを確認する必要があります。攻撃が確認されれば、ARPスナップショットを使用してボリュームを復元できます。
ロックされたスナップショットは通常の方法では削除できません。ただし、後で攻撃を誤検知としてマークすると、ONTAPはロックされたコピーを削除します。
ボリューム全体をリバートする代わりに、選択したSnapshotから影響を受けたファイルをリカバリできます。
攻撃への対応とデータの回復の詳細については、次のトピックを参照してください:
ARPのマルチ管理者認証保護
ONTAP 9.13.1以降では、Autonomous Ransomware Protection(ARP)の設定に2人以上の認証済みユーザ管理者が必要となるように、マルチ管理者検証(MAV)を有効にすることを推奨します。詳細については、"複数管理者による検証を有効にする"を参照してください。
人工知能を利用した自律型ランサムウェア対策(ARP / AI)
ONTAP 9.16.1以降、ARPはランサムウェア対策分析用の機械学習モデルを採用することでサイバーレジリエンス(復元力)を向上させています。このモデルは、NAS環境で常に進化するランサムウェアを99%の精度で検出します。ARPの機械学習モデルは、ランサムウェア攻撃のシミュレーション前後の大規模なファイルデータセットで事前トレーニングされています。このリソースを大量に消費するトレーニングは、オープンソースのフォレンジック調査データセットを使用してモデルをトレーニングするためにONTAPの外部で行われます。モデリングパイプライン全体で顧客データは使用されず、プライバシーの問題もありません。このトレーニングから生成された事前トレーニング済みモデルは、ONTAPに搭載されています。このモデルは、ONTAP CLIまたはONTAP APIからアクセスしたり変更したりすることはできません。
ARP/AI では、学習期間はありません。次のサポートされているボリュームタイプでは、ARP/AI はインストールまたはアップグレード直後からアクティブになります:
-
ONTAP 9.16.1以降のNAS FlexVolボリューム
-
ONTAP 9.18.1以降のNAS FlexGroupボリューム
-
ONTAP 9.17.1 以降を搭載した SAN ボリューム("評価期間"中でもすぐにアクティブになります)
ARP 機能がすでに有効になっている既存および新規ボリュームの場合、クラスターを ARP/AI 対応の ONTAP バージョンにアップグレードすると、ARP/AI 保護が自動的にアクティブになります。
最新のランサムウェア脅威に対する最新の保護を維持するため、ARP/AIは、通常のONTAPアップグレードやリリースとは別に、頻繁に自動更新を実施します。"自動更新を有効にしました"の場合、セキュリティファイルの自動更新を選択すると、ARP/AIの自動セキュリティ更新の受信も開始できます。また、"これらの更新を手動で行う"更新のタイミングを選択・制御することも可能です。
ONTAP 9.16.1以降では、システムおよびファームウェアの更新に加えて、System Managerを使用してARP/AIのセキュリティ更新を入手できます。
ARP/AIモデルとARPモデルの違いを一目で
| 機能 | ARP | ARP/AI |
|---|---|---|
ONTAPバージョン |
ONTAP 9.10.1~9.15.1 |
ONTAP 9.16.1 以降、9.15.1(テクニカル プレビュー) |
検出方法 |
ファイルアクティビティ、データエントロピー、ファイル拡張子の種類を分析します |
大規模なフォレンジックデータセットでトレーニングされた AI / 機械学習モデル。エントロピーとファイルの挙動を分析 |
学習期間 |
NAS FlexVol ボリュームには 30 日間の学習モードが必要です(自動切り替えは 9.13.1 以降で利用可能) |
学習期間なし。有効化後すぐにアクティブになります |
ボリュームタイプのサポート |
|
|
Snapshotの作成 |
高いエントロピー、新しいファイル拡張子、またはファイル操作の急増によってトリガーされます |
固定の4時間間隔で作成され、攻撃の確認時にも作成される |
Snapshot の保持 |
管理者が疑わしいアクティビティをクリアするまで保持されます |
デフォルトでは12時間。攻撃の確認に基づいて延長されます(誤検知の場合は24時間、確認された陽性の場合は7日間) |
更新 |
静的検出ロジック(ONTAPアップグレードでのみ更新) |
ONTAPリリースに依存しない自動セキュリティ更新 |
導入 |
ボリュームごとの手動有効化またはSVMレベルのデフォルト設定 |
ボリュームごとまたは SVM レベルのデフォルト設定による手動有効化;9.18.1 以降でサポートされるシステムでは、クラスタ レベルですべての新規ボリュームに対してデフォルトで有効化 |
評価期間 |
該当なし |
SANボリュームに必要(2~4週間)ベースライン暗号化しきい値を確立 |