日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP自律型ランサムウェア対策のユースケースと考慮事項

07/24/2025 共同作成者

PDF

Autonomous Ransomware Protection (ARP) は、 ONTAP 9.10.1 以降の NAS ワークロードとONTAP 9.17.1 以降の SAN ワークロードで利用できます。ARPを導入する前に、推奨される使用方法、サポートされる構成、パフォーマンスへの影響について理解しておく必要があります。

サポートされる構成とされない構成

ARPの使用を決定する際には、ボリュームのワークロードがARPに適していること、および必要なシステム構成を満たしていることを確認することが重要です。

最適なワークロード

ARP は次のタイプのワークロードに適しています。

NFSまたはSANストレージ上のデータベース
WindowsまたはLinuxのホームディレクトリ

ARP/AIが存在しない環境では、学習期間中に検出されない拡張子を持つファイルをユーザーが作成する可能性があります。そのため、このワークロードでは誤検知の可能性が高くなります。
画像とビデオ

たとえば、医療記録やEDA（Electronic Design Automation）データなどです。

適していないワークロード：

ARP は次のタイプのワークロードには適していません。

ファイルの作成または削除操作の頻度が高いワークロード (数秒で数十万のファイル、たとえばテスト/開発ワークロード)。
ARP の脅威検出は、ファイルの作成、名前の変更、または削除操作の異常な急増を認識する能力に依存します。アプリケーション自体がファイルアクティビティのソースである場合、ランサムウェアのアクティビティと効果的に区別することができません。
アプリケーションやホストがデータを暗号化するワークロード

ARPでは、受信データが暗号化されているかどうかを区別する機能を使用します。アプリケーション自体がデータを暗号化している場合、機能の有効性が低下します。ただし、ARP は、ファイルアクティビティ (削除、上書き、作成、または新しいファイル拡張子による作成または名前変更) とファイルタイプに基づいて引き続き機能します。

サポートされている構成

ONTAP 9.10.1以降、NAS NFSおよびSMB FlexVolボリュームでARPが利用可能になりました。9.17.1以降では、SANストレージを備えたiSCSI、FC、NVMeのSAN FlexVolボリュームでもARPが利用可能になりました。

その他の構成とボリュームタイプのサポート状況は、ONTAPのバージョン別に次の表に示します。

ONTAP 9.17.1 ONTAP 9 .16.1 ONTAP 9 .15.1 ONTAP 9 .14.1 ONTAP 9 .13.1 ONTAP 9 12.1 ONTAP 9 .11.1 ONTAP 9 10.1

	ONTAP 9.17.1	ONTAP 9 .16.1	ONTAP 9 .15.1	ONTAP 9 .14.1	ONTAP 9 .13.1	ONTAP 9 12.1
SnapMirror非同期で保護されているボリューム	✓	✓	✓	✓	✓	✓
SnapMirror非同期（SVMディザスタリカバリ）で保護されるSVM	✓	✓	✓	✓	✓	✓
SVMデータ移動(`vserver migrate`）	✓	✓	✓	✓	✓	✓
FlexGroupボリューム¹	✓	✓	✓	✓	✓
マルチ管理者認証	✓	✓	✓	✓	✓
自動更新機能を備えたARP / AI	✓	✓

SnapMirror非同期で保護されているボリューム

✓

SnapMirror非同期（SVMディザスタリカバリ）で保護されるSVM

✓

SVMデータ移動(vserver migrate）

✓

FlexGroupボリューム¹

✓

マルチ管理者認証

✓

自動更新機能を備えたARP / AI

✓

¹ ARP/AIはFlexGroupボリュームをサポートしていません。ONTAP9.16.1へのアップグレード後も、ARPが有効になっているFlexGroupボリュームは、ARP/AIの導入前と同じARPモデルで引き続き動作しONTAP。

SnapMirrorとARPの相互運用性

ONTAP 9.12.1以降では、SnapMirror非同期デスティネーションボリュームでARPがサポートされます。ARP は、 SnapMirror同期またはSnapMirrorアクティブ同期ではサポートされません。

SnapMirrorソースボリュームがARP対応の場合、 SnapMirrorデスティネーションボリュームは自動的にARP設定状態（ dry-run`または `enabled ）、ARP トレーニングデータ、およびソースボリュームの ARP によって作成されたスナップショットが含まれます。あらためて有効にする必要はありません。

宛先ボリュームは読み取り専用（RO）スナップショットで構成されていますが、そのデータに対してARP処理は行われません。ただし、SnapMirrorデスティネーションボリュームが読み書き可能（RW）に変換されると、そのボリュームでARPが自動的に有効になります。宛先ボリュームでは、ソースボリュームに既に記録されている情報以外に、追加の学習手順は必要ありません。

ONTAP 9.10.1および9.11.1では、ソースボリュームからデスティネーションボリュームへのARPの設定、トレーニングデータ、Snapshotの転送は行われません。このため、 SnapMirror の宛先ボリュームを RW に変換する場合は、変換後に宛先ボリューム上の ARP を学習モードで明示的に有効にする必要があります。

ARPと仮想マシン

ARPは仮想マシン（VM）でサポートされています。ARPの検出動作は、VMの内部と外部の変更で異なります。ARP は、VM 内に高度に圧縮されたファイル (7z や ZIP など) や暗号化されたファイル (パスワードで保護された PDF、DOC、ZIP など) が多数含まれるワークロードには推奨されません。

VMの外部での変更

ARP は、新しい拡張子が暗号化された状態でボリュームに入力された場合、またはファイル拡張子が変更された場合に、VM 外部の NFS ボリューム上のファイル拡張子の変更を検出できます。

VMの内部での変更

ランサムウェア攻撃によって仮想マシン内のファイルが変更され、仮想マシン外部には変更が加えられなかった場合、仮想マシンのデフォルトのエントロピーが低い場合（.txt、.docx、.mp4ファイルなど）、ARPは脅威を検出しONTAP以前では、このシナリオでARPは保護スナップショットを作成しますが、仮想マシン外部のファイル拡張子は改ざんされていないため、脅威アラートは生成されません。ONTAP9.17.1のSANONTAP以降では、ARPは仮想マシン内部でエントロピー異常を検出した場合にも脅威アラートを生成します。

デフォルトでは、ファイルのエントロピーが高い場合 (たとえば、.gzip またはパスワードで保護されたファイル)、ARP の検出機能は制限されます。ARPはこの場合でもプロアクティブにSnapshotを作成できますが、ファイル拡張子が外部から改ざんされていない場合、アラートはトリガーされません。

SAN の場合、ARP はボリュームレベルでエントロピー統計を分析し、エントロピーの異常が見つかったときに検出をトリガーします。

サポートされない構成

ARP はONTAP S3 環境ではサポートされていません。

ARPでは、次のボリューム構成はサポートされません。

FlexGroupボリューム（ ONTAP 9.10.1～9.12.1）。ONTAPONTAP以降ではFlexGroupボリュームがサポートされますが、ARP/AIより前のARPモデルに限定されます。
FlexCacheボリューム（元のFlexVolではサポートされますが、キャッシュボリュームではサポートされません）
オフラインボリューム
SnapLockボリューム
SnapMirrorアクティブ同期
SnapMirror同期
SnapMirror非同期（ ONTAP 9.10.1および9.11.1）。SnapMirror非同期は、ONTAP 9.12.1以降でサポートされています。詳細については、 [SnapMirror] 。
制限されたボリューム
Storage VMのルートボリューム
停止しているStorage VMのボリューム

ARPのパフォーマンスと周波数に関する考慮事項

ARPは、スループットとピークIOPSで測定されるシステムパフォーマンスへの影響はほとんどありません。ARP 機能の影響は、特定のボリュームのワークロードによって異なります。一般的なワークロードでは、以下の構成の制限が推奨されます。

ワークロードの特性	ノードあたりの最大ボリューム数（推奨値）	ノードあたりのボリューム制限を超えるとパフォーマンスが低下します ¹
読み取り集中型またはデータを圧縮できる	150	最大IOPSの4%
書き込みが多く、データを圧縮できない	60	NAS: ONTAP 9.15.1 以前の場合、最大 IOPS の 10% NAS: ONTAP 9.16.1 以降では最大 IOPS の 4% SAN: ONTAP 9.17.1 以降では最大 IOPS の 5%

ワークロードの特性

ノードあたりの最大ボリューム数（推奨値）

ノードあたりのボリューム制限を超えるとパフォーマンスが低下します ¹

読み取り集中型またはデータを圧縮できる

150

最大IOPSの4%

書き込みが多く、データを圧縮できない

NAS: ONTAP 9.15.1 以前の場合、最大 IOPS の 10%
NAS: ONTAP 9.16.1 以降では最大 IOPS の 4%
SAN: ONTAP 9.17.1 以降では最大 IOPS の 5%

¹ 推奨制限を超えて追加されたボリュームの数に関係なく、システムパフォーマンスはこれらのパーセンテージを超えて低下しません。

ARP 分析は優先順位に従って実行されるため、保護されているボリュームの数が増えると、各ボリュームでの分析の実行頻度は低くなります。

ARPで保護されたボリュームを使用したマルチ管理者検証

ONTAP 9 .13.1以降では、マルチ管理者検証（MAV）をイネーブルにして、ARPによるセキュリティを強化できます。MAVを使用すると、少なくとも2人以上の認証された管理者が、保護されたボリュームでARPをオフにしたり、ARPを一時停止したり、疑わしい攻撃をfalse positiveとしてマークしたりする必要があります。方法をご確認ください"ARPで保護されたボリュームのMAVを有効にします"。

MAVグループの管理者を定義し、保護する、、 `security anti-ransomware volume pause`および `security anti-ransomware volume attack clear-suspect`ARPコマンドのMAVルールを作成する必要があり `security anti-ransomware volume disable`ます。MAVグループの各管理者は、MAV設定内の新しいルール要求を承認する必要があります"MAVルールを再度追加します"。

`security anti-ransomware volume pause`、および `security anti-ransomware volume attack clear-suspect`の詳細について `security anti-ransomware volume disable`は、をlink:https://docs.netapp.com/us-en/ontap-cli/search.html?q=security+anti-ransomware+volume["ONTAPコマンド リファレンス"^]参照してください。

ONTAP 9.14.1以降では、ARPに、ARP Snapshotの作成と新しいファイル拡張子の監視に関するアラート機能が搭載されています。これらのイベントに関するアラートは、デフォルトでは無効になっています。アラートは、ボリュームレベルまたはSVMレベルで設定できます。アラートを有効にするには security anti-ransomware vserver event-log modify`または音量レベルで `security anti-ransomware volume event-log modify 。

および security anti-ransomware volume event-log modify`の詳細については `security anti-ransomware vserver event-log modify、を"ONTAPコマンドリファレンス"参照してください。

次のステップ