日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP自律型ランサムウェア対策の詳細

09/15/2025 共同作成者

PDF

ONTAP 9.10.1以降、 ONTAP管理者はAutonomous Ransomware Protection（ARP）を有効にしてNAS（NFSおよびSMB）環境でワークロード分析を実行し、ランサムウェア攻撃の兆候となる可能性のある異常なアクティビティをプロアクティブに検出して警告することができます。ONTAPONTAP 9.17.1 以降、ARP は、LUN または NVMe 名前空間を含む SAN ボリューム、または VMware、Hyper-V、KVM などのハイパーバイザーからの仮想ディスクを含む NAS ボリュームなどのブロックデバイスボリュームもサポートします。

ARPはONTAPに直接組み込まれており、ONTAPの他の機能との統合的な制御と連携を実現します。ARPはリアルタイムで動作し、ファイルシステムへの書き込みやファイルシステムからの読み取り時にデータを処理し、潜在的なランサムウェア攻撃を迅速に検出して対応します。

ARPは、保護を強化するために、スケジュールされたスナップショットに加え、定期的にロックされたスナップショットを作成します。スナップショットの保存期間をスマートに管理します。異常なアクティビティが検出されない場合、スナップショットはすぐに再利用されます。ただし、攻撃が検出された場合は、攻撃開始前に作成されたスナップショットが長期間保持されます。

ライセンスとイネーブルメント

ARPのサポートは "ONTAP 1ライセンス"。ONTAP One ライセンスをお持ちでない場合は、 ONTAPのバージョンに応じて異なる他のライセンスを ARP に使用できます

ONTAP リリースライセンス

ONTAP リリース	ライセンス
ONTAP 9.11.1以降	`Anti_ransomware`
ONTAP 9 10.1	`MT_EK_MGMT` （マルチテナントキー管理）

ONTAP 9.11.1以降

Anti_ransomware

ONTAP 9 10.1

MT_EK_MGMT （マルチテナントキー管理）

ONTAP 9.10.1からONTAP 9.11.1以降にアップグレードする場合、システムでARPがすでに設定されている場合は、新しいものをインストールする必要はありません。 `Anti-ransomware`ライセンス。新しくARPを設定する場合は、ライセンスが必要です。
ONTAP 9.11.1 以降からONTAP 9.10.1 に復元する場合、Anti_ransomware ライセンスで ARP を有効にしていると、警告メッセージが表示され、ARP の再設定が必要になることがあります。"ARPのリバートについて説明します" 。

"既存のボリュームで自律ランサムウェア保護（ARP）を有効にするか、新しいボリュームを作成してARPを有効にすることができます。" 。

ONTAPランサムウェア対策戦略

ランサムウェアを効果的に検出するには、複数の保護レイヤが必要です。例として、自動車の安全機能を考えてみましょう。シートベルトなどの1つの機能だけでは、事故から完全に身を守ることはできません。エアバッグ、アンチロックブレーキ、前方衝突警告は、総合的に見てより良い結果につながる安全機能です。ランサムウェア対策についても同じことが言えます。

ONTAPには、ランサムウェアからの保護に役立つ FPolicy、スナップショット、 SnapLock、 Active IQ Digital Advisor （ Digital Advisorとも呼ばれる）などの機能が含まれていますが、次の情報は機械学習機能を備えた ARP 機能に重点を置いています。

ランサムウェアから保護するNetAppポートフォリオのその他の機能の詳細については、以下を参照してください。 "ランサムウェアとNetAppの保護ポートフォリオ" 。

ARPが検出する内容

ONTAP ARPは、身代金が支払われるまで攻撃者がデータを保持し続けるサービス拒否攻撃から保護するように設計されています。ARPは、以下の情報に基づいてリアルタイムのランサムウェア検出を提供します。

受信データが暗号化されているかプレーンテキストであるかを識別します。
以下を検出する分析：
- エントロピー: (NASおよびSANで使用) ファイル内のデータのランダム性の評価
- ファイル拡張子の種類: (NASでのみ使用) 想定される拡張子の種類に準拠していないファイル拡張子
- ファイルIOPS: ( ONTAP 9.11.1以降のNASでのみ使用) データ暗号化による異常なボリュームアクティビティの急増

ARP は、少数のファイルが暗号化されただけでほとんどのランサムウェア攻撃の拡散を検出し、自動的に応答してデータを保護して、疑わしい攻撃が発生していることを警告します。

ランサムウェア検出システムでは完全な安全性を保証することはできません。 ARP は、ウイルス対策ソフトウェアが侵入を検出できなかった場合に、追加の防御層を提供します。

ARPモードについて学ぶ

ボリュームに対して ARP が有効になると、ベースラインを確立するための学習期間に入ります。 ARP は、アクティブ検出モードに移行する前にシステムメトリックを分析してアラートプロファイルを作成します。アクティブモードでは、ARP は異常なアクティビティを監視し、異常な動作を検出すると保護アクションを実行し、アラートを生成します。

ARP の場合、学習モードとアクティブモードの動作は、 ONTAP のバージョン、ボリュームタイプ、およびプロトコル (NAS または SAN) によって異なります。

NAS環境とモードの種類

NAS環境では学習モードとアクティブモードが使用されます。 ARP/AI ONTAP 9.16.1 以降の NAS 環境で実行されている場合、 FlexVolボリュームで ARP が使用されるときに学習期間はありません。

次の表は、NAS 環境におけるONTAP 9.10.1 以降のバージョンの違いをまとめたものです。

モード説明ボリュームの種類とバージョン

学ぶ

ONTAP 9.15.1～9.10.1では、ARPを有効にすると自動的に学習モードに設定されます。ARP学習モードでは、ONTAPシステムにより、分析対象（エントロピー、ファイルの拡張子タイプ、ファイルのIOPS）に基づくアラートプロファイルが作成されます。を学習モードのまま30日間維持することをお勧めします。ONTAPONTAP 9.13.1 以降、ARP は最適な学習間隔を自動的に決定し、切り替えを自動化します。切り替えは 30 日前に実行される可能性があります。ONTAPより前のバージョンでは、手動で切り替えることができます。

"学習モードからアクティブモードへの切り替えについて詳しくは、こちらをご覧ください。" 。

コマンドは security anti-ransomware volume workload-behavior show、ボリュームで検出されたファイル拡張子を表示します。このコマンドをラーニングモードの早い段階で実行し、ファイルタイプが正確に表示される場合は、ONTAPが他のメトリックを収集しているため、このデータをアクティブモードに移行する際のベースとして使用しないでください。の詳細については security anti-ransomware volume workload-behavior show、を"ONTAPコマンドリファレンス"参照してください。

ONTAP 9.15.1～9.10.1のFlexVolボリューム
ONTAP 9.13.1以降のFlexGroupボリューム

アクティブ

学習モードでワークロードの特性を評価するのに十分な期間ARPを実行したら、アクティブモードに切り替えてデータの保護を開始します。ONTAP 9.13.1 以降、ARP は最適な学習間隔を自動的に決定し、切り替えを自動化します。切り替えは 30 日前に実行される可能性があります。

ONTAP 9.15.1 ～ 9.10.1 では、最適な学習期間が完了すると ARP はアクティブモードに切り替わります。ARPをアクティブモードに切り替えると、ONTAPによって、脅威が検出された場合にデータを保護するためのARP Snapshotが作成されます。

アクティブモードでは、ファイル拡張子に異常のフラグが立てられている場合は、アラートを評価する必要があります。アラートに応じてデータを保護するための措置を講じることも、アラートを誤検知としてマークすることもできます。アラートを誤検出としてマークすると、そのプロファイルが更新されます。例えば、新しいファイル拡張子によってアラートがトリガーされ、それを誤検知としてマークした場合、次回そのファイル拡張子が検出されたときにはアラートは表示されなくなります。

サポートされているすべてのONTAPバージョンとFlexVolおよびFlexGroupボリューム

SAN環境とモードの種類

SAN環境では、自動的にアクティブ検出に移行する前に、評価期間（NAS環境の学習モードに類似）が設けられます。次の表は、評価モードとアクティブモードの概要です。

モード説明ボリュームの種類とバージョン

モード	説明	ボリュームの種類とバージョン
評価	暗号化のベースライン動作を決定するために、2～4週間の評価期間が設けられます。評価期間が完了したかどうかを確認するには、 security anti-ransomware volume show`コマンドとチェック `Block device detection status 。 "SANボリュームとエントロピー評価期間の詳細" 。	ONTAP 9.17.1以降のFlexVolボリューム
アクティブ	評価期間終了後、ARP SAN保護がアクティブかどうかを確認するには、 `security anti-ransomware volume show`コマンドとチェック `Block device detection status`の状態 `Active_suitable_workload`評価されたエントロピー量が正常に監視できることを示します。ARPは、評価中に確認されたデータに応じて適応しきい値を自動的に調整します。	ONTAP 9.17.1以降のFlexVolボリューム

評価

暗号化のベースライン動作を決定するために、2～4週間の評価期間が設けられます。評価期間が完了したかどうかを確認するには、 security anti-ransomware volume show`コマンドとチェック `Block device detection status 。

"SANボリュームとエントロピー評価期間の詳細" 。

ONTAP 9.17.1以降のFlexVolボリューム

アクティブ

評価期間終了後、ARP SAN保護がアクティブかどうかを確認するには、 `security anti-ransomware volume show`コマンドとチェック `Block device detection status`の状態 `Active_suitable_workload`評価されたエントロピー量が正常に監視できることを示します。ARPは、評価中に確認されたデータに応じて適応しきい値を自動的に調整します。

ONTAP 9.17.1以降のFlexVolボリューム

脅威評価とARPスナップショット

ARPは、学習済みの分析結果に基づいて測定された受信データに基づいて脅威の確率を評価します。ARPが異常を検出すると、測定値が割り当てられます。スナップショットは、検出時または定期的に割り当てられます。

ARPしきい値

低：ボリュームの異常をいち早く検出したもの（たとえば、新しいファイル拡張子がボリュームに検出された場合など）。このレベルの検出は、ARP/AIを搭載していないONTAP 9 .16.1より前のバージョンでのみ使用できます。
- ONTAP 9.11.1以降では、 "ARPの検出パラメータをカスタマイズする" 。
- ONTAP 9.10.1では、中程度へのエスカレーションのしきい値は100個以上です。
中：高いエントロピーが検出されるか、または同じ未知のファイル拡張子を持つ複数のファイルが検出された場合。これは、ARP/AI機能を備えたONTAP 9.16.1以降のベースライン検出レベルです。

ONTAPによって、異常がランサムウェアのプロファイルと一致しているかを判断する分析レポートが実行されると、脅威は「Moderate」に格上げされます。攻撃の可能性がModerateの場合、ONTAPによって、脅威の評価を求めるEMS通知が生成されます。しかし、ONTAP9.14.1以降では、以下のことが可能です"デフォルトのアラート設定を変更する"。"異常な活動への対応" 。

中程度の脅威に関する情報は、System Managerの*[イベント]セクションまたはコマンドを使用して確認できます security anti-ransomware volume show。脅威が低いイベントは、ARP / AIがないONTAP 9.16.1より前のバージョンでコマンドを使用して表示することもできます security anti-ransomware volume show。の詳細については security anti-ransomware volume show、を"ONTAPコマンドリファレンス"参照してください。

ARPスナップショット

ARP は、攻撃の初期兆候が検出されるとスナップショットを作成します。その後、詳細な分析が行われ、潜在的な攻撃の有無が判断されます。ARP ARP スナップショットは、攻撃が完全に確認される前でも積極的に作成されるため、特定の正当なアプリケーションに対しては定期的に生成されることもあります。これらのスナップショットの存在は異常とはみなされません。攻撃が確認された場合、攻撃確率は `Moderate`攻撃通知が生成されます。

ONTAP 9.17.1 以降では、NAS ボリュームと SAN ボリュームの両方に対して、また検出された異常に応じて、ARP スナップショットが定期的に生成されます。は、ARPスナップショットに識別しやすい名前を付けます。

ONTAP 9.11.1以降では、保持設定を変更できます。詳細については、 "スナップショットのオプションを変更します。" 。

次の表は、バージョン別の ARP スナップショットの違いをまとめたものです。

機能	ONTAP 9.17.1以降	ONTAP 9.16.1以前
作成トリガー	スナップショットは、特定のトリガーに関係なく、固定の4時間間隔で作成されます。攻撃の確認トリガータイプに基づいて、「定期的」または「攻撃」スナップショットが作成されます。	高エントロピーが検出されました新しいファイル拡張子が検出されました (9.15.1 以前) ファイル操作の急増が検出されました (9.15.1 以前) スナップショットの作成間隔はトリガータイプによって異なります。
先頭に付ける名前の規則	「ランサムウェア対策定期バックアップ」「ランサムウェア攻撃対策バックアップ」	「ランサムウェア対策バックアップ」
削除動作	ARPスナップショットはロックされており、管理者は削除できません	ARPスナップショットはロックされており、管理者は削除できません
最大スナップショット数	"スナップショットの設定可能な制限は6つ"	"スナップショットの設定可能な制限は6つ"
保持期間	スナップショットは通常 12 時間保持されます。 NAS ボリューム: ファイル分析によって攻撃が確認された場合、管理者が攻撃を真または誤検知 (明らかに疑わしい) としてマークするまで、攻撃前に作成されたスナップショットは保持されます。 SAN ボリュームまたは VM データストア: ブロックエントロピー分析によって攻撃が確認された場合、攻撃前に作成されたスナップショットは 10 日間保持されます (構成可能)。	トリガー条件に基づいて決定されます（固定ではありません）攻撃前に作成されたスナップショットは、管理者が攻撃を真または誤検知（明らかに疑わしい）としてマークするまで保持されます。
明らかに疑わしい行為	管理者は、確認に基づいて保持を設定する明確な疑いのあるアクションを実行できます。偽陽性の保持期間は24時間真陽性保持期間は7日間	管理者は、確認に基づいて保持を設定する明確な疑いのあるアクションを実行できます。偽陽性の保持期間は24時間真陽性保持期間は7日間この予防的保持動作は、 ONTAP 9.16.1より前には存在しません。
有効期限	すべてのスナップショットに有効期限が設定されます	なし

機能

ONTAP 9.17.1以降

ONTAP 9.16.1以前

作成トリガー

スナップショットは、特定のトリガーに関係なく、固定の4時間間隔で作成されます。
攻撃の確認

トリガータイプに基づいて、「定期的」または「攻撃」スナップショットが作成されます。

高エントロピーが検出されました
新しいファイル拡張子が検出されました (9.15.1 以前)
ファイル操作の急増が検出されました (9.15.1 以前)

スナップショットの作成間隔はトリガータイプによって異なります。

先頭に付ける名前の規則

「ランサムウェア対策定期バックアップ」「ランサムウェア攻撃対策バックアップ」

「ランサムウェア対策バックアップ」

削除動作

ARPスナップショットはロックされており、管理者は削除できません

最大スナップショット数

"スナップショットの設定可能な制限は6つ"

保持期間

スナップショットは通常 12 時間保持されます。

NAS ボリューム: ファイル分析によって攻撃が確認された場合、管理者が攻撃を真または誤検知 (明らかに疑わしい) としてマークするまで、攻撃前に作成されたスナップショットは保持されます。
SAN ボリュームまたは VM データストア: ブロックエントロピー分析によって攻撃が確認された場合、攻撃前に作成されたスナップショットは 10 日間保持されます (構成可能)。

トリガー条件に基づいて決定されます（固定ではありません）
攻撃前に作成されたスナップショットは、管理者が攻撃を真または誤検知（明らかに疑わしい）としてマークするまで保持されます。

明らかに疑わしい行為

管理者は、確認に基づいて保持を設定する明確な疑いのあるアクションを実行できます。

偽陽性の保持期間は24時間
真陽性保持期間は7日間

管理者は、確認に基づいて保持を設定する明確な疑いのあるアクションを実行できます。

偽陽性の保持期間は24時間
真陽性保持期間は7日間

この予防的保持動作は、 ONTAP 9.16.1より前には存在しません。

有効期限

すべてのスナップショットに有効期限が設定されます

なし

ランサムウェア攻撃後にONTAPでデータをリカバリする方法

ARPは、実績のあるONTAPのデータ保護およびディザスタリカバリテクノロジーを基盤として、ランサムウェア攻撃に対応します。ARPARP は、攻撃の初期兆候が検出されると、ロックされたスナップショットを作成します。まず、攻撃が実際のものか誤検知なのかを確認する必要があります。攻撃が確認されれば、ARPスナップショットを使用してボリュームを復元できます。

ロックされたSnapshotは通常の方法では削除できません。ただし、後で攻撃を誤検知としてマークすることにした場合、 ONTAP はロックされたコピーを削除します。

ボリューム全体を元に戻す代わりに、選択したスナップショットから影響を受けたファイルを回復できます。

攻撃への対応とデータの回復の詳細については、次のトピックを参照してください。

ARPのマルチ管理検証保護

ONTAP 9.13.1以降では、Autonomous Ransomware Protection（ARP；自律ランサムウェア対策）設定に複数の認証済みユーザ管理者が必要になるように、Multi-admin Verification（MAV；マルチ管理者検証）を有効にすることを推奨します。詳細については、を参照してください "マルチ管理者検証を有効にします"。

人工知能（ARP / AI）による自律型ランサムウェア対策

ONTAP 9.16.1以降、ARPはランサムウェア対策分析用の機械学習モデルを採用することでサイバーレジリエンス（回復力）を向上させます。ARPの機械学習モデルは、シミュレーションされたランサムウェア攻撃の前後両方の大規模なファイルデータセットで事前にトレーニングされています。このモデルは、NAS環境で常に進化するランサムウェアを99%の精度で検出します。このリソース集約型のトレーニングは、オープンソースのフォレンジック調査データセットを用いてONTAPの外部で行われます。モデリングパイプライン全体で顧客データは使用されないため、プライバシーの問題は発生しません。このトレーニングから得られる事前トレーニング済みモデルは、 ONTAPに同梱されています。このモデルは、 ONTAP CLIまたはONTAP APIからアクセスしたり変更したりすることはできません。

FlexVolボリュームを使用したARP / AIのアクティブな保護に即座に移行

ARP/AIとFlexVolボリュームでは、次のようなことはありません学習期間。ARP/AI は、インストール後または 9.16 にアップグレードするとすぐに有効化され、アクティブになりますクラスタをONTAP 9.16.1にアップグレードすると、既存および新規のFlexVolでARPがすでに有効になっている場合、それらのボリュームでARP/AIが自動的に有効になります。

"ARP/AIの有効化の詳細"

ARP/AIノシトウコウシン

最新のランサムウェアの脅威に対する保護を最新の状態に保つために、ARP/AIでは、ONTAPの通常のアップグレードやリリースのサイクルとは別に頻繁に自動更新を提供しています。もしあなたが"自動更新を有効にした"セキュリティファイルの自動更新を選択すると、ARP/AIの自動セキュリティ更新も受信できるようになります。また、 "これらの更新を手動で行う"更新が行われるタイミングを制御します。

System.16.1以降では、システムおよびファームウェアの更新に加えて、ONTAP 9 Managerを使用してARP/AIのセキュリティ更新を利用できます。

"ARP / AIの更新に関する詳細はこちら"